Windows Server 2008 Cenarios

7/31/2019 Windows Server 2008 Cenarios

1/37

Click to edit Master subtitle style

Windows Server 2008 -Cenrios de Implementao


2/37

Entender os cenrios principais para Windows Server 2008

Conhecer quais caractersticas tcnicas e papis se aplicam emcada cenrio

Saber como essas caractersticas em ao agregam valor em cadacenrio (DEMO)

Objetivos da Sesso e Agenda


3/37

InfraestruturaRemota

Acesso aaplicaes dequalquer local

Gerenciamentode Servidores

Plataforma paraWeb e Aplicaes

Aplicao dePolticas eSegurana

Virtualizao deServidores

AltaDisponibilidade

Windows Server 2008 - Cenrios


4/37

Cenrio: Gerenciamento de Servidores Tecnologias Principais

Server Core Server Manager Windows PowerShell

Valor Agregado Reduz a necessidade de gerenciamento e implementao de

alguns servios, o que aumenta a disponibilidade e segurana Configurao do servidor a partir de uma interface nica Adicionar / remover papis e componentes de modo mais seguro

e confivel Visualizar status e executar tarefas de gerenciamento a partir de

uma ferramenta nica Automatizar a administrao de mltiplos servidores com uma

linguagem de script amigvel Acelerar a criao de scripts, testes e debug


5/37

Server Core

Segurana, TCP/IP,Sistema de Arquivos,RPC,outros Core Server Sub-Systems

GUI, CLR,Shell, IE,OE,etc.

File / Print

DHCP

DNS

AD / LDS

Virtualizao

Nova opo de instalao com apenas componentescoreSem interface GUI ou aplicaes grficas

Disponvel um conjunto reduzido de papis ecom onentes tcnicos

IIS / WMS

Server Core Command-line reference A-Z(http://go.microsoft.com/fwlink/?LinkId=20331 )


6/37

Server

Manager

Product Installation

Initial Configuration

erver anager erenc a or eServidor)


7/37

Novo shell de linha de comando & Linguagem deScript

Recursos

Melhora produtividade & controle Acelera automao de tarefas administrativasFunciona com scripts atuaisJ disponvel no Windows Server 2008Fcil para no-programadoresGereciamento de papis em futuras verses

TechNet Script Center MyITForum.comNewsgroups e FrunsBlogs e Channel 9Livros: MS Press,Manning, OReilly,

Parceiros

Windows PowerShell


8/37


9/37

IIS 7.0 - Recursos

I I S 7

Instalaes customizveissignificam reduo na rea de ataque

Administraosimplificada (vriosmtodos)Customizao &extensibilidade com .NET

Xcopy deployment e

configuraocompartilhadaPoderoso recurso detracing e resoluo defalhasGerenciamento deaplicaes e serviosWeb


10/37

Gerenciando a Web com IIS 7.0

Arsenal de Ferramentas

Gerenciamento Delegvel

Gerenciamento Remoto (Seguro)

Configurao compartilhada (farms)

I I S 7

Melhores FerramentasInterface intuitiva

API .NET para gerenciamentoProvedor unificado WMIIIS/ASP.NETSuporte a linha de comandoInformao de estado em temporealTracing de falha & logs

I I S 7

I I S 7

Site Admin Web.config

XM

L

D e

l e g

a t

i o

n X

C o

p y D

e p

l o

yServer Admin

Internet

Gerenciamento Remoto

HTTPSSeguro

AppHost.config

XML

SharedConfig

Shared App

Hosting

U N C

Web FarmApp


11/37

W S S

Melhoramento no modelo de administraoNovas capacidades e caractersticas para regulamentaesNovas ferramentas operacionaisMelhor suporte para configuraes de redeExtensibilidade

n ows are o n erv ces3.0


12/37

Cenrio: Infraestrutura Remota Tecnologias Principais

Active Directory Controlador de Domnio Somente Leitura (RODC) Separao do Papel de Administrador Active Directory Reinicializvel Replicao SYSVOL usando DFS

Criptografia de Drive com BitLocker Melhoramentos em Rede SMB 2.0

Valor Agregado

Aumenta a eficincia e produtividade do gerenciamento eimplementao de escritrios remotos Enderea problema de segurana fsica em localidades remotas Melhora a eficincia em comunicaes WAN

l d d


13/37

Controlador de Domnio Somente Leitura(RODC)

O impacto de um Domain Controller roubado menor para o Active Directory

Por padro, senhas de usurios ecomputadores no so armazenadas noRODC

Read-only Partial Attribute Set previne que

credenciais de aplicaes sejam armazenadasno RODC

Reduz a rea de ataque para localidadesremotas

C l d d i S i


14/37

Controlador de Domnio Somente Leitura(RODC)

Reduz a rea de ataque para um DC comprometido Estado somente-leitura com replicao unidirecional para AD e

FRS/DFSR Cada RODC possui sua prpria conta KDC KrbTGT para

providenciar autenticao DCPROMO delegvel reduz a necessidade de Administradores

de Domnio conectarem via TS em um RODC DCs Windows Server 2008 (gravao) registram os ponteiros

SRV em benefcio dos RODCs

RODCs so contas de servidores membro No so membros dos grupos Enterprise-DC ou Domain-DC Permisses limitadas para gravao na base do AD

Reduz a rea de ataque para localidadesremotas


15/37

FilialMatriz

ReadOnly DC

Como o RODC funciona

Windows Server 2008 DC

1

2

3

4

56

6

1

2

3

4

5

6

Usurio se loga e autentica

RODC: Procura na DB: No tenho essas credenciais !"

Encaminha a requisio para Windows Server 2008 DC

Windows Server 2008 DC autentica a requisio

Retorna a resposta de autenticao e o ticket para o RODC

RODC entrega o ticket para o usurio e faz cache das credenciais

ROD

C


16/37

ea - n y oma n on ro er

Nenhuma conta em cache (default) Pro: a mais segura, ainda providencia rpida autenticao e

processamento de polticas. Con: WAN requisito para logon (sem acesso offline)

Maioria das contas em cache Pro: Fcil gerenciamento de senhas. Desenhado para clientes

que necessitam se beneficiar do modelo flexvel degerenciamento do RODC.

Con: Maior nmero de senhas expostas ao RODC

Poucas contas (contas de escritrio remoto) em cache Pro: Habilita acesso offline para quem necessita e maximiza asegurana para demais

Con: Administrao da poltica de senha para replicao umatarefa adicional

Necessrio mapear computadores e contas por escritrio remoto

Password replication policy controla os

modelos


17/37

Active Directory (AD)

Separao do Papel Administrativo Providencia um novo administrador local para RODC Previne modificaes acidentais no AD pelos administradores

locais

No previne o administrador local de maliciosamente modificar a base local Stop/Start do servio do AD (Directory Services) sem a

necessidade de reboot Reduz o tempo de downtime para operaes offline Outros servios se mantm online Atua como um servidor membro durante este estado

Replicao SYSVOL usando DFS-R Maior escalabilidade e disponibilidade

Utilizao de banda de rede reduzida com RDC (remotedifferential compression)

Caractersticas adicionais para

gerenciamento de infraestrutura remota


18/37

SISTEMA Volume do Sistema contm:MBRBoot Manager Boot Utilities

FVEK

3

4

Volumedo SO

SRK

1

VMK

2

BitLocker Criptografia de Drive

Volume do Sistema Operacional contm: SO Criptografado Arquivo de Paginao Criptografado Arquivos temporrios Criptografados Dados Criptografados Arquivo de Hibernao Criptografado

Onde est a chave de criptografia ? SRK (Storage Root Key) - TPM SRK criptografa VMK (Volume Master Key). VMK criptografa FVEK (Full Volume

Encryption Key) usada para atualcriptografia de volume

FVEK e VMK so armazenadas

(criptografadas) no Volume do SO


19/37

ro oco os ovasCaractersticas

Nova gerao da pilha TCP/IP

Desempenho Otimizado Ajuste automtico da janela de recebimento TCP

Melhor gerenciamento de perda de pacotes(eficiente para conexes sem fio)Controle de congestionamento avanado

Ajustes automticos para eficincia mximaTransmisses mais rpidas, especialmente emWAN

Otimizado para uso de banda disponvelReduo de pacotes perdidos = menosretransmisses


20/37

ro oco os ovasCaractersticas

SMB 2.0 Elimina restries de compartilhamento de arquivos (usurios, arquivos

abertos, nmero de compartilhamentos, etc) Suporta links simblicos

I/O File System Transacional (TxF) Framework transacional no Windows Server 2008 se estende para

operaes de I/O Enderea cenrios que exigem nveis alto de performance e

complexidade

Benefcios Essas novas caractersticas so a base para operaes avanadas

relacionadas a storage, e so um diferencial para competidores queemulam as caractersticas de file system do sistema operacionalWindows

SMB 2.0, I/O File System Transacional


21/37

Cenrio: Acesso a Aplicaes de Qualquer Local

Tecnologias Principais

Terminal Services Gateway Terminal Services Remote Programs Terminal Services Web Access Terminal Services Easy Print (driver universal)

Valor Agregado Providencia acesso de qualquer parte para aplicaes de negcio

utilizando a Internet Elimina o risco de perda de dados de laptops por utilizar conexo

segura para aplicaes localizadas de modo centralizado Reduz o custo de gerenciamento por eliminar a necessidade de

servidores de aplicao em localidades distribudas Fornece acesso seguro aos servidores de terminal sem a

necessidade de acesso completo a rede via VPN ou outrosmecanismos

Consolida servidores de terminal usando tecnologia x64

T i l S i G t


22/37

F i r e w a

l l

E x

t e r n o

F i r e w a

l l

I n t e r n o

InternetPermetro Rede

Corporativa

UsurioRemoto /

Mvel

TerminalServicesGateway

NetworkPolicyServer

ActiveDirectory

DC

Tnel RDPsobre HTTPs

Desencapsular RDP / HTTPs

Servidor es de

Terminal

Trfego RDPenviado para TS

Internet

Terminal Services Gateway


23/37

Terminal Services RemoteApp

Terminal Server

Gerenciamentocentralizado deaplicaes

Publicao apenasda aplicao em si(seamless)

Nenhumaaplicao instaladanos clientes

Pr-Req:RDP 6.0

C i A li d P lti d


24/37

Cenrio: Aplicao de Polticas deSegurana I

Tecnologias Principais Servios de Acesso Rede

Internet Protocol security (IPsec) System Health Validator / System Health Agent Health Certificate Server

Valor Agregado Verifica a sade e compatibilidade com polticas de segurana

para usurios em roaming ou visitantes Simplifica updates de sistema e software e instalao de

aplicativos Aumenta a segurana de redes sem fio com autenticao e

criptografia


25/37

Rede Sem Fio Segura

Gerenciamento e implementao produtivo e eficiente de redes 802.11Implementao de mtodos avanados e atuais de segurana, incluindosmartcards, sem a necessidade de software adicionalWindows Server NPS, AD & servios de CA (opcional) habilitam um controlecentralizado de autenticao e criptografia de trfego wireless 802.11Provisionamento de clientes wireless via Polticas de Grupo e scripts

Network Policy Server Authentication Server

Wireless Access PointsWireless Controller Clientes Wireless

Active Directory

SQL Server (Opcional)Certificate Authority

(Opcional)


26/37

erenc amen o e e es emFio via Polticas de Grupo

Desafios Atuais Clientes wireless usam diferentes utilitrios de configurao Gerenciamento central de wireless limitado a uma organizao Resultado: provisionamento de clientes wireless de alto custo e

leva tempo Soluo Provisionamento via Polticas de Grupo (GPO)

ou linha de comando Implementao Simplificada

Suporte a ambientes mistos (segurana) Separao de servios 802.1x e sem fio Gerenciamento granular e extensibilidade

Experincia do usurio melhorada Pode-se aproveitar o investimento j feito em Active Directory Pode-se limitar as conexes apenas para redes autorizadas


27/37

e wor ccess ro ec on(NAP)

Polticas de Acesso


28/37

1

Rede RestritaNetwork

Policy Server

3

Servidores de Poltica(Security Center, SMS, Forefront

ou terceiros

Compatvel

DHCP, VPNSwitch/Router

2

Cliente

Remediao( WSUS, SMS &

Terceiros)

Rede Corporativa5

Nocompatvel 4

Aumento da Segurana do AmbienteTodas as comunicaes so autenticadas, autorizadas &saudveisCompatvel com DHCP, VPN, IPsec, 802.1X

Polticas de acesso definidas e controladas pelos ITPros

Benefcios

Network Access Protection

Cenrio: Aplicao de Polticas de


29/37

Cenrio: Aplicao de Polticas deSegurana II

Tecnologias Principais Active Directory Domain Services (AD DS) Active Directory Lightweight Directory Services (AD LDS) Active Directory Certificate Services (AD CS) Active Directory Federation Service (AD FS) Active Directory Rights Management Services (AD RMS)

Valor Agregado Proteo de informaes sensveis e aplicaes para parceiros

de negcios

Reduz o risco de acesso no-autorizado atravs de autenticaoforte Reduz o nmero de contas de usurios e repositrios que

precisam ser gerenciados (produtividade) Gerenciamento de contas de usurios de modo seguro alm do

permetro do datacenter


30/37

Enterprise PKI (PKIView)MMC Snap-in (Resource Kitanteriormente)Suporte para caracteresUnicode

Online Certificate StatusProtocol (OSCP)Responders OnlineConjunto (array) deResponders

Network Device EnrollmentService

Implementao Microsoft doSimple Certificate EnrollmentProtocol (SCEP)

Aumenta a segurana por usar IPSec

Web EnrollmentControle ActiveX removido -

XEnroll.dllNovo controle adicionado -CertEnroll.dll

AD Certificate Services / PKI


31/37

Autor / criador Leitor

AD RMS protege acesso ainformaes digitais

AD RMS no Windows Server 2008 possui novas caractersticas

Melhor processo de

instalao e gerenciamentoIntegrao com

AD Federation ServicesNovos papis administrativos

R M S S e r v e r S Q L AD

AD Rights Management Services


32/37

Cenrio: Virtualizao de Servidores

Tecnologias Principais Windows Server Virtualization (Hyper-V) Server Core

Valor Agregado Consolidao de Servidores maximiza utilizao de hardware e

consolida workloads para reduzir custos Testes e Desenvolvimento cria ambientes mais flexveis que

reduz custos e melhora o gerenciamento de ciclo de vida deaplicaes

Continuao de Negcios (Recuperao de Desastres) eliminao impacto de downtime e habilita rpida resposta problemas

Datacenter Dinmico (e verde): cria estruturas mais geis comnovas capacidades de gerenciamento para movimentao demquinas virtuais sem impacto


33/37

Cenrios para Virtualizao

Desenvolvimento eTestes

Continuidade deNegcios

Datacenter Dinmico

Consolidao de

Servidores


34/37

Cenrio: Alta Disponibilidade Tecnologias Principais

Failover Clustering Valor agregado

Reduz a complexidade atravs de uma nova interfacede gerenciamento

Simplifica a criao e gerenciamento de servidores emcluster

Reduz custo e tempo de suporte atravs de umaconfigurao mais amigvel

Implementa clusters geograficamente dispersosadaptveis aos ambientes existentes


35/37

Failover ClusteringPCs

Client es

N A N B

heartbeat

NAtivo

NPassivo

Novo recurso de ValidaoSuporte para discos GPT (Tabela de partio GUID) emarmazenamento de cluster (> 2TB)Instalao e migrao de cluster aprimoradasMelhorias em segurana e estabilidadeClusters geograficamente dispersos (sub-redes diferentes)

Novo modelo de qurum (Majority Quorum Model) VoteWitness Server pode ser um File Server paramltiplos clustersSuporte para tecnologias de storage (Fibre Channel,iSCSI, Serial Attached SCSI (SAS) persistent

Novo log de eventos (%windier\cluster no existe mais) Eventviewer Conta Localsystem para inicializar servio (no maisconta do domnio) e autenticao Kerberos (e no maisNTLM)

Suporte IPV6, DHCP, 100% DNS (NETBIOS depreciado)


36/37

InfraestruturaRemota

Acesso aaplicaes dequalquer local

Gerenciamentode Servidores

Plataforma paraWeb e Aplicaes

Aplicao dePolticas eSegurana

Virtualizao deServidores

AltaDisponibilidade

Sumrio
http://www.microsoft.com/technet/downloads/trials/default.mspxhttp://www.microsoft.com/technet/downloads/trials/default.mspx


37/37

Recursos DisponveisMicrosoft Developer Network (MSDN)(Webcasts, Blogs, Chats, Eventos Presenciais)h ttp://microsoft.com/brasil/msdn

Trial Software e Virtual Labshttp://www.microsoft.com/technet/downloads/trials/default.mspx

Microsoft Learning e Certificaowww.mostrequevocesabe.com

Windows Server 2008 Technical Libraryh ttp://technet2.microsoft.com/windowsserver2008/en/library/96719e2f-7417-4fed-a5c9-64a43e3892ba10

Microsoft Technet(Webcasts, Blogs, Chats, Eventos Presenciais)http://microsoft.com/brasil/technet

Technet Experience Windows Server 2008http://www.microsoft.com/brasil/technet/experience/windowsserver2008
http://www.microsoft.com/technet/downloads/trials/default.mspxhttp://www.microsoft.com/technet/downloads/trials/default.mspxhttp://www.microsoft.com/technet/downloads/trials/default.mspxhttp://microsoft.com/brasil/msdnhttp://www.microsoft.com/technet/downloads/trials/default.mspxhttp://www.microsoft.com/technet/downloads/trials/default.mspxhttp://www.microsoft.com/technet/downloads/trials/default.mspxhttp://www.mostrequevocesabe.com/http://www.microsoft.com/technet/downloads/trials/default.mspxhttp://technet2.microsoft.com/windowsserver2008/en/library/96719e2f-7417-4fed-a5c9-64a43e3892ba1033.mspx?mfr=truehttp://www.microsoft.com/technet/downloads/trials/default.mspxhttp://www.microsoft.com/technet/downloads/trials/default.mspxhttp://microsoft.com/brasil/technethttp://www.microsoft.com/brasil/technet/experience/windowsserver2008http://www.microsoft.com/brasil/technet/experience/windowsserver2008http://microsoft.com/brasil/technethttp://www.microsoft.com/technet/downloads/trials/default.mspxhttp://technet2.microsoft.com/windowsserver2008/en/library/96719e2f-7417-4fed-a5c9-64a43e3892ba1033.mspx?mfr=truehttp://www.mostrequevocesabe.com/http://www.microsoft.com/technet/downloads/trials/default.mspxhttp://www.microsoft.com/technet/downloads/trials/default.mspxhttp://microsoft.com/brasil/msdn

Documents

Windows Server 2008 Cenarios