Windows Server 2008 Cenrios de Implementao

Click to edit Master subtitle style

Objetivos da Sesso e Agenda

Entender os cenrios principais para Windows Server 2008 Conhecer quais caractersticas tcnicas e papis se aplicam em cada cenrio Saber como essas caractersticas em ao agregam valor em cada cenrio (DEMO)

Windows Server 2008 - Cenrios

Infraestrutura Remota Acesso a aplicaes de qualquer local Aplicao de Polticas e Segurana Virtualizao de Servidores

Plataforma para Web e Aplicaes

Gerenciamento de Servidores

Alta Disponibilidade

Cenrio: Gerenciamento de Servidores

Tecnologias Principais

Server Core Server Manager Windows PowerShell Reduz a necessidade de gerenciamento e implementao de alguns servios, o que aumenta a disponibilidade e segurana Configurao do servidor a partir de uma interface nica Adicionar / remover papis e componentes de modo mais seguro e confivel Visualizar status e executar tarefas de gerenciamento a partir de uma ferramenta nica Automatizar a administrao de mltiplos servidores com uma linguagem de script amigvel Acelerar a criao de scripts, testes e debug

Valor Agregado

Server Core

Command-line reference A-Z (http://go.microsoft.com/fwlink/? Server Core LinkId=20331 )

Segurana, TCP/IP, Sistema de Arquivos, RPC, outros Core Server SubSystems File / Print DHCP DNS

GUI, CLR, Shell, IE, OE, etc.

AD / LDS Virtualizao IIS / WMS

Nova opo de instalao com apenas componentes core Sem interface GUI ou aplicaes grficas Disponvel um conjunto reduzido de papis e componentes tcnicos

Server Manager (Gerenciador de Servidor)

Server Manager Initial Configuration Product Installation

Windows PowerShell
Novo shell de linha de comando & Linguagem de Script Melhora produtividade & controle
Acelera automao de tarefas administrativas Funciona com scripts atuais J disponvel no Windows Server 2008 Fcil para no-programadores Gereciamento de papis em futuras verses

Parceiros

Recursos
TechNet Script Center MyITForum.com Newsgroups e Fruns Blogs e Channel 9 Livros: MS Press, Manning, OReilly,

Cenrio: Plataforma para Web & Aplicaes

Tecnologias Principais

Internet Information Services 7.0 .NET Framework 3.0 Windows Media Services Windows SharePoint Services Gerenciamento eficiente de servidores Web, Aplicaes Web e servios Web Implementao e configuraes de ambientes Web com mltiplos servidores (farms) de modo rpido e produtivo Criao de plataforma Web customizvel mais rpido, seguro e confivel Aumento de desempenho & escalabilidade para aplicaes e servios Web

Valor Agregado

IIS 7.0 - Recursos

IIS 7
Instalaes customizveis significam reduo na rea de ataque

Administrao simplificada (vrios mtodos) Customizao & extensibilidade com .NET

Xcopy deployment e configurao compartilhada Poderoso recurso de tracing e resoluo de falhas Gerenciamento de aplicaes e servios Web

Gerenciando a Web com IIS 7.0

HTTPS Seguro Internet
IIS7

Gerenciamen e D Ferramentas IIS7 Melhores to Remoto Interface intuitiva l e .NET para gerenciamento gAPI a Provedor unificado WMI t IIS/ASP.NET IIS7 i Suporte a linha de comando o n Informao de estado em tempo Shared App XM real Hosting L Tracing deWeb.config logs falha & App Site Admin Web Farm
Arsenal de Ferramentas Gerenciamento Delegvel

Gerenciamento Remoto (Seguro) Configurao compartilhada (farms)

Server Admin

y
UNC

XM L AppHost.config
o p e D

Share d Confi g

Windows SharePoint Services 3.0

WSS

Melhoramento no modelo de administrao Novas capacidades e caractersticas para regulamentaes Novas ferramentas operacionais Melhor suporte para configuraes de rede Extensibilidade

Cenrio: Infraestrutura Remota

Tecnologias Principais

Active Directory

Controlador de Domnio Somente Leitura (RODC) Separao do Papel de Administrador Active Directory Reinicializvel Replicao SYSVOL usando DFS

Criptografia de Drive com BitLocker Melhoramentos em Rede SMB 2.0 Aumenta a eficincia e produtividade do gerenciamento e implementao de escritrios remotos Enderea problema de segurana fsica em localidades remotas Melhora a eficincia em comunicaes WAN

Valor Agregado

Controlador de Domnio Somente Leitura (RODC)

Reduz a rea de ataque para localidades remotas O impacto de um Domain Controller roubado menor para o Active Directory

Por padro, senhas de usurios e computadores no so armazenadas no RODC Read-only Partial Attribute Set previne que credenciais de aplicaes sejam armazenadas no RODC

Controlador de Domnio Somente Leitura (RODC)

Reduz a rea de ataque para localidades remotas Reduz a rea de ataque para um DC comprometido

Estado somente-leitura com replicao unidirecional para AD e FRS/DFSR Cada RODC possui sua prpria conta KDC KrbTGT para providenciar autenticao DCPROMO delegvel reduz a necessidade de Administradores de Domnio conectarem via TS em um RODC DCs Windows Server 2008 (gravao) registram os ponteiros SRV em benefcio dos RODCs RODCs so contas de servidores membro

No so membros dos grupos Enterprise-DC ou Domain-DC Permisses limitadas para gravao na base do AD

Como o RODC funciona

Windows Server 2008 DC
4

Read Only DC
2

Matriz

ROD Filial 6 C
1 6

1 Usurio se loga e autentica 2 RODC: Procura na DB: No tenho essas credenciais !" 3 Encaminha a requisio para Windows Server 2008 DC 4 Windows Server 2008 DC autentica a requisio 5 Retorna a resposta de autenticao e o ticket para o RODC 6 RODC entrega o ticket para o usurio e faz cache das credenciais

Read-Only Domain Controller

Password replication policy controla os modelos Nenhuma conta em cache (default)

Pro: a mais segura, ainda providencia rpida autenticao e processamento de polticas. Con: WAN requisito para logon (sem acesso offline) Pro: Fcil gerenciamento de senhas. Desenhado para clientes que necessitam se beneficiar do modelo flexvel de gerenciamento do RODC. Con: Maior nmero de senhas expostas ao RODC Pro: Habilita acesso offline para quem necessita e maximiza a segurana para demais Con: Administrao da poltica de senha para replicao uma tarefa adicional

Maioria das contas em cache

Poucas contas (contas de escritrio remoto) em cache

Necessrio mapear computadores e contas por escritrio remoto

Active Directory (AD)

Caractersticas adicionais para gerenciamento de infraestrutura remota

Separao do Papel Administrativo

Providencia um novo administrador local para RODC Previne modificaes acidentais no AD pelos administradores locais No previne o administrador local de maliciosamente modificar a base local

Stop/Start do servio do AD (Directory Services) sem a necessidade de reboot

Reduz o tempo de downtime para operaes offline Outros servios se mantm online Atua como um servidor membro durante este estado Maior escalabilidade e disponibilidade Utilizao de banda de rede reduzida com RDC (remote differential compression)

Replicao SYSVOL usando DFS-R

BitLocker Criptografia de Drive

Volume do Sistema Operacional contm:

Onde est a chave de criptografia ?

SO Criptografado Arquivo de Paginao Criptografado Arquivos temporrios Criptografados Dados Criptografados Arquivo de Hibernao Criptografado

SRK (Storage Root Key) - TPM SRK criptografa VMK (Volume Master Key). VMK criptografa FVEK (Full Volume Encryption Key) usada para atual criptografia de volume FVEK e VMK so armazenadas (criptografadas) no Volume do SO

FVEK

VMK

Volume do SO

3 4
SISTEMA

SRK

Volume do Sistema contm: MBR Boot Manager Boot Utilities

Protocolos Novas Caractersticas TCP/IP Nova gerao da pilha

Ajustes automticos para eficincia mxima Transmisses mais rpidas, especialmente em WAN Otimizado para uso de banda disponvel Reduo de pacotes perdidos = menos retransmisses Desempenho Otimizado Ajuste automtico da janela de recebimento TCP Melhor gerenciamento de perda de pacotes (eficiente para conexes sem fio) Controle de congestionamento avanado

Protocolos Novas Caractersticas SMB 2.0, I/O File System Transacional

SMB 2.0

Elimina restries de compartilhamento de arquivos (usurios, arquivos abertos, nmero de compartilhamentos, etc) Suporta links simblicos Framework transacional no Windows Server 2008 se estende para operaes de I/O Enderea cenrios que exigem nveis alto de performance e complexidade Essas novas caractersticas so a base para operaes avanadas relacionadas a storage, e so um diferencial para competidores que emulam as caractersticas de file system do sistema operacional Windows

I/O File System Transacional (TxF)

Benefcios

Cenrio: Acesso a Aplicaes de Qualquer Local

Tecnologias Principais

Terminal Services Gateway Terminal Services Remote Programs Terminal Services Web Access Terminal Services Easy Print (driver universal) Providencia acesso de qualquer parte para aplicaes de negcio utilizando a Internet Elimina o risco de perda de dados de laptops por utilizar conexo segura para aplicaes localizadas de modo centralizado Reduz o custo de gerenciamento por eliminar a necessidade de servidores de aplicao em localidades distribudas Fornece acesso seguro aos servidores de terminal sem a necessidade de acesso completo a rede via VPN ou outros mecanismos Consolida servidores de terminal usando tecnologia x64

Valor Agregado

Terminal Services Gateway

Internet
Tnel RDP sobre HTTPs

Permetro Firewall Externo

Desencapsular RDP / HTTPs

Rede Corporativa Firewall Interno

Trfego RDP enviado para TS

Intern et Usurio Remoto / Mvel Terminal Services Gateway Network Policy Server

Servidor es de Terminal

Active Directory DC

Terminal Services RemoteApp

Gerenciamento centralizado de aplicaes Publicao apenas da aplicao em si (seamless) Nenhuma aplicao instalada nos clientes Pr-Req: RDP 6.0

Terminal Server

Cenrio: Aplicao de Polticas de Segurana I

Tecnologias Principais

Servios de Acesso Rede

Internet Protocol security (IPsec) System Health Validator / System Health Agent Health Certificate Server

Valor Agregado

Verifica a sade e compatibilidade com polticas de segurana para usurios em roaming ou visitantes Simplifica updates de sistema e software e instalao de aplicativos Aumenta a segurana de redes sem fio com autenticao e criptografia

Rede Sem Fio Segura

Network Policy Server Authentication Server Active Directory

Clientes Wireless Wireless Access Points

Wireless Controller

SQL Server (Opcional)

Certificate Authority (Opcional)

Gerenciamento e implementao produtivo e eficiente de redes 802.11 Implementao de mtodos avanados e atuais de segurana, incluindo smartcards, sem a necessidade de software adicional Windows Server NPS, AD & servios de CA (opcional) habilitam um controle centralizado de autenticao e criptografia de trfego wireless 802.11 Provisionamento de clientes wireless via Polticas de Grupo e scripts

Gerenciamento de Redes Sem Fio via Polticas de Grupo

Desafios Atuais

Clientes wireless usam diferentes utilitrios de configurao Gerenciamento central de wireless limitado a uma organizao Resultado: provisionamento de clientes wireless de alto custo e leva tempo

Soluo Provisionamento via Polticas de Grupo (GPO) ou linha de comando

Implementao Simplificada

Suporte a ambientes mistos (segurana) Separao de servios 802.1x e sem fio

Gerenciamento granular e extensibilidade Experincia do usurio melhorada Pode-se aproveitar o investimento j feito em Active Directory Pode-se limitar as conexes apenas para redes autorizadas

Network Access Protection (NAP) de Acesso Polticas

Network Access Protection

Servidores de Poltica
(Security Center, SMS, Forefront ou terceiros 3

No compatvel

Remediao
( WSUS, SMS & Terceiros)

Cliente DHCP, VPN Switch/Router

Network Policy Server

Rede Restrita
Compatvel

Rede Corporativa

Benefcios

Aumento da Segurana do Ambiente

Todas as comunicaes so autenticadas, autorizadas & saudveis Compatvel com DHCP, VPN, IPsec, 802.1X Polticas de acesso definidas e controladas pelos ITPros

Cenrio: Aplicao de Polticas de Segurana II

Tecnologias Principais

Active Directory Domain Services (AD DS) Active Directory Lightweight Directory Services (AD LDS) Active Directory Certificate Services (AD CS) Active Directory Federation Service (AD FS) Active Directory Rights Management Services (AD RMS) Proteo de informaes sensveis e aplicaes para parceiros de negcios Reduz o risco de acesso no-autorizado atravs de autenticao forte Reduz o nmero de contas de usurios e repositrios que precisam ser gerenciados (produtividade) Gerenciamento de contas de usurios de modo seguro alm do permetro do datacenter

Valor Agregado

AD Certificate Services / PKI

Enterprise PKI (PKIView)
MMC Snap-in (Resource Kit anteriormente) Suporte para caracteres Unicode

Online Certificate Status Protocol (OSCP)

Responders Online Conjunto (array) de Responders

Network Device Enrollment Service

Implementao Microsoft do Simple Certificate Enrollment Protocol (SCEP) Aumenta a segurana por usar IPSec

Web Enrollment

Controle ActiveX removido XEnroll.dll Novo controle adicionado CertEnroll.dll

AD Rights Management Services

SQL RMS Server AD

AD RMS protege acesso a informaes digitais AD RMS no Windows Server 2008 possui novas caractersticas Melhor processo de instalao e gerenciamento Integrao com AD Federation Services Novos papis administrativos

Autor / criador

Leitor

Cenrio: Virtualizao de Servidores

Tecnologias Principais

Windows Server Virtualization (Hyper-V) Server Core Consolidao de Servidores maximiza utilizao de hardware e consolida workloads para reduzir custos Testes e Desenvolvimento cria ambientes mais flexveis que reduz custos e melhora o gerenciamento de ciclo de vida de aplicaes Continuao de Negcios (Recuperao de Desastres) elimina o impacto de downtime e habilita rpida resposta problemas Datacenter Dinmico (e verde): cria estruturas mais geis com novas capacidades de gerenciamento para movimentao de mquinas virtuais sem impacto

Valor Agregado

Cenrios para Virtualizao

Consolidao de Servidores

Continuidade de Negcios

Desenvolvimento e Testes

Datacenter Dinmico

Cenrio: Alta Disponibilidade

Tecnologias Principais

Failover Clustering Reduz a complexidade atravs de uma nova interface de gerenciamento Simplifica a criao e gerenciamento de servidores em cluster Reduz custo e tempo de suporte atravs de uma configurao mais amigvel Implementa clusters geograficamente dispersos adaptveis aos ambientes existentes

Valor agregado

Failover Clustering
PCs Clientes N A N Ativo N B

heartb eat

N Passivo

Novomodeloeventos (%windier\cluster no existe log de de qurum Novo recurso de Validao (Majority Quorum Model) mais) Eventviewer Vote para discos GPT (Tabela de partio GUID) em Suporte Conta Localsystem para inicializar servio (no mais Witness Server cluster (> 2TB) File Server para armazenamento de pode ser um conta do domnio) mltiplos clusters ede cluster aprimoradas Instalao e migrao autenticao Kerberos (e no mais NTLM) Suporte parasegurana e estabilidade (Fibre Channel, Melhorias em tecnologias de storage Suporte IPV6, DHCP, dispersos (sub-redes diferentes) iSCSI, Serial Attached SCSI (SAS)(NETBIOS depreciado) Clusters geograficamente100% DNS persistent

Sumrio
Infraestrutura Remota Acesso a aplicaes de qualquer local Aplicao de Polticas e Segurana Virtualizao de Servidores

Plataforma para Web e Aplicaes

Gerenciamento de Servidores

Alta Disponibilidade

Recursos Disponveis
Microsoft Developer Network (MSDN) (Webcasts, Blogs, Chats, Eventos Presenciais) http://microsoft.com/brasil/msdn Microsoft Technet (Webcasts, Blogs, Chats, Eventos Presenciais) http://microsoft.com/brasil/technet

Microsoft Learning e Certificao www.mostrequevocesabe.com Trial Software e Virtual Labs http://www.microsoft.com/technet/downloads/trials/default.mspx

Windows Server 2008 Technical Library http://technet2.microsoft.com/windowsserver2008/en/library/96719e2f-7417-4fed-a5c9-64a43e3892ba103 Technet Experience Windows Server 2008 http://www.microsoft.com/brasil/technet/experience/windowsserver2008