Windows Server 2008 - Cenários de Implementação

Entender os cenários principais para Windows Server 2008

Conhecer quais características técnicas e papéis se aplicam em cada cenário

Saber como essas características em ação agregam valor em cada cenário (DEMO)

Objetivos da Sessão e Agenda

Infraestrutura Remota

Acesso a aplicações de qualquer local

Gerenciamento de Servidores

Plataforma para Web e Aplicações

Aplicação de Políticas e Segurança

Virtualização de Servidores

Alta Disponibilidade

Windows Server 2008 - Cenários

Cenário: Gerenciamento de Servidores

• Tecnologias Principais– Server Core– Server Manager– Windows PowerShell

• Valor Agregado– Reduz a necessidade de gerenciamento e implementação de

alguns serviços, o que aumenta a disponibilidade e segurança– Configuração do servidor a partir de uma interface única– Adicionar / remover papéis e componentes de modo mais seguro

e confiável– Visualizar status e executar tarefas de gerenciamento a partir de

uma ferramenta única– Automatizar a administração de múltiplos servidores com uma

linguagem de script amigável– Acelerar a criação de scripts, testes e debug

Server Core

Segurança, TCP/IP, Sistema de Arquivos, RPC,outros Core Server Sub-Systems

GUI, CLR, Shell, IE, OE, etc.

File / Print

DHCP

DNS

AD / LDS

Virtualização

Nova opção de instalação com apenas componentes “core”Sem interface GUI ou aplicações gráficasDisponível um conjunto reduzido de papéis e componentes técnicosGerenciamento remoto, como você faria com qualquer servidor

IIS / WMS

Server Core Command-line reference A-Z (http://go.microsoft.com/fwlink/?LinkId=20331 )

Server Manager

Product Installation

Initial Configuration

Server Manager (Gerenciador de Servidor)

Novo shell de linha de comando & Linguagem de Script

Recursos

Melhora produtividade & controleAcelera automação de tarefas administrativasFunciona com scripts atuaisJá disponível no Windows Server 2008Fácil para não-programadoresGereciamento de papéis em futuras versões

TechNet Script CenterMyITForum.comNewsgroups e FórunsBlogs e Channel 9Livros: MS Press, Manning, O’Reilly, Sapien etc.

Parceiros

Windows PowerShell

Cenário: Plataforma para Web & Aplicações

• Tecnologias Principais– Internet Information Services 7.0– .NET Framework 3.0– Windows Media Services– Windows SharePoint Services

• Valor Agregado– Gerenciamento eficiente de servidores Web, Aplicações Web e

serviços Web– Implementação e configurações de ambientes Web com múltiplos

servidores (farms) de modo rápido e produtivo– Criação de plataforma Web customizável mais rápido, seguro e

confiável– Aumento de desempenho & escalabilidade para aplicações e

serviços Web

IIS 7.0 - Recursos

IIS 7

Instalações “customizáveis” significam redução na área de ataque

Administração simplificada (vários métodos)

Customização & extensibilidade com .NET

Xcopy – deployment e configuração compartilhada

Poderoso recurso de tracing e resolução de falhas

Gerenciamento de aplicações e serviços Web

Gerenciando a Web com IIS 7.0

Arsenal de Ferramentas

Gerenciamento Delegável

Gerenciamento Remoto (Seguro)

Configuração compartilhada (farms)

IIS7

Melhores FerramentasInterface intuitivaAPI .NET para gerenciamentoProvedor unificado WMI IIS/ASP.NETSuporte a linha de comandoInformação de estado em tempo realTracing de falha & logs

IIS7

IIS7

Site Admin Web.config

XML

Delega

tion

XCopy

Deplo

y

Server Admin

Internet

Gerenciamento Remoto

HTTPS Seguro

AppHost.config

XML

SharedConfig

Shared App Hosting

UNC

Web FarmApp

WSS

Melhoramento no modelo de administraçãoNovas capacidades e características para regulamentaçõesNovas ferramentas operacionaisMelhor suporte para configurações de redeExtensibilidade

Windows SharePoint Services 3.0

Cenário: Infraestrutura Remota

• Tecnologias Principais– Active Directory

• Controlador de Domínio Somente Leitura (RODC)• Separação do Papel de Administrador• Active Directory Reinicializável• Replicação SYSVOL usando DFS

– Criptografia de Drive com BitLocker – Melhoramentos em Rede– SMB 2.0

• Valor Agregado– Aumenta a eficiência e produtividade do gerenciamento e

implementação de escritórios remotos– Endereça problema de segurança física em localidades remotas– Melhora a eficiência em comunicações WAN

Controlador de Domínio Somente Leitura (RODC)

• O impacto de um Domain Controller “roubado” é menor para o Active Directory– Por padrão, senhas de usuários e computadores não

são armazenadas no RODC– Read-only Partial Attribute Set previne que credenciais

de aplicações sejam armazenadas no RODC

Reduz a área de ataque para localidades remotas

Controlador de Domínio Somente Leitura (RODC)

• Reduz a área de ataque para um DC comprometido– Estado “somente-leitura” com replicação unidirecional para AD e

FRS/DFSR– Cada RODC possui sua própria conta KDC KrbTGT para

providenciar autenticação– DCPROMO delegável reduz a necessidade de Administradores

de Domínio conectarem via TS em um RODC– DC’s Windows Server 2008 (gravação) registram os ponteiros

SRV em benefício dos RODCs– RODCs são contas de “servidores membro”

• Não são membros dos grupos Enterprise-DC ou Domain-DC • Permissões limitadas para gravação na base do AD

Reduz a área de ataque para localidades remotas

FilialMatriz

Read Only DC

Como o RODC funciona

Windows Server 2008 DC

1

2

3

4

56

6

1

2

3

4

5

6

Usuário se loga e autentica

RODC: Procura na DB: “Não tenho essas credenciais !"

Encaminha a requisição para Windows Server 2008 DC

Windows Server 2008 DC autentica a requisição

Retorna a resposta de autenticação e o ticket para o RODC

RODC entrega o ticket para o usuário e faz cache das credenciais

RODC

Read-Only Domain Controller

• Nenhuma conta em cache (default)– Pro: a mais segura, ainda providencia rápida autenticação e

processamento de políticas. – Con: WAN é requisito para logon (sem acesso offline)

• Maioria das contas em cache– Pro: Fácil gerenciamento de senhas. Desenhado para clientes

que necessitam se beneficiar do modelo flexível de gerenciamento do RODC.

– Con: Maior número de senhas expostas ao RODC• Poucas contas (contas de escritório remoto) em cache

– Pro: Habilita acesso offline para quem necessita e maximiza a segurança para demais

– Con: Administração da política de senha para replicação é uma tarefa adicional

• Necessário mapear computadores e contas por escritório remoto

Password replication policy controla os modelos

Active Directory (AD)

• Separação do Papel Administrativo– Providencia um novo “administrador local” para RODC– Previne modificações acidentais no AD pelos administradores

locais– Não previne o “administrador local” de maliciosamente modificar

a base local• Stop/Start do serviço do AD (Directory Services) sem a

necessidade de reboot – Reduz o tempo de downtime para operações offline– Outros serviços se mantém online– Atua como um servidor membro durante este estado

• Replicação SYSVOL usando DFS-R– Maior escalabilidade e disponibilidade– Utilização de banda de rede reduzida com RDC (remote

differential compression)

Características adicionais para gerenciamento de infraestrutura remota

SISTEMA Volume do Sistema contém:

MBR

Boot Manager

Boot Utilities

FVEK

3

4

Volume do SO

SRK

1

VMK

2

BitLocker – Criptografia de Drive

Volume do Sistema Operacional contém:• SO Criptografado• Arquivo de Paginação Criptografado• Arquivos temporários Criptografados• Dados Criptografados• Arquivo de Hibernação Criptografado

Onde está a chave de criptografia ?• SRK (Storage Root Key) - TPM • SRK criptografa VMK (Volume Master Key). • VMK criptografa FVEK (Full Volume

Encryption Key) – usada para atual criptografia de volume

• FVEK e VMK são armazenadas (criptografadas) no Volume do SO

Protocolos – Novas CaracterísticasNova geração da pilha TCP/IP

Desempenho Otimizado

Ajuste automático da janela de recebimento TCP

Melhor gerenciamento de perda de pacotes (eficiente para conexões sem fio)

Controle de congestionamento avançado

Ajustes automáticos para eficiência máxima

Transmissões mais rápidas, especialmente em WAN

Otimizado para uso de banda disponível

Redução de pacotes perdidos = menos retransmissões

Protocolos – Novas Características

• SMB 2.0– Elimina restrições de compartilhamento de arquivos (usuários, arquivos

abertos, número de compartilhamentos, etc)– Suporta links simbólicos

• I/O File System Transacional (TxF)– Framework transacional no Windows Server 2008 se estende para

operações de I/O– Endereça cenários que exigem níveis alto de performance e

complexidade • Benefícios

– Essas novas características são a base para operações avançadas relacionadas a storage, e são um diferencial para competidores que “emulam” as características de file system do sistema operacional Windows

SMB 2.0, I/O File System Transacional

Cenário: Acesso a Aplicações de Qualquer Local

• Tecnologias Principais– Terminal Services Gateway– Terminal Services Remote Programs– Terminal Services Web Access– Terminal Services Easy Print (driver universal)

• Valor Agregado– Providencia acesso de qualquer parte para aplicações de negócio

utilizando a Internet– Elimina o risco de perda de dados de laptops por utilizar conexão

segura para aplicações localizadas de modo centralizado– Reduz o custo de gerenciamento por eliminar a necessidade de

servidores de aplicação em localidades distribuídas– Fornece acesso seguro aos servidores de terminal sem a

necessidade de acesso “completo” a rede via VPN ou outros mecanismos

– Consolida servidores de terminal usando tecnologia x64

Fir

ewal

l E

xter

no

Fir

ewal

l In

tern

oInternetPerímetro Rede

Corporativa

Usuário Remoto /

Móvel

Terminal Services Gateway

Network Policy Server

Active Directory DC

Túnel RDP sobre HTTPs

“Desencapsular” RDP / HTTPs

Servidores de Terminal

Tráfego RDP enviado para TS

Internet

Terminal Services Gateway

Terminal Services RemoteApp™

Terminal Server

• Gerenciamento centralizado de aplicações

• Publicação apenas da aplicação em si (seamless)

• Nenhuma aplicação instalada nos clientes

Pré-Req: RDP 6.0

Cenário: Aplicação de Políticas de Segurança I

• Tecnologias Principais– Serviços de Acesso à Rede

• Internet Protocol security (IPsec)• System Health Validator / System Health Agent• Health Certificate Server

• Valor Agregado– Verifica a “saúde” e compatibilidade com políticas de segurança

para usuários em “roaming” ou visitantes– Simplifica updates de sistema e software e instalação de

aplicativos– Aumenta a segurança de redes sem fio com autenticação e

criptografia

Rede Sem Fio Segura

Gerenciamento e implementação produtivo e eficiente de redes 802.11Implementação de métodos avançados e atuais de segurança, incluindo smartcards, sem a necessidade de software adicionalWindows Server NPS, AD & serviços de CA (opcional) habilitam um controle centralizado de autenticação e criptografia de tráfego wireless 802.11Provisionamento de clientes wireless via Políticas de Grupo e scripts

Network Policy ServerAuthentication Server

Wireless Access Points

Wireless ControllerClientes Wireless

Active Directory

SQL Server (Opcional)Certificate Authority

(Opcional)

Gerenciamento de Redes Sem Fio via Políticas de Grupo

• Desafios Atuais– Clientes wireless usam diferentes utilitários de configuração– Gerenciamento central de wireless limitado a uma organização– Resultado: provisionamento de clientes wireless é de alto custo e

leva tempo

• Solução – Provisionamento via Políticas de Grupo (GPO) ou linha de comando– Implementação Simplificada

• Suporte a ambientes mistos (segurança)• Separação de serviços 802.1x e sem fio• Gerenciamento granular e extensibilidade

– Experiência do usuário melhorada– Pode-se aproveitar o investimento já feito em Active Directory– Pode-se limitar as conexões apenas para redes autorizadas

Network Access Protection (NAP)

Política de Validação

• Determina se os computadores estão compatíveis com as políticas de segurança da empresa. Caso afirmativo, são chamados de “saudáveis”

Restrição de Redes

• Acesso restrito de redes baseado na “saúde” dos clientes

Remediação

• Fornece os updates necessários para permitir que os clientes se tornem “saudáveis”. Uma vez assim, as restrições de redes são removidas

Acompanhamento de Compatibilidade

• Alterações nas políticas de segurança ou no estado dos computadores podem dinamicamente resultar em restrições

Políticas de Acesso

1

Rede RestritaNetwork

Policy Server

3

Servidores de Política(Security Center, SMS, Forefront ou terceiros

Compatível

DHCP, VPNSwitch/Router

2

Cliente

Remediação( WSUS, SMS &

Terceiros)

Rede Corporativa5

Não compatível 4

Aumento da Segurança do AmbienteTodas as comunicações são autenticadas, autorizadas & saudáveis

Compatível com DHCP, VPN, IPsec, 802.1X

Políticas de acesso definidas e controladas pelos ITPros

Benefícios

Network Access Protection

Cenário: Aplicação de Políticas de Segurança II

• Tecnologias Principais– Active Directory Domain Services (AD DS)– Active Directory Lightweight Directory Services (AD LDS)– Active Directory Certificate Services (AD CS)– Active Directory Federation Service (AD FS)– Active Directory Rights Management Services (AD RMS)

• Valor Agregado– Proteção de informações sensíveis e aplicações para parceiros

de negócios– Reduz o risco de acesso não-autorizado através de autenticação

forte– Reduz o número de contas de usuários e repositórios que

precisam ser gerenciados (produtividade)– Gerenciamento de contas de usuários de modo seguro além do

perímetro do datacenter

Enterprise PKI (PKIView)MMC Snap-in (Resource Kit anteriormente)Suporte para caracteres Unicode

Online Certificate Status Protocol (OSCP)

“Responders” Online Conjunto (array) de Responders

Network Device Enrollment Service

Implementação Microsoft do Simple Certificate Enrollment Protocol (SCEP) Aumenta a segurança por usar IPSec

Web EnrollmentControle ActiveX® removido - XEnroll.dll Novo controle adicionado - CertEnroll.dll

AD Certificate Services / PKI

Autor / criador Leitor

AD RMS protege acesso a informações digitaisAD RMS no Windows Server 2008 possui novas características

Melhor processo de instalação e gerenciamentoIntegração com AD Federation ServicesNovos papéis administrativos

RMS Server

SQL AD

AD Rights Management Services

Cenário: Virtualização de Servidores

• Tecnologias Principais– Windows Server Virtualization (Hyper-V)– Server Core

• Valor Agregado– Consolidação de Servidores – maximiza utilização de hardware e

consolida workloads para reduzir custos– Testes e Desenvolvimento – cria ambientes mais flexíveis que

reduz custos e melhora o gerenciamento de ciclo de vida de aplicações

– Continuação de Negócios (Recuperação de Desastres) – elimina o impacto de downtime e habilita rápida resposta à problemas

– Datacenter Dinâmico (e verde): cria estruturas mais ágeis com novas capacidades de gerenciamento para movimentação de máquinas virtuais sem impacto

Cenários para Virtualização

Desenvolvimento e Testes

Continuidade de Negócios

Datacenter Dinâmico

Consolidação de Servidores

Cenário: Alta Disponibilidade• Tecnologias Principais

– Failover Clustering

• Valor agregado– Reduz a complexidade através de uma nova interface

de gerenciamento– Simplifica a criação e gerenciamento de servidores em

cluster– Reduz custo e tempo de suporte através de uma

configuração mais amigável– Implementa clusters geograficamente dispersos

adaptáveis aos ambientes existentes

Failover ClusteringPCs Clientes

Nó A Nó B

heartbeatNó Ativo Nó Passivo

Novo recurso de Validação

Suporte para discos GPT (Tabela de partição GUID) em armazenamento de cluster (> 2TB)

Instalação e migração de cluster aprimoradas

Melhorias em segurança e estabilidade

Clusters geograficamente dispersos (sub-redes diferentes)

Novo modelo de quórum (Majority Quorum Model) – “Vote”

“Witness Server” – pode ser um “File Server” para múltiplos clusters

Suporte para tecnologias de storage (Fibre Channel, iSCSI, Serial Attached SCSI (SAS) “persistent reservations” – Parallel-SCSI depreciada

VSS suporte para “snapshot restore” de discos em cluster

Novo “Maintenance Mode” para acesso exclusivo à discos online

Novo log de eventos (%windier\cluster não existe mais) – Eventviewer

Conta “Localsystem” para inicializar serviço (não mais conta do domínio) e autenticação Kerberos (e não mais NTLM)

Suporte IPV6, DHCP, 100% DNS (NETBIOS depreciado)

Infraestrutura Remota

Acesso a aplicações de qualquer local

Gerenciamento de Servidores

Plataforma para Web e Aplicações

Aplicação de Políticas e Segurança

Virtualização de Servidores

Alta Disponibilidade

Sumário

Recursos DisponíveisMicrosoft Developer Network (MSDN)(Webcasts, Blogs, Chats, Eventos Presenciais)http://microsoft.com/brasil/msdn

Trial Software e Virtual Labshttp://www.microsoft.com/technet/downloads/trials/default.mspx

Microsoft Learning e Certificaçãowww.mostrequevocesabe.com

Windows Server 2008 Technical Libraryhttp://technet2.microsoft.com/windowsserver2008/en/library/96719e2f-7417-4fed-a5c9-64a43e3892ba1033.mspx?mfr=true

Microsoft Technet(Webcasts, Blogs, Chats, Eventos Presenciais)http://microsoft.com/brasil/technet

Technet Experience Windows Server 2008http://www.microsoft.com/brasil/technet/experience/windowsserver2008