Windows Server 2008 Cenários de
Implementação
Entender os cenários principais para Windows Server 2008
Conhecer quais características técnicas e papéis se aplicam em
cada cenário
Saber como essas características em ação agregam valor em cada
cenário (DEMO)
Windows Server 2008 - Cenários
Acesso a aplicações
de qualquer local
Infraestrutura Remota
Aplicação de Políticas
e Segurança
Plataforma para Web e
Aplicações
Virtualização de
Servidores
Gerenciamento de
Servidores
Alta Disponibilidade
Cenário: Gerenciamento de Servidores
• Tecnologias Principais
– Server Core
– Server Manager
– Windows PowerShell
• Valor Agregado
– Reduz a necessidade de gerenciamento e implementação de
alguns serviços, o que aumenta a disponibilidade e segurança
– Configuração do servidor a partir de uma interface única
– Adicionar / remover papéis e componentes de modo mais seguro
e confiável
– Visualizar status e executar tarefas de gerenciamento a partir de
uma ferramenta única
– Automatizar a administração de múltiplos servidores com uma
linguagem de script amigável
– Acelerar a criação de scripts, testes e debug
Server Core
Command-line reference A-Z
(http://go.microsoft.com/fwlink/?LinkId=20331 )
Nova opção de instalação com apenas componentes “core”
Sem interface GUI ou aplicações gráficas
Disponível um conjunto reduzido de papéis e componentes técnicos
Gerenciamento remoto, como você faria com qualquer servidor
Server Manager (Gerenciador de
Servidor)
Server Manager
Initial Configuration
Product Installation
Windows PowerShell
Novo shell de linha de comando & Linguagem de Script
Melhora produtividade & controle
Acelera automação de tarefas administrativas
Funciona com scripts atuais
Já disponível no Windows Server 2008
Fácil para não-programadores
Gereciamento de papéis em futuras versões
Parceiros
Recursos
TechNet Script Center
MyITForum.com
Newsgroups e Fóruns
Blogs e Channel 9
Livros: MS Press, Manning,
O’Reilly, Sapien etc.
Cenário: Plataforma para Web & Aplicações
• Tecnologias Principais
–
–
–
–
Internet Information Services 7.0
.NET Framework 3.0
Windows Media Services
Windows SharePoint Services
• Valor Agregado
– Gerenciamento eficiente de servidores Web, Aplicações Web e
serviços Web
– Implementação e configurações de ambientes Web com múltiplos
servidores (farms) de modo rápido e produtivo
– Criação de plataforma Web customizável mais rápido, seguro e
confiável
– Aumento de desempenho & escalabilidade para aplicações e
serviços Web
IIS 7.0 - Recursos
Instalações “customizáveis”
significam redução na área de ataque
Xcopy – deployment e
configuração compartilhada
Administração simplificada
(vários métodos)
Poderoso recurso de tracing e
resolução de falhas
Customização & extensibilidade
com .NET
Gerenciamento de aplicações e
serviços Web
Gerenciando a Web com IIS 7.0
HTTPS Seguro
XML
Internet
AppHost.config
Server Admin
Shared
Config
Gerenciamento
Melhores Ferramentas
Remoto
Interface intuitiva
API .NET para gerenciamento
Provedor unificado WMI IIS/ASP.NET
Suporte a linha de comando
Informação de estado em tempo real
Tracing de falha & logs
Shared App Hosting
XML
Site Admin
App
Web.config
Web Farm
Arsenal de Ferramentas
Gerenciamento Remoto (Seguro)
Gerenciamento Delegável
Configuração compartilhada (farms)
Windows SharePoint Services
3.0
Melhoramento no modelo de administração
Novas capacidades e características para regulamentações
Novas ferramentas operacionais
Melhor suporte para configurações de rede
Extensibilidade
Cenário: Infraestrutura Remota
• Tecnologias Principais
– Active Directory
•
•
•
•
Controlador de Domínio Somente Leitura (RODC)
Separação do Papel de Administrador
Active Directory Reinicializável
Replicação SYSVOL usando DFS
– Criptografia de Drive com BitLocker
– Melhoramentos em Rede
– SMB 2.0
• Valor Agregado
– Aumenta a eficiência e produtividade do gerenciamento e
implementação de escritórios remotos
– Endereça problema de segurança física em localidades remotas
– Melhora a eficiência em comunicações WAN
Reduz a área de ataque para localidades remotas
• O impacto de um Domain Controller “roubado” é
menor para o Active Directory
– Por padrão, senhas de usuários e computadores não
são armazenadas no RODC
– Read-only Partial Attribute Set previne que credenciais
de aplicações sejam armazenadas no RODC
Reduz a área de ataque para localidades remotas
• Reduz a área de ataque para um DC comprometido
– Estado “somente-leitura” com replicação unidirecional para AD e
FRS/DFSR
– Cada RODC possui sua própria conta KDC KrbTGT para
providenciar autenticação
– DCPROMO delegável reduz a necessidade de Administradores
de Domínio conectarem via TS em um RODC
– DC’s Windows Server 2008 (gravação) registram os ponteiros
SRV em benefício dos RODCs
– RODCs são contas de “servidores membro”
• Não são membros dos grupos Enterprise-DC ou Domain-DC
• Permissões limitadas para gravação na base do AD
Como o RODC funciona
Windows Server
2008 DC
3
Read
Only DC
4
Matriz
2
5
RODC
6
Filial
1
6
1 Usuário se loga e autentica
2 RODC: Procura na DB: “Não tenho essas credenciais !"
3 Encaminha a requisição para Windows Server 2008 DC
4 Windows Server 2008 DC autentica a requisição
5 Retorna a resposta de autenticação e o ticket para o RODC
6 RODC entrega o ticket para o usuário e faz cache das
credenciais
Password replication policy controla os modelos
• Nenhuma conta em cache (default)
– Pro: a mais segura, ainda providencia rápida autenticação e
processamento de políticas.
– Con: WAN é requisito para logon (sem acesso offline)
• Maioria das contas em cache
– Pro: Fácil gerenciamento de senhas. Desenhado para clientes
que necessitam se beneficiar do modelo flexível de
gerenciamento do RODC.
– Con: Maior número de senhas expostas ao RODC
• Poucas contas (contas de escritório remoto) em cache
– Pro: Habilita acesso offline para quem necessita e maximiza a
segurança para demais
– Con: Administração da política de senha para replicação é uma
tarefa adicional
• Necessário mapear computadores e contas por escritório remoto
Características adicionais para gerenciamento de
infraestrutura remota
• Separação do Papel Administrativo
– Providencia um novo “administrador local” para RODC
– Previne modificações acidentais no AD pelos administradores
locais
– Não previne o “administrador local” de maliciosamente modificar a
base local
• Stop/Start do serviço do AD (Directory Services) sem a
necessidade de reboot
– Reduz o tempo de downtime para operações offline
– Outros serviços se mantém online
– Atua como um servidor membro durante este estado
• Replicação SYSVOL usando DFS-R
– Maior escalabilidade e disponibilidade
– Utilização de banda de rede reduzida com RDC (remote
differential compression)
BitLocker – Criptografia de Drive
Volume do Sistema Operacional contém:
•
SO Criptografado
•
Arquivo de Paginação Criptografado
•
Arquivos temporários Criptografados
•
Dados Criptografados
•
Arquivo de Hibernação Criptografado
Onde está a chave de criptografia ?
•
SRK (Storage Root Key) - TPM
•
SRK criptografa VMK (Volume Master Key).
•
VMK criptografa FVEK (Full Volume
Encryption Key) – usada para atual
criptografia de volume
•
FVEK e VMK são armazenadas
(criptografadas) no Volume do SO
FVEK
Volume
do SO
VMK
2
3
SRK
1
4
SISTEMA
Volume do Sistema contém:
MBR
Boot Manager
Boot Utilities
Nova geração da pilha TCP/IP
Ajustes automáticos para eficiência máxima
Transmissões mais rápidas, especialmente em WAN
Otimizado para uso de banda disponível
Redução de pacotes perdidos = menos retransmissões
Desempenho Otimizado
Ajuste automático da janela de recebimento TCP
Melhor gerenciamento de perda de pacotes (eficiente para
conexões sem fio)
Controle de congestionamento avançado
SMB 2.0, I/O File System Transacional
• SMB 2.0
– Elimina restrições de compartilhamento de arquivos (usuários, arquivos
abertos, número de compartilhamentos, etc)
– Suporta links simbólicos
• I/O File System Transacional (TxF)
– Framework transacional no Windows Server 2008 se estende para
operações de I/O
– Endereça cenários que exigem níveis alto de performance e
complexidade
• Benefícios
– Essas novas características são a base para operações avançadas
relacionadas a storage, e são um diferencial para competidores que
“emulam” as características de file system do sistema operacional
Windows
Cenário: Acesso a Aplicações de Qualquer
Local
• Tecnologias Principais
–
–
–
–
Terminal Services Gateway
Terminal Services Remote Programs
Terminal Services Web Access
Terminal Services Easy Print (driver universal)
• Valor Agregado
– Providencia acesso de qualquer parte para aplicações de negócio
utilizando a Internet
– Elimina o risco de perda de dados de laptops por utilizar conexão
segura para aplicações localizadas de modo centralizado
– Reduz o custo de gerenciamento por eliminar a necessidade de
servidores de aplicação em localidades distribuídas
– Fornece acesso seguro aos servidores de terminal sem a
necessidade de acesso “completo” a rede via VPN ou outros
mecanismos
– Consolida servidores de terminal usando tecnologia x64
Terminal Services Gateway
Internet
Túnel RDP
sobre HTTPs
Perímetro
“Desencapsular”
RDP / HTTPs
Tráfego RDP
enviado para TS
Servidores
de
Terminal
Internet
Usuário
Remoto /
Móvel
Rede
Corporativa
Terminal
Services
Gateway
Network
Active
Policy Server Directory DC
Terminal Services RemoteApp™
• Gerenciamento
centralizado de
aplicações
• Publicação apenas da
aplicação em si
(seamless)
• Nenhuma aplicação
instalada nos clientes
Pré-Req: RDP 6.0
Terminal Server
Cenário: Aplicação de Políticas de
Segurança I
• Tecnologias Principais
– Serviços de Acesso à Rede
• Internet Protocol security (IPsec)
• System Health Validator / System Health Agent
• Health Certificate Server
• Valor Agregado
– Verifica a “saúde” e compatibilidade com políticas de segurança
para usuários em “roaming” ou visitantes
– Simplifica updates de sistema e software e instalação de
aplicativos
– Aumenta a segurança de redes sem fio com autenticação e
criptografia
Rede Sem Fio Segura
Network Policy Server
Authentication Server
Active Directory
Wireless Controller
Clientes Wireless
Wireless Access Points
SQL Server (Opcional)
Certificate Authority
(Opcional)
Gerenciamento e implementação produtivo e eficiente de redes 802.11
Implementação de métodos avançados e atuais de segurança, incluindo
smartcards, sem a necessidade de software adicional
Windows Server NPS, AD & serviços de CA (opcional) habilitam um controle
centralizado de autenticação e criptografia de tráfego wireless 802.11
Provisionamento de clientes wireless via Políticas de Grupo e scripts
Gerenciamento de Redes Sem Fio
via Políticas de Grupo
• Desafios Atuais
– Clientes wireless usam diferentes utilitários de configuração
– Gerenciamento central de wireless limitado a uma organização
– Resultado: provisionamento de clientes wireless é de alto custo e
leva tempo
• Solução – Provisionamento via Políticas de Grupo (GPO)
ou linha de comando
– Implementação Simplificada
• Suporte a ambientes mistos (segurança)
• Separação de serviços 802.1x e sem fio
• Gerenciamento granular e extensibilidade
– Experiência do usuário melhorada
– Pode-se aproveitar o investimento já feito em Active Directory
– Pode-se limitar as conexões apenas para redes autorizadas
Políticas de Acesso
Política de Validação
• Determina se os computadores estão compatíveis com as políticas de segurança da
empresa. Caso afirmativo, são chamados de “saudáveis”
Restrição de Redes
• Acesso restrito de redes baseado na “saúde” dos clientes
Remediação
• Fornece os updates necessários para permitir que os clientes se tornem “saudáveis”.
Uma vez assim, as restrições de redes são removidas
Acompanhamento de Compatibilidade
• Alterações nas políticas de segurança ou no estado dos computadores podem
dinamicamente resultar em restrições
Network Access Protection
Servidores de Política
(Security Center, SMS,
Forefront ou terceiros
3
1
2
Network
Policy Server
Cliente
Não
compatível
4
Remediação
Rede Restrita
( WSUS, SMS &
Terceiros)
Compatível
DHCP, VPN
Switch/Router
5
Benefícios
Rede Corporativa
Aumento da Segurança do Ambiente
Todas as comunicações são autenticadas, autorizadas &
saudáveis
Compatível com DHCP, VPN, IPsec, 802.1X
Políticas de acesso definidas e controladas pelos ITPros
Cenário: Aplicação de Políticas de
Segurança II
• Tecnologias Principais
–
–
–
–
–
Active Directory Domain Services (AD DS)
Active Directory Lightweight Directory Services (AD LDS)
Active Directory Certificate Services (AD CS)
Active Directory Federation Service (AD FS)
Active Directory Rights Management Services (AD RMS)
• Valor Agregado
– Proteção de informações sensíveis e aplicações para parceiros
de negócios
– Reduz o risco de acesso não-autorizado através de autenticação
forte
– Reduz o número de contas de usuários e repositórios que
precisam ser gerenciados (produtividade)
– Gerenciamento de contas de usuários de modo seguro além do
perímetro do datacenter
AD Certificate Services / PKI
Enterprise PKI (PKIView)
MMC Snap-in (Resource Kit
anteriormente)
Suporte para caracteres
Unicode
Network Device Enrollment
Service
Implementação Microsoft do
Simple Certificate Enrollment
Protocol (SCEP)
Aumenta a segurança por usar
IPSec
Online Certificate Status
Protocol (OSCP)
“Responders” Online
Conjunto (array) de
Responders
Web Enrollment
Controle ActiveX® removido XEnroll.dll
Novo controle adicionado CertEnroll.dll
AD Rights Management Services
AD RMS protege acesso a
informações digitais
AD RMS no Windows Server
2008 possui novas características
Melhor processo de
instalação e gerenciamento
Integração com
AD Federation Services
Novos papéis administrativos
Autor / criador
Leitor
Cenário: Virtualização de Servidores
• Tecnologias Principais
– Windows Server Virtualization (Hyper-V)
– Server Core
• Valor Agregado
– Consolidação de Servidores – maximiza utilização de hardware e
consolida workloads para reduzir custos
– Testes e Desenvolvimento – cria ambientes mais flexíveis que
reduz custos e melhora o gerenciamento de ciclo de vida de
aplicações
– Continuação de Negócios (Recuperação de Desastres) – elimina
o impacto de downtime e habilita rápida resposta à problemas
– Datacenter Dinâmico (e verde): cria estruturas mais ágeis com
novas capacidades de gerenciamento para movimentação de
máquinas virtuais sem impacto
Cenários para Virtualização
Consolidação de
Servidores
Desenvolvimento e
Testes
Continuidade de
Negócios
Datacenter Dinâmico
Cenário: Alta Disponibilidade
• Tecnologias Principais
– Failover Clustering
• Valor agregado
– Reduz a complexidade através de uma nova interface
de gerenciamento
– Simplifica a criação e gerenciamento de servidores em
cluster
– Reduz custo e tempo de suporte através de uma
configuração mais amigável
– Implementa clusters geograficamente dispersos
adaptáveis aos ambientes existentes
Failover Clustering
PCs Clientes
Nó A
Nó Ativo
Nó B
heartbeat
Nó Passivo
Novomodelo
log de eventos
(%windier\cluster
nãoModel)
existe mais)
– Eventviewer
Novo
de
(Majority Quorum
– “Vote”
recurso
de quórum
Validação
Conta “Localsystem”
paraser
inicializar
serviço
do domínio) e
“Witness
Server”
– pode
um “File
Server”(não
paramais
múltiplos
clusters
Suporte
para
discos
GPT
(Tabela
de partição
GUID)
emconta
armazenamento
autenticação
Kerberos (e não mais NTLM)
de
cluster
(> 2TB)
Suporte
para
tecnologias de storage (Fibre Channel, iSCSI, Serial Attached
Suporte
IPV6,
DHCP, de
100%
DNSaprimoradas
(NETBIOS
depreciado)
SCSI
(SAS)
reservations”
– Parallel-SCSI
depreciada
Instalação
e “persistent
migração
cluster
VSS
suporte
“snapshot
restore” de discos em cluster
Melhorias
empara
segurança
e estabilidade
Novo
“Maintenance
Mode”dispersos
para acesso
exclusivo
à discos online
Clusters
geograficamente
(sub-redes
diferentes)
Sumário
Acesso a aplicações
de qualquer local
Infraestrutura Remota
Aplicação de Políticas
e Segurança
Plataforma para Web e
Aplicações
Virtualização de
Servidores
Gerenciamento de
Servidores
Alta Disponibilidade
Recursos Disponíveis
Microsoft Developer Network (MSDN)
(Webcasts, Blogs, Chats, Eventos Presenciais)
http://microsoft.com/brasil/msdn
Microsoft Technet
(Webcasts, Blogs, Chats, Eventos Presenciais)
http://microsoft.com/brasil/technet
Microsoft Learning e Certificação
www.mostrequevocesabe.com
Trial Software e Virtual Labs
http://www.microsoft.com/technet/downloads/trials/default.mspx
Windows Server 2008 Technical Library
http://technet2.microsoft.com/windowsserver2008/en/library/96719e2f-7417-4fed-a5c964a43e3892ba1033.mspx?mfr=true
Technet Experience Windows Server 2008
http://www.microsoft.com/brasil/technet/experience/windowsserver2008