Page 1

Função Serviços de Federação do Active Directory Atualizado: janeiro de 2008 Aplica-se a: Windows Server 2008 O AD FS (Serviços de Federação do Active Directory®) é uma função de servidor no sistema operacional Windows Server® 2008 que você pode usar para criar uma solução de acesso a identidades que seja segura, altamente extensível e escalonável na Internet capaz de operar em várias plataformas, inclusive em ambientes Windows e não-Windows. As próximas seções contêm informações sobre o AD FS no Windows Server 2008, inclusive sobre a funcionalidade adicional do AD FS no Windows Server 2008 em comparação com a versão do AD FS no sistema operacional Windows Server 2003 R2. Para obter informações adicionais sobre o AD FS, consulte a visão geral dos Serviços de Federação do Active Directory (http://go.microsoft.com/fwlink/?LinkId=87272 - essa página pode estar em inglês). Para obter mais informações sobre como instalar um ambiente de laboratório de teste do AD FS, consulte o Guia Passo a Passo do AD FS no Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkID=85685 - essa página pode estar em inglês). Quem estaria interessado nesse recurso? O AD FS deve ser implantado em organizações de médio e grande porte que tenham o seguinte: Pelo menos um serviço de diretório: AD DS (Serviços de Domínio Active Directory) ou AD LDS (anteriormente conhecido como ADAM (Modo de Aplicativo do Active Directory)). Computadores que executam diversas plataformas de sistema operacional Computadores associados a um domínio Computadores conectados à Internet Um ou mais aplicativos baseados na Web Leia estas informações, junto com a documentação adicional sobre o AD FS, se você é:


Um profissional de TI responsável por dar suporte a uma infra-estrutura AD FS existente Um planejador, analista ou arquiteto de TI que está avaliando produtos de federação de identidade Há considerações especiais? Se você tiver uma infra-estrutura AD FS existente, deverá estar ciente de algumas considerações especiais antes de começar a atualizar os servidores de federação, os proxies de servidor de federação e os servidores Web habilitados para AD FS que executam o Windows Server 2003 R2 para o Windows Server 2008. Essas considerações são aplicáveis apenas quando você tem servidores AD FS configurados manualmente para usar contas de serviço exclusivas. O AD FS utiliza a conta do Serviço de Rede como a conta padrão para o Serviço de Autenticação do Agente da Web do AD FS e a identidade do pool de aplicativos ADFSAppPool. Se você tiver configurado manualmente um ou mais servidores AD FS na implantação AD FS existente para usar uma conta de serviço que não seja a conta do Serviço de Rede padrão, controle quais servidores AD FS devem usar essas contas de serviço exclusivas e registre o nome de usuário e a senha de cada uma dessas contas. Quando você atualiza um servidor para o Windows Server 2008, o processo de atualização restaura os valores padrão originais de todas as contas de serviço automaticamente. Por isso, você deve especificar as informações das contas de serviço mais uma vez manualmente para cada servidor aplicável após a instalação do Windows Server 2008. Que nova funcionalidade é oferecida por esse recurso? No Windows Server 2008, o AD FS inclui nova funcionalidade que não estava disponível no Windows Server 2003 R2. Essa nova funcionalidade foi desenvolvida para diminuir a sobrecarga administrativa e estender ainda mais o suporte para aplicativos-chave: Instalação aprimorada — O AD FS foi incluído no Windows Server 2008 como uma função de servidor, e não existem novas verificações de validação de servidor no assistente de instalação. Suporte aprimorado para aplicativos — O AD FS está mais integrado ao Microsoft Office SharePoint® Server 2007 e ao Active Directory Rights Management Services (AD RMS).


Uma experiência administrativa melhor quando você estabelece confianças federadas — A funcionalidade aperfeiçoada de importação e exportação de diretivas ajuda a minimizar os problemas de configuração do parceiro normalmente associados ao estabelecimento de confianças federadas. Instalação aprimorada No Windows Server 2008, o AD FS recebeu vários aprimoramentos na experiência de instalação. Para instalar o AD FS no Windows Server 2003 R2, você tinha de usar Adicionar ou Remover Programas para encontrar e instalar o componente. Entretanto, no Windows Server 2008, você pode instalar o AD FS como função de servidor usando o Gerenciador de Servidores. É possível usar as páginas aprimoradas do assistente de configuração do AD FS para fazer verificações de validação de servidor antes de prosseguir com a instalação da função de servidor AD FS. Além disso, o Gerenciador de Servidores lista e instala automaticamente todos os serviços dos quais o AD FS depende durante a instalação da função de servidor AD FS. Esses serviços incluem o Microsoft ASP.NET 2.0 e outros que fazem parte da função de servidor Servidor Web (IIS). Suporte aprimorado para aplicativos O AD FS do Windows Server 2008 inclui aperfeiçoamentos que aumentam sua capacidade de se integrar a outros aplicativos, como o Office SharePoint Server 2007 e o AD RMS. Integração com o Office SharePoint Server 2007 O Office SharePoint Server 2007 tira total proveito dos recursos de logon único integrados a esta versão do AD FS. O AD FS do Windows Server 2008 inclui funcionalidade de suporte a provedores de função e de associações do Office SharePoint Server 2007. Isso significa que você pode configurar o Office SharePoint Server 2007 como um aplicativo com reconhecimento de declarações no AD FS e administrar qualquer site do Office SharePoint Server 2007 usando o controle de acesso baseado em função e associação. Os provedores de associações e de função incluídos nesta versão do AD FS só devem ser usados pelo Office SharePoint Server 2007. Integração com o AD RMS O AD RMS e o AD FS foram integrados de forma tal que as organizações podem aproveitar as relações de confiança federada existentes para colaborar


com parceiros externos e compartilhar conteúdo protegido por direitos. Por exemplo, uma organização que implantou o AD RMS pode configurar a federação com uma organização externa usando o AD FS. A organização poderá então usar esse relacionamento para compartilhar conteúdo protegido por direitos entre as duas organizações sem que para isso seja necessário implantar o AD RMS em ambas. Melhor experiência administrativa ao estabelecer confianças federadas Tanto no Windows Server 2003 R2 como no Windows Server 2008, os administradores de AD FS podem criar uma confiança federada entre duas organizações utilizando um processo de importação e exportação de arquivos de diretiva ou um processo manual que envolve o intercâmbio mútuo de valores de parceiros, como URIs, tipos de declaração, mapeamentos de declaração, nomes para exibição, entre outros. No processo manual, o administrador que recebe os dados deve digitar todos os dados recebidos nas páginas apropriadas do Assistente para Adicionar Parceiro, o que pode gerar erros tipográficos. Além disso, o processo manual requer que o administrador de parceiro de conta envie uma cópia do certificado de verificação do servidor de federação ao administrador de parceiro de recurso para que o certificado possa ser adicionado através do assistente. Embora a capacidade de importar e exportar arquivos de diretiva estivesse disponível no Windows Server 2003 R2, a criação de confianças federadas entre organizações parceiras é mais simples no Windows Server 2008 graças aos aprimoramentos na funcionalidade de exportação e importação baseada em diretiva. Esses aprimoramentos foram feitos para melhorar a experiência administrativa conferindo mais flexibilidade à função de importação no Assistente para Adicionar Parceiro. Por exemplo, quando uma diretiva de parceiro é importada, o administrador pode usar o Assistente para Adicionar Parceiro para modificar qualquer valor importado antes de o processo do assistente ser concluído. Isso inclui a capacidade de especificar um certificado de verificação de parceiro de conta diferente e de mapear declarações de entrada e de saída entre parceiros. Usando os recursos de exportação e importação incluídos no AD FS do Windows Server 2008, os administradores podem simplificar a exportação das configurações de diretiva de confiança para um arquivo .xml e enviar esse arquivo para o administrador de parceiro. Esse intercâmbio de arquivos de diretiva de parceiro fornece todos os URIs, tipos de declaração, mapeamentos de declaração e outros valores e os certificados de verificação necessários para criar uma confiança federada entre as duas organizações parceiras.


A ilustração abaixo e as instruções que a acompanham mostram como uma intercâmbio bem-sucedido de diretivas entre parceiros — nesse caso, iniciado pelo administrador da organização de parceiro de conta — pode ajudar a simplificar o processo de estabelecer uma confiança federada entre duas organizações fictícias: A. Datum Corporation e Trey Research.

1. O administrador de parceiro de conta especifica a opção Exportar Diretiva Básica de Parceiro clicando com o botão direito do mouse na pasta Diretiva de Confiança e exporta um arquivo de diretiva de parceiro que contém o URI, o nome para exibição, o URL do proxy do servidor de federação e o certificado de verificação da A. Datum Corporation. O administrador de parceiro de conta envia o arquivo de diretiva do parceiro (por email ou outra forma) ao administrador de parceiro de recurso. 2. O administrador de parceiro de recurso cria um novo parceiro de conta usando o Assistente para Adicionar Parceiro de Conta e seleciona a


opção para importar um arquivo de diretiva de parceiro de conta. O administrador de parceiro de recurso especifica a localização do arquivo de diretiva de parceiro e verifica se todos os valores apresentados em cada uma das páginas do assistente (que são pré-preenchidas devido à importação da diretiva) estão exatos. O administrador então conclui o assistente. 3. Agora o administrador de parceiro de recurso pode configurar declarações adicionais ou opções de diretiva de segurança específicas desse parceiro de conta. Depois que essa configuração é concluída, o administrador especifica a opção Exportar Diretiva clicando com o botão direito do mouse no parceiro de conta A. Datum Corporation. O administrador de parceiro de recurso exporta um arquivo de diretiva de parceiro que contém valores como URI, URL do proxy do servidor de federação, nome para exibição, tipos de declarações e mapeamentos de declarações da organização Trey Research. Em seguida, ele envia o arquivo de diretiva de parceiro ao administrador de parceiro de conta. 4. Este, por sua vez, cria um novo parceiro de recurso usando o Assistente para Adicionar Parceiro de Recurso e seleciona a opção para importar um arquivo de diretiva de parceiro de recurso. O administrador de parceiro de conta especifica a localização do arquivo de diretiva de parceiro de recurso e verifica se todos os valores apresentados em cada uma das páginas do assistente (que são pré-preenchidas devido à importação da diretiva) estão exatos. O administrador então conclui o assistente. Quando esse processo é concluído, é estabelecida uma confiança de federação bem-sucedida entre os dois parceiros. Os administradores de parceiro de recurso também podem iniciar o processo de importação e exportação de diretiva, embora ele não seja descrito aqui. Que configurações foram adicionadas ou alteradas? Você define as configurações do Agente Web baseado em token do Windows NT usando o snap-in Gerenciador do IIS. Para dar suporte à nova funcionalidade oferecida com os Serviços de Informações da Internet (IIS) 7.0, o AD FS do Windows Server 2008 inclui atualizações de interface do usuário para o serviço de função Agente Web do AD FS. A tabela a seguir lista os diferentes locais no Gerenciador do IIS do IIS 6.0 ou IIS 7.0 de cada uma das páginas de propriedades do Agente Web do AD FS, dependendo da versão do IIS que for usada.


Página de propried ades do IIS 6.0

Local anterior

IIS 7.0 Página de propried ades

Novo local

URL do Guia Serviço <NOME_DO_COMPUTADO Agente <NOME_DO_COMPUTADO de R> (na seção Outros do Web do R>\Sites Federaçã painel central) AD FS o Guia <NOME_DO_COMPUTADO Agente Agente R>\Sites\<Site ou Diretório Web do Web do Virtual> AD FS AD FS

<NOME_DO_COMPUTADO R>\Sites\<Site ou Diretório Virtual> (na seção IIS\Autenticação do painel central)

Observação Não existem diferenças de interface de usuário importantes entre o snap-in Serviços de Federação do Active Directory no Windows Server 2008 e o snapin Serviços de Federação do Active Directory no Windows Server 2003 R2. Função Serviços AD LDS Atualizado: janeiro de 2008 Aplica-se a: Windows Server 2008 A função de servidor AD LDS (Active Directory® Lightweight Directory Services) é um serviço de diretório do protocolo LDAP. Ela oferece armazenamento e recuperação de dados para aplicativos habilitados em diretório, sem as dependências necessárias aos Serviços de Domínio Active Directory (AD DS). O AD LDS do Windows Server® 2008 abrange a funcionalidade que era oferecida pelo ADAM (Modo de Aplicativo do Active Directory), que está disponível para os sistemas operacionais Windows® XP Professional e Windows Server® 2003. O que o AD LDS faz? O AD LDS oferece às organizações suporte flexível para aplicativos habilitados em diretório. Um aplicativo habilitado em diretório usa um diretório, em vez de um banco de dados, arquivo simples ou outra estrutura de armazenamento de dados, para conter seus dados. Os serviços de diretório (como o AD LDS) e os


bancos de dados relacionais oferecem armazenamento e recuperação de dados, mas têm otimização diferente. Os serviços de diretório são otimizados para processamento de leitura, enquanto os bancos de dados relacionais são otimizados para processamento de transações. Muitos aplicativos disponíveis no mercado e muitos aplicativos personalizados usam um design habilitado por diretório. Alguns exemplos: Aplicativos de CRM (gerenciamento de relacionamento com o cliente) Aplicativos de RH (recursos humanos) Aplicativo de catálogo de endereços global O AD LDS oferece grande parte da mesma funcionalidade que o AD DS (na verdade, ele foi criado em cima da mesma base de código), mas não requer a implantação de domínios ou controladores de domínio. Você pode executar várias instâncias do AD LDS simultaneamente em um único computador, com um esquema gerenciado de forma independente para cada instância ou conjunto de configuração do AD LDS (se a instância fizer parte de um conjunto de configuração). Servidores membro, controladores de domínio e servidores autônomos podem ser configurados para executar a função de servidor AD LDS. O AD LDS é semelhante ao AD DS pelo fato de oferecer o seguinte: Replicação multimestre Suporte para a API (interface de programação de aplicativo) ADSI (Active Directory Service Interfaces) Partições de diretório de aplicativo LDAP sobre SSL A principal diferença entre o AD LDS e o AD DS é que ele não armazena entidades de segurança do Windows. Embora o AD LDS possa usar entidades de segurança do Windows (como usuários de domínio) em ACLs (listas de controle de acesso) que controlam o acesso a objetos no AD LDS, o Windows não pode autenticar usuários armazenados no AD LDS nem utilizar usuários do AD LDS em suas ACLs. Além disso, o AD LDS não dá suporte a domínios e florestas, à Diretiva de grupo ou a catálogos globais. Quem estaria interessado no AD LDS?


O AD LDS será especialmente útil para organizações que têm os seguintes requisitos: Diretórios específicos de aplicativos que usam esquemas personalizados ou dependem do gerenciamento de diretórios centralizado Os diretórios AD LDS são separados da infra-estrutura de domínio do AD DS. Por isso, eles podem dar suporte a aplicativos que dependem de extensões de esquema não desejáveis no diretório AD DS, como extensões de esquema úteis para um só aplicativo. Além disso, o administrador de servidor local pode administrar os diretórios do AD LDS; os administradores de domínio não precisam oferecer suporte administrativo. Ambientes de desenvolvimento e criação de protótipo de aplicativos habilitados em diretório que são separados da estrutura de domínio da empresa Os desenvolvedores de aplicativos que criam aplicativos habilitados em diretório podem instalar a função AD LDS em qualquer servidor, até mesmo em servidores autônomos. Conseqüentemente, eles podem controlar e modificar o diretório no ambiente de desenvolvimento sem interferir na infra-estrutura AD DS da organização. Esses aplicativos podem ser implantados posteriormente com o AD LDS ou o AD DS como serviço de diretório do aplicativo, conforme apropriado. Os administradores de rede podem usar o AD LDS como ambiente piloto ou de protótipo para aplicativos que serão implantados futuramente com o AD DS como armazenamento de diretórios, desde que o aplicativo não dependa de recursos específicos do AD DS. Gerenciamento do acesso de computadores cliente externos a recursos de rede As empresas que precisam autenticar computadores cliente de extranet, como computadores cliente temporários ou da Web, podem usar o AD LDS como armazenamento de diretório para autenticação. Isso ajuda que elas evitem manter informações de clientes externos no diretório de domínio da empresa. Habilitação de computadores cliente LDAP anteriores em um ambiente heterogêneo para autenticação no AD DS Quando organizações se fundem, geralmente é necessário integrar os


computadores cliente LDAP que executam diferentes sistemas operacionais de servidor em uma única infra-estrutura de rede. Nesses casos, em vez de imediatamente atualizar os computadores cliente que executam aplicativos LDAP anteriores ou de modificar o esquema AD DS para que ele funcione com clientes anteriores, os administradores de rede podem instalar a função de servidor AD LDS em um ou mais servidores. A função de servidor AD LDS funciona como um armazenamento de diretório temporário que usa o esquema anterior até que os computadores cliente possam ser atualizados para usar o AD DS de maneira nativa para acesso e autenticação LDAP. Há considerações especiais? Como o AD LDS foi desenvolvido para ser um serviço de diretório para aplicativos, é esperado que os aplicativos irão criar, gerenciar e remover objetos de diretório. Como serviço de diretório de uso geral, o AD LDS não tem suporte em ferramentas orientadas por domínio, como: Domínios e relações de confiança do Active Directory Usuários e Computadores do Active Directory Serviços e Sites do Active Directory No entanto, os administradores podem gerenciar diretórios AD LDS usando ferramentas de diretório como as seguintes: ADSI Editar (para exibir, modificar, criar e excluir qualquer objeto no AD LDS) Ldp.exe (para administração geral de LDAP) Outros utilitários de gerenciamento de esquema Preciso alterar algum código existente? Os aplicativos projetados para funcionar com o ADAM não exigem alterações para funcionar com o AD LDS. Função Active Directory Rights Management Services Atualizado: janeiro de 2008 Aplica-se a: Windows Server 2008


Para Windows Server® 2008, o Active Directory Rights Management Services (AD RMS) inclui diversos novos recursos que não estavam disponíveis no Microsoft® Windows® Rights Management Services (RMS). Esses novos recursos foram criados para facilitar a sobrecarga administrativa do AD RMS e para estender seu uso fora da organização. Estes novos recursos possuem: Inclusão do AD RMS no Windows Server 2008 como uma função de servidor Administração por MMC (Console de Gerenciamento Microsoft) Integração com AD FS (Serviços de Federação do Active Directory) Auto-inscrição de servidores do AD RMS Capacidade de delegar responsabilidade por meio de novas funções administrativas do AD RMS Observação Este tópico se concentra nos recursos específicos do AD RMS que estão sendo lançados com o Windows Server 2008. As versões anteriores do RMS foram disponibilizadas como um download separado. Para obter mais informações sobre os recursos disponibilizados no RMS, consulte o Windows Server 2003 Rights Management Services (RMS) (http://go.microsoft.com/fwlink/?LinkId=68637). O que o AD RMS faz? O AD RMS, uma tecnologia agnóstica de aplicativo e formato, fornece serviços para permitir a criação de soluções de proteção de informações. Ele funcionará com qualquer aplicativo habilitado para AD RMS a fim de fornecer diretivas de uso persistente para informações confidenciais. O conteúdo que pode ser protegido pelo uso do AD RMS inclui sites de intranet, mensagens de email e documentos. O AD RMS inclui um conjunto de funções principais que permite que os desenvolvedores adicionem proteção de informações para a funcionalidade de aplicativos existentes. Um sistema do AD RMS, que inclui componentes de servidor e cliente, executa os seguintes processos: Informações protegidas por direitos de licenciamento. Um sistema do AD RMS emite certificados de conta de direitos, que identifica entidades confiáveis (como usuários, grupos e serviços) que podem publicar conteúdo protegido por direitos. Depois que a relação de confiança tiver


sido estabelecida, os usuários podem atribuir direitos de uso e condições para o conteúdo que desejam proteger. Esses direitos de uso especificam quem pode acessar o conteúdo protegido por direitos e o que podem fazer com ele. Quando o conteúdo é protegido, uma licença de publicação é criada para o conteúdo. Esta licença liga os direitos de uso específicos a uma determinada parte do conteúdo de forma que o conteúdo possa ser distribuído. Por exemplo, os usuários podem enviar documentos protegidos por direitos para outros usuários dentro ou fora da organização sem o conteúdo perder sua proteção de direitos. Aquisição de licenças para descriptografar conteúdo protegido por direitos e aplicar diretivas de uso. Os usuários que foram concedidos um certificado de conta de direitos podem acessar o conteúdo protegido por direitos usando um aplicativo cliente habilitado para AD RMS, que permite aos usuários exibir e trabalhar com conteúdo protegido por direitos. Quando os usuários tentam acessar o conteúdo protegido por direitos, as solicitações são enviadas para o AD RMS acessar ou “consumir” esse conteúdo. Quando um usuário tenta consumir o conteúdo protegido, o serviço de licenciamento do AD RMS no cluster do AD RMS emite uma licença de uso único que lê, interpreta e aplica os direitos de uso e as condições especificadas nas licenças de publicação. Os direitos de uso e as condições são persistentes e aplicados automaticamente em qualquer local do conteúdo. Criação de arquivos e modelos protegidos por direitos. Os usuários que são entidades confiáveis em um sistema do AD RMS podem criar e gerenciar arquivos com proteção aperfeiçoada, usando ferramentas de criação familiares em um aplicativo habilitado para AD RMS, que incorpora os recursos da tecnologia AD RMS. Além disso, os aplicativos habilitados para AD RMS podem usar modelos de direitos de uso oficialmente autorizados e centralmente definidos para ajudar os usuários a aplicar de forma eficiente um conjunto predefinido de diretivas de uso. Quem estaria interessado nessa função de servidor? O AD RMS foi criado para ajudar a tornar o conteúdo mais seguro, independentemente de o conteúdo protegido por direitos poder ser movido. Você deve examinar esta seção e a documentação adicional sobre o AD RMS, se estiver em qualquer um destes grupos: Planejadores e analistas de TI que estão avaliando os produtos de gerenciamento de direitos da empresa


Profissionais de TI responsáveis pelo suporte de uma infra-estrutura de RMS existente Arquitetos de segurança de TI que estão interessados na implantação da tecnologia de proteção de informações que fornece proteção para dados parados e em movimento Há considerações especiais? O AD RMS depende dos Serviços de Domínio Active Directory (AD DS) para verificar se o usuário que está tentando consumir conteúdo protegido por direitos está autorizado a fazer isso. Ao registrar o ponto de conexão de serviço (SCP) do AD RMS durante a instalação, a conta de usuário da instalação deve ter acesso de gravação para o contêiner Serviços no AD DS. Finalmente, todas as informações de configuração e registro são armazenadas no Banco de Dados de Logs do AD RMS. Em um ambiente de teste, você pode usar o Banco de Dados Interno do Windows, mas em um ambiente de produção, recomendamos usar um servidor de banco de dados separado. O que a nova funcionalidade faz essa função de servidor proporcionar? O AD RMS inclui diversas melhorias em relação às versões anteriores do RMS. Entre elas estão as seguintes: Experiência de instalação e administração melhorada. O AD RMS está incluído no Windows Server 2008 e é instalado como uma função de servidor. Adicionalmente, a administração do AD RMS é feita por um MMC, ao contrário da administração do site apresentada nas versões anteriores. Auto-inscrição do cluster do AD RMS. O cluster do AD RMS pode ser inscrito sem a necessidade de se conectar ao Serviço de Inscrição da Microsoft. Através do uso de um certificado de auto-inscrição de servidor, o processo de inscrição é feito completamente no computador local. Integração com o AD FS. O AD RMS e o AD FS foram integrados de forma que as empresas possam aproveitar as relações federadas para colaborar com parceiros externos. Novas funções administrativas do AD RMS. A capacidade de delegar tarefas do AD RMS para diferentes administradores é necessária em qualquer ambiente corporativo e está incluída nesta versão do AD RMS. Três funções administrativas foram criadas: Administradores de Empresas


do AD RMS, Administradores de Modelos do AD RMS e Auditores do AD RMS. Experiência de instalação e administração melhorada O AD RMS no Windows Server 2008 traz muitas melhorias para a experiência de instalação e administração. Nas versões anteriores do RMS, um pacote de instalação separado tinha que ser baixado e instalado, mas nesta versão, o AD RMS foi integrado ao sistema operacional e está instalado como uma função de servidor através do Gerenciador de Servidores. A configuração e o provisionamento é alcançado através da instalação da função de servidor. Além disso, o Gerenciador de Servidores lista e instala automaticamente todos os serviços dos quais o AD RMS é dependente, como o Serviço de Enfileiramento de Mensagens e Servidor Web (IIS), durante a instalação da função de servidor do AD RMS. Durante a instalação, se você não especificar um banco de dados remoto como o banco de dados de Configuração e Log do AD RMS, a instalação da função de servidor do AD RMS instala e configura automaticamente o Banco de Dados Interno do Windows para usar com o AD RMS. Nas versões anteriores do RMS, a administração foi feita através de uma interface da Web. No AD RMS, a interface administrativa foi migrada para um console do snap-in MMC. O console do AD RMS fornece a você toda a funcionalidade disponível com a versão anterior do RMS, mas em uma interface que é muito mais fácil de usar. Por que esta funcionalidade é importante? A oferta do AD RMS como uma função de servidor que está incluída no Windows Server 2008 torna o processo de instalação menos penoso não exigindo que você baixe o AD RMS separadamente antes de instalá-lo. O uso de um console do AD RMS para administração em vez de uma interface de navegador disponibiliza mais opções para melhorar a interface do usuário. O console do AD RMS emprega elementos da interface do usuário consistentes em todo o Windows Server 2008, que são bem mais fáceis de seguir e navegar. Além disso, com a inclusão das funções de administração do AD RMS, o console do AD RMS exibe somente as partes do console que o usuário pode acessar. Por exemplo, um usuário que está usando a função de administração Administradores de Modelos do AD RMS está restrito a tarefas específicas dos modelos do AD RMS. Todas as outras tarefas administrativas não estão disponíveis no console do AD RMS. Auto-inscrição do servidor do AD RMS


A inscrição do servidor no AD RMS é o processo de criação e assinatura de um certificado de licenciante para servidor (SLC) que concede ao servidor do AD RMS o direito de emitir certificados e licenças. Nas versões anteriores do RMS, o SLC deveria ser assinado pelo Serviço de Inscrição da Microsoft através de uma conexão com a Internet. Isso exigia que o servidor do RMS tivesse conexão com a Internet para fazer a inscrição online com o Serviço de Inscrição da Microsoft ou pudesse se conectar a outro computador com acesso à Internet para fazer a inscrição offline do servidor. No AD RMS com Windows Server 2008, o requisito para o servidor do AD RMS contatar diretamente o Serviço de Inscrição da Microsoft foi removido. Em vez disso, um certificado de auto-inscrição do servidor foi incluído no Windows Server 2008 que assina o SLC do servidor do AD RMS. Por que esta funcionalidade é importante? A exigência da assinatura do SLC pelo Serviço de Inscrição da Microsoft introduziu uma dependência operacional que muitos clientes não desejavam introduzir em seu ambiente. O Serviço de Inscrição da Microsoft não é mais necessário para assinar o SLC. O que funciona de modo diferente? Em vez de exigir o Serviço de Inscrição da Microsoft para assinar o SLC do servidor do AD RMS, o certificado de auto-inscrição do servidor, incluído no Windows Server 2008, pode assinar o SLC localmente. O certificado de autoinscrição do servidor permite que o AD RMS opere em uma rede inteiramente isolada da Internet. Como devo me preparar para esta alteração? Quando você fizer a atualização do RMS com Service Pack 1 (SP1) ou posterior, o cluster raiz deve ser atualizado antes do cluster somente de licenciamento. Isso é necessário para que o cluster somente de licenciamento receba o novo SLC auto-inscrito do cluster raiz. Integração com o AD FS As empresas estão sentindo muito a necessidade de colaborar fora dos seus limites e estão procurando na federação uma solução. O suporte à federação com o AD RMS permitirá que as empresas aproveitem as relações federadas estabelecidas para possibilitar a colaboração com entidades externas. Por exemplo, uma organização que implantou o AD RMS pode configurar a federação com uma entidade externa usando o AD FS e pode aproveitar esta


relação para compartilhar o conteúdo protegido por direitos entre as duas organizações sem exigir uma implantação do AD RMS em ambos os locais. Por que esta funcionalidade é importante? Nas versões anteriores do RMS, as opções de colaboração externa do conteúdo protegido por direitos era limitada ao Windows Live™ ID. A integração do AD FS com o AD RMS fornece a capacidade de estabelecer entidades federadas entre organizações e compartilhar conteúdo protegido por direitos. Como devo me preparar para esta alteração? Se você estiver interessado em usar o AD FS com o AD RMS, deve ter uma relação de confiança federada entre sua organização e os parceiros externos com quem gostaria de colaborar antes de o AD RMS ser instalado. Além disso, você deve usar o cliente do AD RMS incluído no Windows Vista® ou Cliente RMS com Service Pack 2 (SP2) para beneficiar-se da integração do AD FS com o AD RMS. Os clientes RMS anteriores ao Cliente RMS com SP2 não oferecerão suporte à colaboração do AD FS. Novas funções administrativas do AD RMS Para delegar melhor o controle do ambiente do AD RMS, novas funções administrativas foram criadas. Essas funções administrativas são grupos de segurança local criados quando a função do AD RMS foi instalada. Cada função administrativa tem diferentes níveis de acesso ao AD RMS associados a elas. As novas funções são Grupo de Serviços do AD RMS, Administradores de Empresas do AD RMS, Administradores de Modelos do AD RMS e Auditores do AD RMS. O Grupo de Serviços do AD RMS mantém a conta de serviço do AD RMS. Quando a função do AD RMS é adicionada, a conta de serviço configurada durante a instalação é adicionada a esta função administrativa automaticamente. A função Administradores de Empresas do AD RMS permite que os membros deste grupo gerenciem todas as diretivas e configurações do AD RMS. Durante o provisionamento do AD RMS, a conta de usuário que está instalando a função de servidor do AD RMS e o grupo de administradores locais são adicionados à função Administradores de Empresas do AD RMS. Como prática recomendada, a associação deste grupo deve ser restrita a somente contas de usuários que precisam de controle administrativo completo do AD RMS.


A função Administradores de Modelos do AD RMS permite que os membros deste grupo gerenciem os modelos de diretiva de direitos. Especificamente, os Administradores de Modelos do AD RMS podem ler informações de cluster, listar modelos de diretiva de direitos, criar novos modelos de diretiva de direitos, modificar modelo existente de diretiva de direitos e exportar modelos de diretiva de direitos. A função Auditores do AD RMS permite que os membros deste grupo gerenciem logs e relatórios. Esta é uma função somente leitura que é restrita à leitura de informações de cluster, leitura de configurações de log e execução de relatórios disponíveis no cluster do AD RMS. Por que esta funcionalidade é importante? As novas funções administrativas do AD RMS fornecem a você a oportunidade de delegar tarefas do AD RMS sem conceder controle administrativo completo sobre o cluster inteiro do AD RMS. Como devo me preparar para esta alteração? Os clientes que desejam implantar o AD RMS na organização não terão que fazer nada para se preparar para esta alteração. Opcionalmente, é recomendável criar grupos de segurança do Active Directory para cada uma dessas funções administrativas e adicioná-las aos respectivos grupos de segurança local. Isso o concederá a capacidade de escalar a implantação do AD RMS em diversos servidores sem a necessidade de adicionar contas de usuário específicas a cada servidor do AD RMS. Que funcionalidade existente está sendo alterada? As versões anteriores do AD RMS foram fornecidas como uma instalação separada disponível do Centro de Download da Microsoft. Para obter informações técnicas sobre versões anteriores do RMS, consulte http://go.microsoft.com/fwlink/?LinkId=68637. Função Servidor de Aplicativos Atualizado: maio de 2008 Aplica-se a: Windows Server 2008 Servidor de Aplicativos é uma função de servidor expandida no Windows Server® 2008. A nova versão do Servidor de Aplicativos oferece um ambiente integrado para a implantação e execução de aplicativos de negócios baseados em servidor personalizados. Esses aplicativos respondem a


solicitações que chegam em rede, de computadores clientes remotos ou de outros aplicativos. Geralmente, os aplicativos implantados e executados no Servidor de Aplicativos tiram proveito de uma ou mais das seguintes tecnologias: Serviços de Informações da Internet (IIS) (o servidor HTTP integrado ao Windows Server) Microsoft® .NET Framework versões 3.0 e 2.0 ASP.NET COM+ Serviço de enfileiramento de mensagens Serviços Web integrados ao WCF (Windows Communication Foundation) A função Servidor de Aplicativos é útil quando o Windows Server 2008 executa aplicativos que dependam de serviços ou recursos que façam parte da função de Servidor de Aplicativos integrada e aquela selecionada por você durante o processo de instalação. Por exemplo, você pode fazer uma configuração específica do Microsoft BizTalk® Server que utilize um conjunto de serviços ou recursos integrantes do ambiente do Servidor de Aplicativos. Normalmente, a função Servidor de Aplicativos é exigida na implantação de um aplicativo financeiro desenvolvido em sua organização (ou por um fornecedor independente de software (ISV) para sua organização) e quando o desenvolvedor tiver indicado a exigência de serviços de função específicos. Por exemplo, sua organização pode ter um aplicativo de processamento de pedidos que acesse registros de clientes armazenados em um banco de dados. O aplicativo acessa as informações de clientes através de um conjunto de serviços Web WCF. Nesse caso, você pode configurar um computador com Windows Server 2008 como servidor de aplicativos e pode instalar o banco de dados no mesmo ou em outro computador. Nem todos aplicativos de servidor exigem a instalação da função de Servidor de Aplicativos para serem corretamente executados. Por exemplo, a função Servidor de Aplicativos não é necessária para o suporte ao Microsoft Exchange Server ou Microsoft SQL Server no Windows Server 2008. Para determinar se a função Servidor de Aplicativos é necessária aos aplicativos de negócios de sua organização, instrua seus administradores a trabalhar em conjunto com os desenvolvedores de aplicativos a fim de entender


os requisitos do aplicativo, por exemplo, se utilizam o Microsoft .NET Framework 3.0 ou componentes COM+. O que o Servidor de Aplicativos faz? O Servidor de Aplicativos oferece os seguintes benefícios: Um tempo de execução que oferece suporte à implantação e gerenciamento eficazes de aplicativos de negócios baseados em servidores de alto desempenho. Esses aplicativos podem cumprir solicitações de sistemas de clientes remotos, incluindo navegadores da Web que se conectem utilizando a Internet pública, redes ou intranets corporativas, além de sistemas remotos que possam enviar solicitações como mensagens. O .NET Framework 3.0., que oferece aos desenvolvedores um modelo de programação simplificado para aplicativos de servidores conectados. Os desenvolvedores usam as bibliotecas internas do .NET Framework para muitas funções de aplicativos, incluindo entrada/saída (E/S), processamento numérico e de texto, acesso a bancos de dados, processamento de XML, controle de transações, fluxo de trabalho e serviços Web. Para administradores de sistemas, o .NET Framework oferece um tempo de execução com alto desempenho para aplicativos baseados em servidor, além da configuração de aplicativos e do ambiente de implantação simplificados. Instalação do Windows Server 2008 através de um Assistente para Adicionar Funções novo e amigável que ajuda a escolher os serviços de função e recursos necessários à execução dos seus aplicativos. O Assistente para Adicionar Funções instala automaticamente todos os recursos necessários a um determinado serviço de função e facilita a instalação e a configuração de um computador como servidor de aplicativos para seus aplicativos comerciais. Quem estaria interessado nessa função? Estas informações sobre a função Servidor de Aplicativos são destinadas principalmente a profissionais da tecnologia da informação (TI) responsáveis pelas tarefas de implantação e manutenção de aplicativos de LOB (linha de negócios). Os aplicativos LOB normalmente são desenvolvidos na sua organização ou para ela. Um ambiente de servidor de aplicativos consiste em um ou mais servidores com Windows Server 2008 configurados com a função Servidor de Aplicativos. Isso inclui servidores executam as seguintes ações:


Hospedar aplicativos criados com o .NET Framework 3.0 Hospedar aplicativos criados para usar COM+, Enfileiramento de Mensagens, Serviços Web e transações distribuídas Conectar-se a uma intranet ou à Internet para trocar informações Hospedar aplicativos que expõem ou consomem serviços Web Hospedar aplicativos que expõem páginas da Web Interoperam com outros sistemas remotos executados em diferentes plataformas e sistemas operacionais Um ambiente do Servidor de Aplicativos também pode incluir os seguintes itens: Computadores clientes associados ao domínio e seus usuários Computadores usados principalmente para gerenciamento dos servidores de aplicativos Servidores de infra-estrutura que executam recursos, como os Serviços de Domínio Active Directory (AD DS) ou outros repositórios LDAP, Serviços de Certificados, gateways de segurança, servidores de processos, servidores de integração, gateways de aplicativos ou de dados e bancos de dados Que nova funcionalidade esta função oferece? A nova versão expandida da função Servidor de Aplicativos é instalada através do Assistente para Adicionar Funções no Gerenciador de Servidores. Os administradores que possuem aplicativos LOB criados com o .NET Framework 3.0 podem descobrir que instalar um ambiente de host para esses aplicativos é mais simples com essa função de servidor. O Assistente para Adicionar Funções orienta o administrador no processo de seleção dos serviços de função ou recursos de suporte disponíveis nesta função e podem ser necessários para a execução de aplicativos LOB específicos. Application Server Foundation O Application Server Foundation é o grupo de tecnologias instaladas por padrão quando a função de Servidor de Aplicativos é instalada. O Application Server Foundation é basicamente o NET Framework 3.0..


O Windows Server 2008 inclui o .NET Framework 2.0, qualquer que seja a função de servidor instalada. O .NET Framework 2.0 contém o Common Language Runtime (CLR), que proporciona um ambiente de execução de código que promove a execução segura de código, a implantação simplificada do código e o suporte à interoperabilidade de várias linguagens, bem como diversas bibliotecas para a criação de aplicativos. O Application Server Foundation adiciona os recursos do .NET Framework 3.0 aos recursos básicos do .NET Framework 2.0. Para obter mais informações sobre o .NET Framework 3.0, consulte .NET Framework Developer Center (http://go.microsoft.com/fwlink/?LinkId=81263). Por que essa funcionalidade é importante? Os componentes principais do Application Server Foundation são instalados como um conjunto de bibliotecas de códigos e assemblies .NET. Estes são os componentes principais do Application Server Foundation: Windows Communication Foundation (WCF) Windows Workflow Foundation (WF) Windows Presentation Foundation (WPF) Entre esses três, o WCF e o WF são usados comumente em aplicativos baseados em servidor e em cliente. O WPF é usado principalmente em aplicativos baseados em cliente e não é discutido em profundidade aqui. Para obter mais informações sobre WPF, consulte o texto sobre o Windows Presentation Foundation (http://go.microsoft.com/fwlink/?LinkId=78407). (Essa página pode estar em inglês.) O WCF é o modelo de programação unificado da Microsoft para aplicativos conectados que usam serviços Web para comunicar-se entre si. Esses aplicativos também são conhecidos como aplicativos orientados para serviços (SOA) e sua importância para os negócios é crescente. Os desenvolvedores podem usar o WCF para criar aplicativos SOA seguros e confiáveis, serviços de Web transacionados que se comunicam em plataformas e interoperam com sistemas e aplicativos existentes em sua organização. O WCF permite que os desenvolvedores componham ou combinem as várias tecnologias hoje disponíveis para a criação de aplicativos distribuídos (serviços COM+ e .NET Enterprise, Enfileiramento de Mensagens, .NET Remoting, serviços Web ASP.NET e Web Services Enhancements (WSE)) de modos adequados às necessidades comerciais ao ambiente de computação da sua organização. Para obter mais informações sobre o WCF, consulte O que é o


Windows Communication Foundation? (http://go.microsoft.com/fwlink/?LinkId=81260) (essa página pode estar em inglês). O WF é um modelo e mecanismo de programação para a rápida criação de aplicativos habilitados para fluxo de trabalho no Windows Server 2008. Um fluxo de trabalho é um conjunto de atividades que descrevem um processo de trabalho real, como, por exemplo, um processamento de pedido de compra. Um fluxo de trabalho é comumente descrito e exibido graficamente — como um fluxograma. A descrição do fluxo de trabalho é freqüentemente chamada de "modelo". Os itens de trabalho passam pelo modelo do fluxo de trabalho desde o começo até o final. Os itens ou as atividades de trabalho do modelo podem ser executados por pessoas, sistemas ou computadores. Embora seja possível descrever um fluxo de trabalho em linguagens de programação tradicionais como uma série de etapas e condições, no caso de fluxos de trabalho mais complexos que oferecem suporte a revisões mais simples, fazer o design gráfico do fluxo de trabalho e armazenar esse design como modelo normalmente são tarefas muito mais adequadas e flexíveis. O WF oferece suporte para fluxos de trabalhos do sistema e humano em diversos cenários, incluindo: Fluxo de trabalho em aplicativos LOB O fluxo seqüencial de telas, páginas e caixas de diálogo tal como é apresentado ao usuário em resposta à sua interação com a interface do usuário Fluxo de trabalho centrado em documentos, por exemplo, o processamento de um pedido de compra ou um registro médico Interação com o fluxo de trabalho humano, como o envio e recebimento de emails de clientes Fluxo de trabalho composto para SOA Fluxo de trabalho orientado para regras comerciais, por exemplo: "Segunda-feira às 17:00 enviar uma solicitação de catálogo de atualização aos parceiros comerciais." Fluxos de trabalho para gerenciamento dos sistemas


Para obter mais informações sobre o WF, consulte o texto sobre o Windows Workflow Foundation (http://go.microsoft.com/fwlink/?LinkId=82119). (Essa página pode estar em inglês.) O que funciona de modo diferente? Embora haja uma função Servidor de Aplicativos no Windows Server 2003, a nova função expandida Servidor de Aplicativos disponível no Windows Server 2008 não é apenas uma atualização da ferramenta de configuração de servidores de aplicativos incluída no Windows Server 2003 ou de um sistema operacional anterior. Como os recursos da função são completamente novos, os administradores devem estar cientes de que não há caminho de migração para a ferramenta de configuração do Servidor de Aplicativos do Windows Server 2003 ou de sistemas operacionais anteriores. Como solucionar esses problemas? Se você atualizar seu servidor para o Windows Server 2008 do Windows Server 2003 ou de um sistema operacional anterior e quiser usar os recursos da função Servidor de Aplicativos, deverá reinstalar essa função usando o Assistente para Adicionar Funções no Gerenciador de Servidores. Desde que você configure o Windows Server 2008 com os serviços de aplicativos corretos com o uso do Assistente para Adicionar Funções no Gerenciador de Servidores, poderá facilmente passar seus aplicativos do Windows Server 2003 para o Windows Server 2008. Quando eu devo usar a função de Servidor de Aplicativos? Se os aplicativos LOB baseados em servidor que você precisa implantar e gerenciar exigirem uma ou mais das seguintes tecnologias: Microsoft .NET Framework 3.0, Enfileiramento de Mensagens, COM+ ou transações distribuídas, considere a possibilidade de configurar seu servidor na função de Servidor de Aplicativos. Como devo me preparar para a instalação? Como parte da preparação para a instalação da função de Servidor de Aplicativos, crie um inventário dos aplicativos que serão executados neste servidor. Se você for administrador, trabalhe com dois desenvolvedores ou com o ISV que desenvolveu os aplicativos para identificar as tecnologias de suporte e configurações que devem estar presentes no servidor para a execução dos aplicativos. Em seguida, mapeie essas tecnologias para os serviços de função descritos nas seções a seguir, para poder selecionar e configurar corretamente os serviços durante a instalação da função de servidor. Normalmente, o


desenvolvedor ou ISV fornece uma lista das tecnologias que devem ser instaladas para este aplicativo, por exemplo, .NET Framework 3.0. Servidor Web Esta opção instala o IIS versão 7.0, o servidor Web interno do Windows Server 2008. O IIS está disponível no Windows Server há muitos anos, mas sofreu uma revisão significativa para o Windows Server 2008 para oferecer aprimoramentos de desempenho, segurança, gerenciamento, compatibilidade, confiabilidade e modularidade. O IIS fornece os seguintes benefícios básicos: O IIS habilita o Servidor de Aplicativos a hospedar sites ou serviços internos e externos com conteúdo estático ou dinâmico. O IIS oferece suporte à execução de aplicativos ASP.NET acessados através de navegadores da Web. O IIS oferece suporte à execução de serviços Web criados com o Microsoft WCF ou ASP.NET. Rede COM+ Essa opção adiciona o Acesso à Rede COM+ para invocação remota de aplicativos criados e hospedados em componentes do COM+ e do Enterprise Services. Tais aplicativos são também chamados de componentes Enterprise Services. O Acesso à Rede COM+ é um dos recursos de invocação remota com suporte no Windows Server desde o Windows 2000 Server, e continua a ter suporte no Windows Server 2008. Os aplicativos mais recentes normalmente usam o WCF para oferecer suporte à invocação remota, pois o WCF proporciona interoperabilidade em várias plataformas. Serviço de Ativação de Processos do Windows Esta opção adiciona o Serviço de Ativação de Processo do Windows (WAS). O Serviço de Ativação de Processo do Windows pode iniciar e interromper aplicativos dinamicamente com base em mensagens recebidas pela rede via HTTP, Enfileiramento de Mensagens, TCP e protocolos pipes nomeados. O recurso de início e interrupção dinâmica de aplicativos significa que os recursos de servidor são usados com mais eficiência. O WAS é um serviço novo no Windows Server 2008.


Compartilhamento de porta Net.TCP Esta opção adiciona o Serviço de Compartilhamento de Porta Net.TCP. Esse serviço de função permite que vários aplicativos usem uma única porta TCP para comunicações de entrada. Por exemplo, um SOA criado com o WCF pode compartilhar a mesma porta. O compartilhamento de portas é freqüentemente um requisito quando configurações de firewall ou restrições de rede permitem apenas um número limitado de portas abertas ou quando várias instâncias distintas de um aplicativo WCF devem ser executadas e estar disponíveis ao mesmo tempo. Para que vários aplicativos WCF possam compartilhar portas (multiplexação), o Serviço de Compartilhamento de Porta Net.TCP realiza a multiplexação. O Serviço de Compartilhamento de Porta Net.TCP aceita solicitações de conexão de entrada usando o protocolo TCP. Em seguida, o serviço encaminha automaticamente solicitações de entrada a vários serviços WCF de acordo com os endereços de destino das solicitações. O compartilhamento de porta funciona apenas quando aplicativos WCF usam o protocolo net.tcp para comunicações de entrada. O Compartilhamento de Porta Net.TCP é um novo serviço do Windows Server 2008. Transações distribuídas Os aplicativos que se conectam a e realizam atualizações em vários bancos de dados ou outros recursos transacionais podem exigir que essas atualizações sejam efetuadas com a semântica transacional "tudo ou nada", uma tecnologia que assegura que cada parte da transação seja concluída, do contrário a transação inteira é revertida ao seu estado original. O suporte para transações distribuídas no Windows Server 2008 proporciona um meio para que os aplicativos cumpram esse requisito. O suporte à transação distribuída existe no Windows Server desde o Microsoft Windows NT® Server 4.0, e esse suporte continua no Windows Server 2008. Essa função está disponível em todas as edições do Windows Server 2008? O Servidor de Aplicativos está disponível nas seguintes edições do Windows Server 2008: Windows Server 2008 Standard Windows Server 2008 Enterprise


Windows Server 2008 Datacenter Windows Server 2008 para sistemas baseados em Itanium A função de Servidor de Aplicativos não está disponível na seguinte edição do Windows Server 2008: Windows Web Server 2008 O comportamento é diferente em algumas edições? O comportamento do Servidor de Aplicativos não varia em função da edição do Windows Server 2008. Ele está disponível nas versões de 32 e 64 bits? O Servidor de Aplicativos está disponível nas versões de 32 e 64 bits do Windows Server 2008. Função Servidor DNS Atualizado: janeiro de 2008 Aplica-se a: Windows Server 2008 O sistema de nome de domínio (DNS) é um sistema que nomeia computadores e serviços de rede e é organizado em uma hierarquia de domínios. As redes TCP/IP, como a Internet, usam DNS para localizar computadores e serviços através de nomes amigáveis. Para facilitar o uso dos recursos da rede, sistemas de nomes como o DNS oferecem uma forma de mapear o nome amigável de um computador ou serviço para outras informações associadas a esse nome, como seu endereço IP. Um nome amigável é mais facilmente aprendido e lembrado do que endereços numéricos que os computadores usam para comunicar-se em rede. Muitas pessoas preferem usar um nome amigável — por exemplo, vendas.fabrikam.com — para localizar um servidor de email ou servidor Web em uma rede, no lugar do endereço IP, por exemplo, 157.60.0.1. Quando um usuário insere um nome DNS amigável em um aplicativo, os serviços DNS resolvem o nome em relação ao seu endereço numérico. O que um servidor DNS faz? Um servidor DNS oferece resolução de nome para redes baseadas em TCP/IP. Ou seja, possibilita que usuários de computadores clientes usem nomes, em


vez de endereços IP numéricos, para identificar hosts remotos. Um computador cliente envia o nome de um host remoto a um servidor DNS, que responde com o endereço IP correspondente. O computador cliente pode, então, enviar mensagens diretamente ao endereço IP do host remoto. Se o servidor DNS não tiver uma entrada em seu banco de dados para o host remoto, pode responder ao cliente com o endereço de um servidor DNS que mais provavelmente tem informações sobre esse host remoto, ou consultar outro servidor DNS. Esse processo pode ocorrer recursivamente até que cada computador cliente receba o endereço IP ou é definido que o nome consultado não pertence a um host nesse namespace DNS específico. O servidor DNS em Windows Server® 2008 é compatível com o conjunto Requests for Comments (RFCs) que define e padroniza o protocolo DNS. Como o serviço Servidor DNS é compatível com RFC e pode usar formatos padrão de arquivo de dados DNS e de registros de recursos, pode funcionar bem com a maioria das outras implementações de servidor DNS, como aquelas que usam o software Berkeley Internet Name Domain (BIND). Além disso, o servidor DNS no Windows Server 2008 oferece as seguintes vantagens especiais em redes baseadas em Windows®: Suporte para Serviços de Domínio Active Directory® (AD DS) O DNS é necessário para o suporte do AD DS. Se você instalar a função Serviços de Domínio Active Directory em um servidor, pode instalar e configurar automaticamente um servidor DNS, se não for possível localizar um servidor DNS que atenda aos requisitos do AD DS. As zonas DNS podem ser armazenadas nas partições de diretório de domínios ou de aplicativos do AD DS. Uma partição é um contêiner de dados no AD DS que diferencia os dados para diversas finalidades de replicação. Você pode especificar em que partição do Active Directory a zona será armazenada e, conseqüentemente, o conjunto de controladores de domínio no qual os dados dessa zona serão replicados. Em termos gerais, é altamente recomendável o uso do serviço DNS Server do Windows Server 2008 para que haja melhor suporte e integração possíveis do AD DS, além de recursos de servidor DNS aprimorados. Você pode, no entanto, usar outro tipo de servidor DNS para oferecer suporte à implantação do AD DS. Zonas de stub O DNS executado no Windows Server 2008 oferece suporte a um tipo de


zona chamado zona de stub. Trata-se de uma cópia de uma zona que contém somente os registros de recursos necessários à identificação dos servidores DNS autoritativos para essa zona. Uma zona de stub mantém informado um servidor DNS que hospeda uma zona pai sobre os servidores DNS autoritativos para sua zona filha. Isso ajuda a manter a eficiência da resolução de nomes DNS. Integração com outros serviços de rede da Microsoft O serviço Servidor DNS oferece integração com outros serviços e contém recursos além daqueles especificados nas RFCs do DNS. Esses recursos incluem a integração com outros serviços, como AD DS, Serviço de Cadastramento na Internet do Windows (WINS) e Protocolo DHCP. Mais facilidade de administração O snap-in do DNS no Console de Gerenciamento Microsoft (MMC), oferece uma interface gráfica do usuário (GUI) para o gerenciamento do serviço Servidor DNS. Além disso, existem vários assistentes de configuração a execução de tarefas comuns de administração do servidor. Além do console do DNS, outras ferramentas foram fornecidas para ajudá-lo a gerenciar melhor e a oferecer suporte aos servidores e clientes DNS da sua rede. Suporte ao protocolo de atualização dinâmica em conformidade com a RFC Os clientes podem usar o serviço Servidor DNS para atualizar dinamicamente os registros de recursos, com base no protocolo de atualização dinâmica (RFC 2136). Isso aperfeiçoa a administração do DNS ao reduzir o tempo necessário para o gerenciamento manual desses registros. Os computadores que estiverem executando o serviço Cliente DNS poderão registrar seus nomes DNS e endereços IP dinamicamente. Além disso, o serviço Servidor DNS e os clientes DNS podem ser configurados para executar atualizações seguras, um recurso que permite que apenas usuários autenticados, com os devidos direitos, atualizem registros de recursos no servidor. As atualizações dinâmicas seguras estão disponíveis somente para zonas integradas ao AD DS. Suporte para transferência de zona incremental entre servidores As transferências de zona replicam informações sobre uma parte do namespace DNS entre servidores DNS. As transferências de zona


incrementais replicam somente as partes alteradas de uma zona, que conserva a largura de banda da rede. Encaminhadores condicionais O serviço Servidor DNS estende uma configuração de encaminhador padrão com encaminhadores condicionais. Um encaminhador condicional é um servidor DNS de uma rede que encaminha consultas DNS de acordo com o nome de domínio DNS na consulta. Por exemplo, um servidor DNS pode ser configurado para encaminhar todas as consultas recebidas sobre nomes que terminam com vendas.fabrikam.com para o endereço IP de um servidor DNS específico ou para os endereços IP de vários servidores DNS. Quem estaria interessado nessa função? Todas as redes TCP/IP além daquelas mais simples exigem acesso a um ou mais servidores DNS para que funcionem corretamente. Sem a resolução de nome e os outros serviços oferecidos pelos servidores DNS, o acesso de clientes a computadores host remotos seria enormemente difícil. Por exemplo, sem acesso a um servidor DNS, a navegação na World Wide Web seria praticamente impossível: a grande maioria dos links de hipertexto publicada na Web usa o nome DNS de hosts da Web, não seus endereços IP. O mesmo princípio é aplicável a intranets, pois os usuários dos computadores raramente conhecem os endereços IP dos computadores em sua rede local (LAN). Consideremos a implantação do serviço Servidor DNS no Windows Server 2008, se sua rede contiver algum dos seguintes itens: Computadores reunidos em domínios Computadores clientes DHCP baseados em Windows Computadores conectados à Internet Filiais ou domínios localizados em uma rede de longa distância (WAN) Há considerações especiais? Se você quiser integrar o serviço Servidor DNS com o AD DS, pode instalar o DNS e o AD DS simultaneamente, ou instalar o DNS após o AD DS e integrar o DNS em outra etapa. Você pode instalar servidores DNS endossados pelo arquivo (ou seja, servidores DNS não integrados ao AD DS) em qualquer computador da rede. Naturalmente, você deverá levar em conta a topologia e a


distribuição de tráfego da sua rede ao decidir onde implantar os servidores DNS. Que nova funcionalidade esta função de servidor oferece? O serviço Servidor DNS no Windows Server 2008 inclui diversos recursos novos e aprimorados em comparação com aqueles disponíveis nos sistemas operacionais Microsoft® Windows NT® Server, Windows 2000 Server e no Windows Server® 2003. A próxima seção descreve esses recursos. Carregamento de zonas em segundo plano Organizações muito grandes, com zonas extremamente grandes que armazenam seus dados DNS no AD DS às vezes descobrem que o reinício de um servidor DNS pode demorar uma hora ou mais enquanto os dados DNS são recuperados do serviço de diretório. O resultado é que o servidor DNS fica efetivamente indisponível para solicitações de clientes de serviço durante todo o tempo de carregamento de zonas baseadas em AD DS. Um servidor DNS com Windows Server 2008 agora carrega dados de zonas do AD DS em segundo plano enquanto é reiniciado, para que possa responder a solicitações de dados de outras zonas. Quando o servidor DNS é iniciado, ele: Enumera todas as zonas a serem carregadas. Carrega dicas de raiz de arquivos ou armazenamento AD DS. Carrega todas as zonas endossadas pelo arquivo, ou seja, armazenadas em arquivos, não no AD DS. Começa a responder a consultas e chamadas de procedimentos remotos (RPCs). Gera um ou mais threads para carregar as zonas armazenadas no AD DS. Como a tarefa de carregar zonas é executada por threads separados, o servidor DNS consegue responder às consultas com o carregamento de zonas em andamento. Se um cliente DNS solicitar dados de um host em uma zona já carregada, o servidor DNS responde com os dados (ou, se apropriado, uma resposta negativa) conforme esperado. Se a solicitação for para um nó ainda não carregado na memória, o servidor DNS lê os dados do nó do AD DS e atualiza a lista de registros desse nó. Por que essa funcionalidade é importante?


O servidor DNS pode usar o carregamento de zonas em segundo plano para começar a responder a consultas quase imediatamente quando é reiniciado, em vez de aguardar até que suas zonas sejam totalmente carregadas. O servidor DNS pode responder a consultas para os nós carregados ou que podem ser recuperados do AD DS. Essa funcionalidade também oferece outra vantagem quando os dados de zona estão armazenados no AD DS, não em um arquivo: O AD DS pode ser acessado de forma assíncrona e imediatamente quando uma consulta é recebida; os dados de zona baseados em arquivo podem ser acessados somente através de uma leitura seqüencial do arquivo. Suporte para endereços IPv6 O IP versão 6 (IPv6) especifica endereços com 128 bits, em comparação com os endereços IPv4, que têm 32 bits. Esse maior comprimento do endereço permite um número muito maior de endereços globais exclusivos para acomodar o crescimento explosivo da Internet no mundo inteiro. Os servidores DNS com Windows Server 2008 agora oferecem suporte tanto a endereços IPv6 como a endereços IPv4. Por exemplo, no snap-in do DNS, sempre que um endereço IP é digitado ou exibido, pode ter a forma de endereço IPv4 ou IPv6. A ferramenta de linha de comando dnscmd também aceita endereços nos dois formatos. Além disso, os servidores DNS agora podem enviar consultas recursivas para servidores somente IPv6 e a lista do encaminhador do servidor pode conter endereços IPv4 e IPv6. Os clientes DHCP também podem registrar endereços IPv6 além (ou no lugar) de endereços IPv4. Finalmente, os servidores DNS agora suportam o namespace de domínio ip6.arpa para mapeamento reverso. Por que essa funcionalidade é importante? O protocolo de endereçamento IPv6 está surgindo como um fator importante do crescimento da Internet. O suporte para endereçamento IPv6 no Windows Server 2008 assegura que servidores DNS poderão oferecer suporte a clientes DNS presentes e futuros criados para se beneficiarem com as vantagens dos endereços IPv6. Como devo me preparar para a mudança? Como os servidores DNS agora podem retornar tanto registros de recursos de host IPv4 (A) e de host IPv6 (AAAA) em resposta às consultas, verifique se o software cliente DNS da sua rede pode manipular tais respostas adequadamente. Talvez seja necessário atualizar ou substituir o software cliente DNS mais antigo, para assegurar a compatibilidade com esta mudança.


Suporte a controlador de domínio somente leitura O Windows Server 2008 apresenta um novo tipo de controlador de domínio, o RODC (controlador de domínio somente leitura). Um RODC fornece, na verdade, uma cópia de sombra de um controlador de domínio que não pode ser diretamente configurado, o que o torna menos vulnerável a ataques. Você pode instalar um RODC em locais onde a segurança física do controlador do domínio não pode ser garantida. Para oferecer suporte a RODCs, o servidor DNS no Windows Server 2008 oferece suporte a um novo tipo de zona, a zona primária somente leitura (às vezes chamada de zona de filial). Quando um computador passa a RODC, replica uma cópia completa do tipo somente leitura de todas as partições de diretórios de aplicativo que o DNS usa, incluindo a partição de domínio, ForestDNSZones e DomainDNSZones. Isso assegura que o servidor DNS em execução no RODC tenha uma cópia completa do tipo somente leitura de todas as zonas DNS armazenadas em um controlador de domínio com localização centralizada nessas partições de diretório. O administrador de um RODC pode exibir o conteúdo de uma zona primária somente leitura; entretanto, pode alterar o conteúdo somente mudando a zona no controlador de domínio com localização centralizada. Por que essa funcionalidade é importante? O AD DS baseia-se no DNS para fornecer serviços de resolução de nome a clientes de rede. As alterações no serviço Servidor DNS são necessárias para oferecer suporte ao AD DS em um RODC. Zona GlobalNames Hoje, muitos clientes Microsoft implantam WINS em suas redes. Como protocolo de resolução de nomes, o WINS é freqüentemente usado como protocolo secundário de resolução de nomes juntamente com o DNS. O WINS é um protocolo mais antigo e usa NetBIOS sobre TCP/IP (NetBT). Sendo assim, está prestes a se tornar obsoleto. Entretanto, as organizações continuam a usá-lo, pois apreciam os registros globais, estáticos, com nomes com rótulo único oferecidos pelo WINS. Para que as organizações possam migrar para um ambiente totalmente DNS (ou para oferecer as vantagens dos nomes globais, com rótulo único às redes DNS), o serviço Servidor DNS no Windows Server 2008 agora oferece suporte a uma zona chamada GlobalNames para conter nomes com rótulo único. Em casos típicos, o escopo da replicação dessa zona é toda a floresta, o que assegura que a zona tenha o efeito desejado de fornecer nomes exclusivos,


com rótulo único, em toda a floresta. Além disso, a zona GlobalNames pode oferecer suporte à resolução de nomes com rótulo único em toda uma organização que contenha várias florestas quando você usar registros de recursos do Local do serviço (SRV) para publicar a localização da zona GlobalNames. Ao contrário do WINS, a zona GlobalNames foi criada para fornecer resolução de nome com rótulo único para um conjunto limitado de nomes de host, normalmente servidores corporativos e sites gerenciados de forma centralizada (TI). A zona GlobalNames não se destina a ser usada para resolução de nomes ponto a ponto, como em caso de estações de trabalho, e não há suporte para atualizações dinâmicas na zona GlobalNames. Em vez disso, a zona GlobalNames é mais comumente usada para conter registros de recursos CNAME para mapear um nome com rótulo único para um nome de recurso totalmente qualificado (FQDN). Em redes que no momento usam WINS, a zona GlobalNames normalmente contém registros de recursos para nomes gerenciados por TI já estaticamente configurados no WINS. Quando a zona GlobalNames é implantada, a resolução de nomes com rótulo único por clientes funciona do seguinte modo: 1. O sufixo de DNS primário do cliente é anexado ao nome com rótulo único e a consulta é enviada ao servidor DNS. 2. Se esse FQDN não resolver, o cliente solicita a resolução usando suas listas de pesquisa de sufixos DNS (como aquelas especificadas pela Diretiva de Grupo), se houver. 3. Se nenhum desses nomes resolver, o cliente solicita resolução usando o nome com rótulo único. 4. Se o nome com rótulo único aparecer na zona GlobalNames, o servidor DNS que hospeda a zona resolve o nome. Caso contrário, a consulta falha no WINS. Não são necessárias alterações no software cliente para habilitar o nome com rótulo único com este recurso. A zona GlobalNames fornece resolução de nomes com rótulo único somente quando todos os servidores autoritativos estiverem executando o Windows Server 2008. Entretanto, outros servidores DNS (ou seja, aqueles não autoritativos para qualquer zona) podem estar executando outros sistemas operacionais. Naturalmente, a zona GlobalNames deve ser a única com esse nome na floresta.


Para oferecer o máximo em desempenho e escalabilidade, é recomendável que a zona GlobalNames seja integrada com AD DS e que cada servidor DNS autoritativo seja configurado com uma cópia local da zona GlobalNames. A integração AD DS da zona GlobalNames é necessária para o suporte à implantação da zona GlobalNames em várias florestas. Alterações de clientes DNS Embora não seja uma conseqüência direta das alterações do DNS para a função de servidor DNS, o Windows Vista® e o Windows Server 2008 trazem outros recursos ao software cliente DNS, conforme descrevem as próximas seções. LLMNR Os computadores clientes DNS podem usar a resolução de nome multicast link-local (LLMNR), também conhecida como DNS multicast ou mDNS, para resolver nomes em um segmento de rede local quando não houver um servidor DNS disponível. Por exemplo, se um roteador falhar, cortando uma sub-rede em todos os servidores DNS da rede, os clientes da sub-rede que oferece suporte ao LLMNR podem continuar a resolver nomes ponto a ponto até que a conexão de rede seja restaurada. Além de fornecer resolução de nomes em caso de falha da rede, o LLMNR também pode ser útil para estabelecer redes ad hoc, ponto a ponto, por exemplo, na área de espera de um aeroporto. Alterações nos modos como os clientes localizam seus controladores de domínio Em circunstâncias extraordinárias, o modo como os clientes DNS localizam controladores de domínio pode afetar o desempenho da rede: Um computador cliente DNS com Windows Vista ou Windows Server 2008 procura periodicamente um controlador de domínio no domínio ao qual pertence. Essa funcionalidade ajuda a evitar problemas de desempenho que podem ocorrer quando um cliente DNS localiza seu controlador de domínio durante um período de falha da rede, associando o cliente a um controlador de domínio distante, localizado em um link lento. Anteriormente, esta associação continuava até o cliente ser forçado a buscar um novo controlador de domínio, por exemplo, quando o computador cliente ficava desconectado da rede durante um longo período. Renovando periodicamente sua associação com um controlador


de domínio, um cliente DNS pode agora reduzir a probabilidade de ser associado a um controlador de domínio não apropriado. Um computador cliente DNS com Windows Vista ou Windows Server 2008 pode ser configurado (programaticamente ou com uma definição de registro) para localizar o controlador de domínio mais próximo, em vez de pesquisar aleatoriamente. Esta funcionalidade pode aprimorar o desempenho de redes que contenham domínios existentes em links lentos. Entretanto, como a localização do controlador de domínio pode, por si só, ter impacto negativo sobre o desempenho da rede, essa funcionalidade não é habilitada por padrão. Função Servidor de Fax Atualizado: janeiro de 2008 Aplica-se a: Windows Server 2008 Usando um servidor de fax, você pode gerenciar recursos de fax compartilhados. Este tópico descreve o que você pode fazer com um servidor de fax, os recursos necessários e opcionais de um servidor de fax e o hardware e o software usados para executar servidores de fax. Ele também explica como instalar a função Servidor de Fax e como abrir um Gerenciador de Serviço de Fax para trabalhar com servidores de fax. O que a função Servidor de Fax faz? Você pode usar um servidor de fax para configurar dispositivos de fax para permitir que os usuários na sua rede enviem e recebam fax. Em um computador que execute o Windows Server® 2008, primeiramente instale a função Servidor de Fax, disponível no Gerenciador de Servidores, para criar um servidor de fax e instalar o serviço de Fax e o Gerenciador de Serviços de Fax. Depois de ter criado um servidor de fax, pode usá-lo para fazer o seguinte: Configurar dispositivos de fax Gerenciar usuários Configurar políticas de roteamento para faxes de entrada Configurar regras para faxes de saída para grupos de dispositivos específicos


Configurar o arquivamento de faxes que foram enviados ou recebidos previamente Configurar a geração de log para acompanhar o uso dos recursos de fax Os usuários de fax podem, então, enviar, receber e gerenciar faxes usando um dispositivo de fax de rede gerenciado pelo servidor de fax. Quem estaria interessado nessa função? Os profissionais de TI interessados em fornecer funcionalidade de fax em suas organizações com o uso do Windows Server 2008 devem configurar um servidor de fax. Que funcionalidade esta função oferece? Os principais recursos relacionados a fax no Windows Server 2008 incluem: Função Servidor de Fax. A função Servidor de Fax é, na verdade, nova no Windows Server 2008. Instale a função Servidor de Fax a partir do Gerenciador de Servidores para criar um servidor de fax, instalar o Gerenciador de Serviço de Fax e instalar o Serviço de Fax. Depois de instalar a função Servidor de Fax, você pode acessar uma página de função no Gerenciador de Servidores, que fornece um ponto único a partir do qual você pode exibir eventos de fax e informações de status para o Serviço de Fax, bem como acessar recursos e informações adicionais para servidores de fax. Para acessar esta página, no Gerenciador de Servidores, clique em Funções e em Servidor de Fax. A página da função aparece no painel direito. Fax e Scanner do Windows. Os usuários de computadores com Windows Vista® Business, Windows Vista® Enterprise, Windows Vista® Ultimate e Windows Server 2008 podem enviar um fax usando o novo recurso Fax e Scanner do Windows — seja usando um dispositivo de fax conectado em modo local ou um servidor de fax. Para acessar este recurso no Windows Server 2008, instale a Experiência Desktop, disponível no Gerenciador de Servidores. Em um servidor de fax, você pode usar o Fax e Scanner do Windows para enviar faxes e também para monitorar a fila de fax de entrada, a caixa de entrada e a caixa de saída. Observação Usuários de computadores executando versões do Windows XP e Windows Server 2003 podem enviar um fax usando o Console de Fax.


Para obter mais informações sobre como usar o Fax Console Console de Fax e gerenciar faxes no Windows XP, consulte http://go.microsoft.com/fwlink/?LinkId=90750. (Essa página pode estar em inglês.) Para obter mais informações sobre como usar o Fax e Scanner do Windows para enviar e receber faxes, consulte o site Ajuda e Como Fazer do Fax e Scanner do Windows (http://go.microsoft.com/fwlink/?LinkId=90751 - essa página pode estar em inglês). Serviço de Fax. Depois de instalar a função Servidor de Fax, o Serviço de Fax aparece no snap-in de serviços e você pode iniciar ou parar o serviço diretamente dali ou a partir da página da função Servidor de Fax no Gerenciador de Servidores. Gerenciador de Serviço de Fax. O Gerenciador de Serviço de Fax é um snap-in do Console de Gerenciamento Microsoft (MMC) que fornece um ponto de administração central para configurar e gerenciar seus recursos de fax. Depois de instalar a função Servidor de Fax, você pode acessar o Gerenciador de Serviço de Fax no Gerenciador de Servidores, clicando em Funções, em Servidor de Fax e em Fax. Você também pode acessar esta ferramenta adicionando-a a um console do MMC. O recurso de contas de usuário de fax. Windows Server 2008 fornece contas de usuário relacionadas a fax para maior privacidade e melhores organização e gerenciamento de faxes. Os usuários podem usar contas para acessar tipos diferentes de serviços de fax, como o fax modem local e um servidor de fax. Seus usuários devem ter uma conta para poderem acessar um servidor de fax executando o Windows Server 2008. Você pode configurar um servidor de fax de modo que, quando um usuário usa o Fax e Scanner do Windows pela primeira vez para enviar um fax, uma conta seja criada automaticamente. Se você usar esta configuração, assim que um usuário se conectar ao servidor de fax, a conta será criada automaticamente. Ou, se quiser ter controle mais rígido sobre os usuários que se conectam ao servidor de fax, você pode desabilitar esta configuração; nesse caso, você deve criar manualmente as contas de usuário para todos os usuários que precisem acessar o servidor de fax. Se você tiver desabilitado a configuração e um usuário tentar se conectar ao servidor sem possuir uma conta , a conexão será negada.


Essa função está disponível em todas as edições do Windows Server 2008? Todos os componentes relacionados a fax estão disponíveis em todas as versões e edições do Windows Server 2008 e são compatíveis com os requisitos de sistema básicos para este sistema operacional. Referências adicionais Para obter mais informações sobre como configurar e gerenciar um servidor de fax, consulte http://go.microsoft.com/fwlink/?LinkId=91054 (essa página pode estar em inglês). Para aprender mais sobre a função Servidor de Fax e o Gerenciador de Serviço de Fax, você pode exibir a Ajuda para o seu servidor. Para fazer isto, abra o Gerenciador de Serviço de Fax, conforme descrito na seção anterior, e pressione F1.

003 - Windows Server 2008_Função Serviços de Federação do Active Directory  
003 - Windows Server 2008_Função Serviços de Federação do Active Directory  

Pelo menos um serviço de diretório: AD DS (Serviços de Domínio Active Directory) ou AD LDS (anteriormente conhecido como ADAM (Modo de Aplic...

Advertisement