CAPTULO 1

Introduo ao Windows Server 2008

Tudo comeou com o Windows NT, o primeiro lanamento da Microsoft no mercado de servidor de rede. As verses 3.1 e 3.5 do Windows NT no ganharam muita ateno no mundo dominado pelo NetWare porque eles eram preguiosos e se recusavam a brincar com os outros. Logo veio o Windows NT 4.0, que usava a interface do novo Windows 95 (revolucionrio somente para aqueles que no conheciam a interface de usurio do SO Macintosh da Apple) para dar uma face mais amigvel para alguns aprimoramentos na arquitetura, que apesar de simples eram fundamentais. Com a verso 4.0, empresas maiores viram que a Microsoft pretendia realmente entrar no mercado de computao corporativa, mesmo que seu produto naquela poca fosse limitado em relao escalabilidade e disponibilidade. Em primeiro lugar, a Microsoft fez concesses para os usurios do NetWare, oferecendo a eles uma maneira fcil de integrar a uma nova rede NT. A empresa tambm incluiu um conjunto revisado de recursos de segurana, que inclua permisses e domnios finamente granulados, isso significou que a Microsoft considerava a computao corporativa uma parte importante do Windows. Aps seis service packs e meio, o NT 4.0 considerado por alguns como sendo o sistema operacional mais estvel a surgir de Redmond. No entanto, apesar disso, a maioria dos administradores com experincia com Unix necessitavam de um SO mais confivel para o ambiente corporativo, um sistema que fosse comparvel s enormes mquinas Unix que haviam penetrado e ocupado aquele mercado h muito tempo. Em fevereiro de 2000, quando o Windows 2000 Server foi lanado, essas exigncias foram atendidas. O Windows 2000 era uma reviso completa do NT 4.0 e foi projetado para ter estabilidade e escalabilidade como prioridades. No entanto, alguma coisa ainda estava faltando. A Sun e a IBM incluram software de servidor de aplicaes e recursos centralizados no desenvolvedor em seus sistemas operacionais de nvel industrial, Solaris e AIX. O Windows 2000 no tinha essa funcionalidade. Alm disso, os problemas de segurana associados ao servidor web integrado ao Windows 2000, o Internet Information Services (IIS), lanava uma nuvem ameaadora sobre a idia de que o Windows poderia ser um SO corporativo vivel com suporte Internet. Por isso a Microsoft apostou todas as suas cartas em uma iniciativa de servios da web chamada .NET, era crucial que a Microsoft protegesse sua honra e acertasse na prxima vez. No era tarde demais, mas os clientes estavam muito preocupados com as inmeras vulnerabilidades na segurana e com a falta de um sistema conveniente de gerenciamento de patches para corrigir essas vulnerabilidades. As coisas precisavam mudar. Assim surgiu o Windows Server 2003. O que distinguia o lanamento alm de um nome mais longo e de trs anos de diferena entre as data de lanamento? A segurana, principalmente.
Windows Server 2008 1

01.indd 1

07/11/2008 17:28:54

O Windows Server 2003 vinha com mais segurana desde a fbrica e sofreu grande influncia de um novo desenvolvimento ocorrido em maro de 2002, que foi referido pela Microsoft como o incio da Iniciativa de Computao Confivel. Durante um ms os desenvolvedores e gerentes de produto no fizeram nada alm de analisar o cdigo-fonte existente para falhas na segurana e participar de treinamentos sobre as melhores prticas para a criao de cdigos seguros. O desempenho tambm foi aprimorado no Windows Server 2003, o objetivo era tornar o sistema operacional mais escalonvel e a administrao corporativa mais eficiente e fcil de automatizar. Alm disso, a Microsoft atualizou um software de bonificao com a verso Windows Server 2003R2, isso simplificou o gerenciamento de identidades em diferentes servios de diretrio e limites de segurana, a distribuio de arquivos e a rplica de estruturas de diretrio em diferentes servidores, entre outras coisas. Mas como sempre, nenhum software perfeito, e sempre h lugar para melhorias. Como as exigncias comerciais mudaram, os desenvolvedores da Microsoft trabalharam em conjunto para criar o Windows Vista e a nova verso do Windows no servidor. Quando o Windows Vista foi liberado para fabricao, as equipes se separaram novamente, e o grupo do Windows Server 2008 adicionou alguns recursos e, ento, passou a focar no desempenho e na confiabilidade at o lanamento.

As principais alteraes
Diferente da transio do Windows 2000 Server para o Windows Server 2003, que foi uma atualizao basicamente de estilo, o Windows Server 2008 uma reviso radical do cdigo fonte que constitui o Windows Server. O Windows Server 2008 compartilha muito do cdigo bsico do Windows Vista, que um produto derivado diretamente das tcnicas do secure development model (SDM modelo seguro de desenvolvimento). Essa foi uma grande mudana nas tecnologias de programao da Microsoft, que sempre coloca a segurana do cdigo em primeiro lugar. Assim, muitos dos novos recursos e melhorias que voc ver no produto so resultados de um cdigo fonte mais seguro e de um maior foco na integridade e na confiabilidade do sistema. As maiores mudanas no Windows Server 2008 so o Server Core e o novo Internet Information Services 7.0.

Server Core
O Server Core uma opo de instalao mnima para o Windows Server 2008 que contm apenas um subconjunto de arquivos executveis e as funes do servidor. O gerenciamento feito por meio de linhas de comando ou de um arquivo automtico de configurao. Segundo a Microsoft: O Server Core foi desenvolvido para ser usado em organizaes que tenham muitos servidores, dentre os quais alguns precisam executar somente tarefas especficas, mas
2 Captulo 1: Introduo ao Windows Server 2008

01.indd 2

07/11/2008 17:28:54

com excelente estabilidade, ou em ambientes onde as altas necessidades de segurana exigem uma superfcie mnima contra ataque no servidor. Conseqentemente, os servidores Core s podem executar algumas funes limitadas. So elas: Servidor de Protocolo de Configurao de Host Dinmico (DHCP) Servidor de sistema de nomes de domnio (DNS) Servidor de arquivos, incluindo servidor de replicao de arquivos, o Distributed File System (DFS), o Distributed File System Replication (DFSR), o sistema de arquivos de rede e o armazenamento de instncia nica (SIS) Servios de impresso Controlador de domnio, incluindo um controlador de domnio somente leitura Servidor Active Directory Lightweight Directory Services (AD LDS) Virtualizao do Windows Server IIS, porm apenas com parte de suas habilidades normais, ou seja, somente HTML esttico e nenhum suporte a aplicativos dinmicos da web Windows Media Services (WMS) Alm disso, as mquinas Server Core podem participar de clusters na Microsoft, usarem o balanceamento de carga de rede, hospedarem aplicativos do Unix, criptografarem suas unidades com Bitlocker, serem gerenciadas remotamente usando o Windows PowerShell em uma mquina cliente e serem monitoradas pelo Simple Network Management Protocol (SNMP). A maioria dos administradores perceber que usar mquinas Server Core em suas filiais para executar as funes do controlador de domnio uma excelente maneira de utilizar hardwares um pouco mais antigos que provavelmente seriam descartados. O tamanho reduzido do Server Core permite que o SO faa mais com menos recursos de sistema, e a superfcie reduzida de ataque e a estabilidade o tornam uma excelente escolha para uma mquina tipo appliance. Alm disso, com uma filial, possvel combinar o Server Core com a habilidade de implantar um controlador de domnio somente leitura e criptografar tudo com o BitLocker, fornecendo uma tima soluo segura e leve.

Melhorias no IIS
O respeitvel servidor web da Microsoft passou por uma grande reviso no Windows Server 2008. O IIS 7 , pela primeira vez, totalmente extensvel e personalizvel, voc s instala aquilo que quiser, assim o servidor fica mais leve, mais responsivo e menos vulnervel a ataques. A interface administrativa do IIS tambm foi completamente reprojetada. As principais melhorias incluem:
Windows Server 2008 3

01.indd 3

07/11/2008 17:28:54

Nova estrutura, reprojetada e personalizvel

Pela primeira vez na histria do IIS, os administradores tm total controle para escolher quais partes do IIS sero instaladas e executadas. possvel executar exatamente os servios que voc precisa, nem mais nem menos. O que, claro, mais seguro, alm disso ele mais fcil de gerenciar e tem um melhor desempenho.
Modelo de extensibilidade flexvel

O IIS 7 permite que os desenvolvedores acessem um novo conjunto de API que pode interagir diretamente com o ncleo do IIS, facilitando como nunca o desenvolvimento e a personalizao dos mdulos. Os desenvolvedores podem at mesmo acessar as reas de configurao, scripting, logging de eventos e administrao do IIS, isso abre portas para que os administradores de empresas e os fornecedores de software de terceiros estendam os recursos do IIS mais cedo, em vez de mais tarde.
Fcil configurao e implantao de aplicativos

A configurao pode ser realizada inteiramente por meio de arquivos XML. A configurao central do IIS pode ser estendida para diversos arquivos, permitindo que diferentes locais e aplicativos hospedados pelo mesmo servidor tenham configuraes independentes e, ainda assim, sejam simples de gerenciar. Um dos demos do IIS 7 preferidos pela Microsoft a instalao de um web farm com mquinas identicamente configuradas; medida que novos membros so conectados, o administrador simplesmente usa um XCOPY e move os arquivos de configurao existentes para o novo servidor, e em uma questo de segundos, a instalao do IIS na nova mquina idntica configurao das mquinas j existentes. Talvez, essa seja a alterao mais significativa e bem-vinda do IIS 7.
Transferncia de gerenciamento

Assim como, o Active Directory permite que os administradores atribuam permisses administrativas a outros usurios, os administradores do IIS podem delegar o controle de algumas funes a outras pessoas, como proprietrios de sites.
Administrao eficiente

O IIS Manager foi totalmente reprojetado e vem acompanhado de um novo recurso de administrao de linha de comando, appcmd.exe.

Melhorias na rede
A equipe do Windows Server 2008 se esforou muito para melhorar o desempenho e a eficincia da rede. Pela primeira vez, h uma arquitetura de camada dupla de IP para suporte simultneo de IPv4 e IPv6 nativos. (Se voc alguma vez configurou o IPv4 e o IPv6 em mquina Windows Server 2003, sabe o trabalho que faz-los interoperar sem que um atrapalhe o outro.) A segurana da comunicao aprimorada por meio de uma melhor integrao do IPsec com
4 Captulo 1: Introduo ao Windows Server 2008

01.indd 4

07/11/2008 17:28:54

as vrias partes da pilha TCP/IP. O Hardware usado de maneira mais slida e eficiente para melhorar o desempenho das transmisses da rede, algoritmos de otimizao e sincronizao inteligente so executados regularmente para garantir uma comunicao eficiente e a API da pilha da rede exposta mais diretamente, o que facilita a interao dos desenvolvedores com a pilha. Vamos dar uma olhada em algumas melhorias da Rede de ltima Gerao, como foi denominada pela equipe.

Melhorias na pilha TCP/IP

Como mencionei anteriormente, muitas alteraes do Windows Server 2008 foram feitas na pilha TCP/IP em si. Uma dessas melhorias o tamanho da janela TCP de auto-tuning: O Windows Server 2008 pode ajustar automaticamente o tamanho da janela de recebimento em cada conexo individual, aumentando a eficincia de grandes transferncias de dados entre mquinas da mesma rede. A Microsoft cita o seguinte exemplo: ...em uma rede Ethernet de 10 Gigabit, o tamanho do pacote pode ser ajustado para um tamanho de at 6 Megabytes. O algoritmo de deteco de gateway inativo presente no Windows Server 2003 teve uma pequena melhoria: O Windows Server 2008 tenta, de vez em quando, enviar trfego TCP por aquilo que ele considera como sendo um gateway inativo. Se no ocorrer um erro na transmisso, o Windows automaticamente muda o gateway padro para o gateway inativo detectado anteriormente, que agora que est ativo. E o Windows Server 2008 suporta o descarregamento de funes de processamento de rede da CPU para o circuito de processamento no carto de interface da rede, liberando a CPU para gerenciar outros processos. Houve melhorias tambm no escalonamento da rede. Por exemplo, na verso anterior do Windows Server, um NIC (Placa de Rede) estava associado a um nico processador fsico. No entanto, com o carto de rede apropriado, o Windows Server 2008 suporta o escalonamento de NICs (Placa de Rede) e de seus trfegos associados em diversas CPUs (um recurso chamado de escalonamento do lado receptor), o que permite que uma quantidade muito maior de trfego seja recebida por um NIC (Placa de Rede) em um servidor muito carregado. Esse recurso beneficia principalmente servidores com multiprocessadores, pois mais escalas podem ser adicionadas, para isso basta adicionar outros processadores ou NICs (Placa de Rede), em vez de novos servidores.

Alteraes nos servios de terminal

A cada semana que passa, os aplicativos de rede esto ficando mais populares. O Windows Server 2008 encontra mais trabalho na rea de servios de terminal/desktop remoto do que jamais foi esperado, e alguns destes novos recursos so aprimoramentos muito bem-vindos. Alm dos trs novos recursos, a equipe trabalhou para aprimorar os principais processos que fazem os servios de terminal funcionar, incluindo log-on nico s sesses dos servios de terminal, abrangncia de monitoramento e suporte de alta resoluo para sees, integrao com o Gerenciador de Recursos de Sistema do Windows para melhor monitorar o desempenho e o uso do recurso e temas que tornam as sees dos servios de terminal simples para o cliente.
Windows Server 2008 5

01.indd 5

07/11/2008 17:28:54

Trs novos recursos foram adicionados verso Windows Server 2008. O primeiro o RemoteApp dos servios de terminal. Assim como a funcionalidade oferecida pelo Citrix MetaFrame h alguns anos, o Windows Server 2008 d suporte, de fbrica, habilidade de definir programas para serem executados diretamente do servidor ativado pelos servios de terminal, ao mesmo tempo em que esto integrados dentro da cpia local do Windows. Isso possvel por meio da adio de botes independentes na barra de tarefas, reas com janelas dimensionveis de aplicativos, funcionalidade de comutao Alt-Tab, populao remota de cones de bandeja de sistemas e muito mais. Exceto por uma ocasional lentido de resposta devido latncia da rede ou sobrecarga do servidor, os usurios no percebero que seus aplicativos esto hospedados em outro lugar. E muito fcil ativar essa funcionalidade: os administradores criam arquivos .RDP, que so essencialmente perfis baseados em texto de uma conexo de servios de terminal que o cliente l e usa para configurar uma seo RDP para um programa especfico. Eles tambm podem criar arquivos .MSI que podem preencher perfis; a principal vantagem aqui que os arquivos .MSI normalmente so muito fceis de implantar usando mtodos automatizados de gerenciamento de sistema como Systems Management Server, Poltica de Grupo e IntelliMirror, entre outros. A seguir, temos o Gateway dos Servios de Terminal. Este recurso permite que os usurios acessem aplicativos hospedados pelos servios de terminal a partir de um portal da web em qualquer lugar na Internet, protegidos por um canal HTTPS criptografado. O gateway pode enviar conexes por meio de firewalls e percorrer corretamente situaes de traduo NAT que antes impediam o uso desta tecnologia. Isso possibilita que as empresas no precisem implantar o acesso VPN para usurios remotos com o nico objetivo de acessar mquinas de servios de terminal; alm disso, como os dados so enviados via HTTPS, praticamente qualquer pessoa pode acessar as sesses, mesmo em locais em que o protocolo RDP est bloqueado pelo firewall. Os administradores podem estabelecer polticas de autorizao de conexo (CAPs), que definem os grupos de usurios que tm permisso para acessar os servios de terminal por meio da mquina de gateway de servios de terminal. Por fim, juntamente com o recurso RemoteApp dos servios de terminal, h tambm no Windows Server 2008 o recurso TS Web Access, que permite que os administradores exibam publicamente os programas remotos do TS em uma pgina da web. Os usurios podem procurar em uma lista o aplicativo que desejam executar, clicar nele e, ento, se integrar completamente ao aplicativo, usando todos os recursos dos programas remotos do TS, enquanto mantm a habilidade de iniciar outros programas a partir do mesmo site de acesso web. Este servio inteligente o suficiente para saber que os diversos programas iniciados pelo mesmo usurio devem ficar na mesma sesso de servios de terminal, isso torna o gerenciamento de recursos um pouco mais simples. Alm disso, possvel integrar o TS Web Access com sites do SharePoint usando uma parte includa da web.

Active Directory: controladores de domnio somente leitura

O Windows Server 2008 introduz o conceito de controlador de domnio somente leitura (RODC), que timo para filiais e outros locais onde as mquinas que hospedam a funo do
6 Captulo 1: Introduo ao Windows Server 2008

01.indd 6

07/11/2008 17:28:54

controlador de domnio no podem ser fisicamente protegidas da mesma maneira que uma mquina em um datacenter. RODCs tm uma cpia somente leitura do Active Directory, que d acesso aos benefcios imediatos de logons mais rpidos e um ciclo de autenticao mais curto para outros recursos da rede, alm de benefcios de segurana de longo prazo. Ningum pode fazer alteraes em um controlador de domnio de fcil acesso na filial que ser replicado na rvore principal do escritrio corporativo, pois o controlador de domnio somente leitura. O RODC pode tambm fazer cache das credenciais dos usurios da filial, e com somente um contato com um controlador regular, gravvel no topo da rvore, pode atender diretamente as necessidades de logon dos usurios. No entanto, esse cache encerrado por padro na Poltica de Replicao de Senha, por motivos de segurana.

Melhorias na segurana
Problemas de segurana atormentam a Microsoft desde os primrdios do Windows, mas somente nos ltimos anos, medida que mais pessoas se conectaram, que essas falhas tm sido exploradas por pessoas mal-intencionadas. Na verdade, algumas das vulnerabilidades dos produtos para as quais encontramos patches no Patch Tuesdays so resultados de decises ruins em relao ao design. Esses so os tipos de falhas que a Microsoft espera eliminar com o lanamento do Windows Server 2008. Voc perceber muitas mudanas na arquitetura dos servios no Windows Server 2008, incluindo um aumento no nmero de camadas necessrias para chegar ao ncleo, servios de segmentao para reduzir os estouros de buffer e uma reduo no tamanho das camadas confidenciais de alto risco para reduzir o tamanho da superfcie de ataque. Alm de alterar fundamentalmente o sistema operacional, a equipe do Windows Server 2008 incluiu diversos recursos desenvolvidos para eliminar violaes da segurana e invases de malware, assim como recursos destinados a proteger os dados corporativos contra vazamentos e interceptaes. Vamos analisar algumas destas melhorias.

Proteo de arquivo do sistema operacional

Um novo recurso conhecido como proteo de arquivo do sistema operacional garante a integridade do processo de inicializao dos servidores. O Windows Server 2008 cria uma chave de validao baseada no arquivo de ncleo que est em uso, uma camada de abstrao de hardware (HAL) especfica para o seu sistema e unidades que iniciam no momento da inicializao. Se, em alguma inicializao subseqente aps a criao dessa chave, esses arquivos mudarem, o sistema operacional saber e interromper o processo de inicializao para que o problema possa ser resolvido. A proteo de arquivo do sistema operacional se estende tambm a todas as imagens binrias localizadas na unidade de disco. Deste modo, a proteo de arquivo do SO consiste em uma unidade de filtro do sistema de arquivos que l todas as pginas que so carregadas na memria, verificando seus hashes e validando qualquer imagem que tente se carregar em um
Windows Server 2008 7

01.indd 7

07/11/2008 17:28:54

processo protegido (processos que geralmente so mais suscetveis a ataques de elevao). Esses hashes so armazenados em um catlogo especfico do sistema ou em um certificado X.509 incorporado em um arquivo seguro na unidade. Se algum desses testes falhar, a proteo de arquivo do SO interromper o processo para manter a mquina segura. Isso proteo ativa contra malwares problemticos.

BitLocker
Ultimamente, a necessidade de criptografia da unidade tem sido um assunto bem discutido nos canais de segurana e, tanto no Windows Vista quanto no Windows Server 2008, a Microsoft excedeu as expectativas com a criao de um recurso chamado BitLocker. O BitLocker foi desenvolvido especialmente para situaes em que um ladro possa ter acesso fsico ao disco rgido. Sem a criptografia, o hacker poderia simplesmente inicializar outro sistema operacional ou executar uma ferramenta de invaso, desviando completamente das permisses do sistema de arquivos NTFS. O Sistema de Criptografia de Arquivos no Windows 2000 Server e no Windows Server 2003 foi um passo alm, literalmente embaralhando os bits na unidade, mas as chaves para descriptografar os arquivos no eram to protegidas quanto deveriam ser. Com o BitLocker, as chaves so armazenadas dentro de um chip TPM (Trusted Platform Module Mdulo de Plataforma Confivel) no seu sistema ou em um drive USB que voc insere no momento da inicializao. O BitLocker sem dvida completo: quando ativado, o recurso criptografa todo o contedo do Windows incluindo os dados do usurio e os arquivos do sistema, o arquivo de hibernao, e os arquivos temporrios. O processo de inicializao em si protegido pelo BitLocker, o recurso cria um hash com base nas propriedades de arquivos de inicializao especficos, assim se algum for modificado e substitudo por, digamos, um cavalo de Tria, o BitLocker perceber o problema e impedir a inicializao. Esse com certeza um passo frente em relao s limitaes do EFS e uma melhoria significativa para a segurana do sistema em comparao com unidades sem criptografia.

Controle de instalao de dispositivo

Outro problema que atormenta empresas em todos os lugares do mundo a proliferao de de uso de drive USB. No importa a segurana das permisses dos seus servidores de arquivos, no importa a capacidade de destruio dos seus arquivos e no importa que tipo de controles internos voc tenha para documentos somente leitura, um usurio pode simplesmente colocar um thumb drive em uma porta USB aberta e copiar todos os dados, desviando completamente da sua segurana fsica. Essas unidades normalmente contm informaes confidenciais que nunca deveriam sair de dentro da empresa, mas so freqentemente encontradas em chaveiros que so perdidos, dentro de malas de computador que so deixadas sem superviso nas salas de espera dos aeroportos ou em algum outro lugar perigoso. Esse problema grande o suficiente para fazer com que algumas empresas desabilitem as portas USB colocando cola quente nas portas. Uma soluo eficiente, mas suja.
8 Captulo 1: Introduo ao Windows Server 2008

01.indd 8

07/11/2008 17:28:54

No Windows Server 2008, o administrador poder bloquear todas as instalaes de novos dispositivos, inclusive thumb drives USB, discos rgidos externos e outros novos dispositivos. Voc pode simplesmente implantar uma nova mquina e no permitir que novos dispositivos sejam instalados. Alm disso, possvel ajustar as expectativas com base na classe e no ID do dispositivo, por exemplo, permitir que somente teclados e mouses sejam adicionados. Ou, permitir IDs especficas de dispositivos, caso tenha aprovado a instalao de uma determinada marca de produto, mas no de outras. Tudo isso pode ser configurado por meio da Poltica de Grupo e essas polticas so configuradas no computador.

Firewall do Windows com segurana avanada

A verso do Firewall do Windows includa no Service Pack 1 do Windows Server 2003 era exatamente a mesma includa no Service Pack 2 do Windows XP. A Microsoft incluiu esse firewall no Service Pack 1 como medida provisria, implante o firewall agora, dizia a Microsoft, assim voc estar protegido, e ns continuaremos a melhorar o firewall na prxima verso do Windows. Esse momento chegou. O novo Firewall do Windows com segurana avanada combina o firewall e o gerenciamento de IPsec em um nico e conveniente snap-in do MMC. O mecanismo do firewall em si foi reestruturado para reduzir a sobrecarga de coordenao entre a filtragem e o IPsec. Uma maior funcionalidade de regras foi ativada, e possvel especificar explicitamente e com facilidade exigncias de segurana, como autenticao e criptografia. As configuraes podem ser estabelecidas em cada computador ou por grupos de usurios. A filtragem de sada foi ativada, na verso anterior do Firewall do Windows s havia filtragem interna. E finalmente, houve tambm uma melhoria no suporte de perfil, com base no computador, agora existe um perfil para quando a mquina conectada a um domnio, um perfil para uma conexo de rede privada e um perfil para uma conexo de rede pblica, como um ponto de acesso de rede sem fio. As polticas podem ser facilmente importadas e exportadas, o que torna o gerenciamento da configurao do firewall de diversos computadores consistente e simples.

Proteo de acesso rede (NAP)

Vrus e malwares normalmente so interceptados pelas defesas do software antes que possam ser executados na sesso do usurio, mas a verdadeira proteo seria se eles nem mesmo tivessem acesso rede. No Windows Server 2008, a Microsoft criou uma plataforma na qual os computadores so examinados em contraste com uma linha de base definida pelo administrador, e se uma mquina no encaixa na linha de base, esta pode ser impedida de acessar a rede que est em quarentena, digamos assim, at que o usurio possa configurar a mquina que no possui os requisitos para acessar a rede. Essa funcionalidade chamada de Proteo de Acesso Rede.

Windows Server 2008

01.indd 9

07/11/2008 17:28:54

A NAP pode ser dividida em trs componentes principais:

Validao da poltica de integridade

Validao o processo no qual a mquina que est tentando se conectar rede examinada e verificada em relao a alguns critrios de integridade estabelecidos pelo administrador.
Conformidade com a poltica de integridade

possvel estabelecer polticas de conformidade para que os computadores gerenciados que forem reprovados no processo de validao possam ser atualizados automaticamente ou configurados por meio do Systems Management Server (SMS) ou por algum outro software de gerenciamento, assim como pelo Microsoft Update ou Windows Update.
Acesso limitado

A limitao do acesso pode ser o mecanismo de fiscalizao da NAP. possvel executar a NAP no modo somente monitorao, que registra o estado de conformidade e validao dos computadores conectados rede. Mas no modo ativo, os computadores que so reprovados nas validaes so colocados em uma rea da rede com acesso limitado, que normalmente bloqueia quase todo o acesso rede e limita o trfego a um conjunto de servidores mais protegidos que contm as ferramentas mais usadas para deixar as mquinas com um bom nvel. Tenha em mente que a NAP somente uma plataforma pela qual essas verificaes podem ser feitas, pois aps a implantao do Windows Server 2008 ainda ser necessrio ter as peas do quebra-cabea, incluindo os agentes de integridade do sistema (SHA) e os validadores de integridade do sistema (SHV) que garantem que as verificaes e validaes so feitas em todas as mquinas clientes. O Windows Vista tem por padro o SHA e o SHV que podem ser personalizados.

Melhorias na gerenciabilidade
Os servidores s so eficientes se o administrador os configurar da maneira correta. Os produtos do Windows Server so tradicionalmente muito fceis de operar, mas no Windows Server 2008 h muitas melhorias na experincia inicial de instalao e configurao. Muitos desses detalhes ainda esto sendo desenvolvidos, e esses elementos podem ser alterados medida que nos aproximamos da data de lanamento prevista, mas mesmo assim vamos ver o que o Windows Server 2008 tem para oferecer em termos de melhorias na gerenciabilidade.

Gerenciador de servidores
O Gerenciador de servidores uma opo abrangente para a visualizao de informaes no servidor, anlise da sua estabilidade e integridade, gerenciamento das funes instaladas e deteco e soluo de possveis problemas. O Gerenciador de servidores substitui as interfaces do Configure Your Server, do Manage Your Server e do Security Configuration Wizard. Ele centraliza uma variedade de snap-ins do MMC 3.0, que permite a rpida visualizao das funes e dos recursos que esto instalados em uma determinada mquina, alm de oferecer um ponto de partida para o gerenciamento dessas unidades.
10 Captulo 1: Introduo ao Windows Server 2008

01.indd 10

07/11/2008 17:28:54

Servios de implantao do Windows

Muitos administradores aprenderam a amar os Servios de Instalao Remota (RIS), o complemento do Windows 2000 Server e do Windows Server 2003 que possibilitou a instalao de sistemas operacionais clientes e servidores na rede e forneceu a capacidade de personalizar instalaes e inici-las com apenas alguns cliques. No Windows Server 2008, a Microsoft revisou completamente o RIS e o chamou de Servios de Implantao do Windows (WDS). O WDS continua usando o ambiente de execuo de pr-inicializao (PXE) e o protocolo de transferncia de arquivos trivial (TFTP) no SO, mas inclui o Windows PE, um front-end grfico para o processo de instalao que substitui a fase de configurao de tela azul baseada em texto que era mais feia e menos funcional e que atormentou o Windows desde o NT 3.0.

Atualizaes no desempenho e na confiabilidade

Entre outras melhorias no Windows Server 2008, muito trabalho foi feito para aumentar a confiabilidade e o desempenho do sistema em geral. Por exemplo, para visualizar os processos em verses anteriores do Windows Server, tnhamos duas ferramentas bsicas, que praticamente no foram alteradas de uma verso para outra, o Gerenciador de Tarefas e o Monitor de Desempenho. No Windows Server 2008, essas ferramentas foram combinadas em uma nica interface, chamada de Console de Diagnstico de Desempenho (que tambm est integrado no Gerenciador de servidores), para facilitar a visualizao de estatsticas e alertas sobre como sua mquina est realizando as tarefas. A Visualizao de Recursos uma maneira mais simples e eficiente de visualizar como determinados processos e servios, entre outras mtricas, esto usando os recursos disponveis na mquina. O Monitor de Confiabilidade mostra uma viso detalhada de quais eventos esto ocorrendo regular ou intermitentemente para reduzir a estabilidade do servidor. Por exemplo, possvel ver os problemas e degradaes com base na atividade de instalao do software, nas falhas dos aplicativos, nos erros do hardware, nas falhas do Windows e em outros problemas no classificados. O Monitor de Confiabilidade gera um ndice de estabilidade, que um nmero arbitrrio que supostamente representa, em uma escala de 1 a 10, a qualidade do sistema.

Edies do Windows Server 2008

Como sempre, a Microsoft dividiu as diferentes edies do Windows Server 2008 assim, teoricamente, cada segmento de cliente recebe o produto certo com os recursos adequados e com um preo justo. O Windows Server 2008 est disponvel nas seguintes edies:
Windows Web Server 2008

Esta verso do Windows Server 2008 foi otimizada para hospedar sites da web usando IIS e, portanto, limitada no suporte a hardware e em seu conjunto de recursos. Ela foi desenvolvida especificamente como um servidor da web, por isso no encontramos
Windows Server 2008 11

01.indd 11

07/11/2008 17:28:54

muitos recursos alm do IIS, ASP.NET e alguns outros recursos especficos para hospedagem da web. Esta edio deve ser evitada, a menos que tenha mquinas cujo nico objetivo servir a web e outros contedos da Internet.
Standard Edition (SE)

Esta a verso padro do Windows que a maioria das empresas implantar. Ela d suporte para at dois processadores e 4 GB de memria. A verso SE inclui a maioria dos recursos e o suporte das outras edies, incluindo o .NET Framework, IIS 7, Active Directory, os sistemas de arquivos distribudos e de criptografia e diversas ferramentas de gerenciamento. Alm disso, h o Balanceamento de Carga em Rede (um recurso que antes fazia parte das edies premium do servidor NT) e um servidor de Post Office Protocol 3(POP3) que em conjunto com o servidor de Protocolo Simples de Transferncia de Correio (SMTP) integrado ao IIS, pode transformar sua mquina Windows Server em um servidor de correio eletrnico.
Enterprise Edition (EE)

Diretamente voltada para ambientes mais exigentes, a EE adiciona suporte a cluster, suporte para oito processadores, 64 GB de RAM para sistemas baseados em x86 e at 2 TB de RAM para sistemas x64, alm de oferecer a habilidade de adicionar memria a um servidor que est em execuo e conexes ilimitadas rede, entre outras coisas.
Datacenter Edition (DE)

Esta edio do Windows Server 2008, com melhor desempenho e maior escalabilidade, suporta de 8 a 32 processadores, possui a capacidade de adicionar processadores sem interromper o funcionamento e tem a mesma capacidade de suporte de memria do Enterprise Edition. Com a exceo de ter recursos mais extensos de firewall e mais licenas para mquinas virtuais, a edio DE idntica a EE. Para obter mais informaes, acesse o site da Microsoft http://www.microsoft.com/ windowsserver2008/en/us/editions-overview.aspx.

Requisitos de hardware
A Tabela 1-1 mostra os requisitos de sistema mnimos e recomendados pela Microsoft para executar o Windows Server 2008.
Tabela 1-1. Requisitos de sistema mnimos e recomendados para o Windows Server 2008

12 Captulo 1: Introduo ao Windows Server 2008

01.indd 12

07/11/2008 17:28:54

Requisitos Processador Memria Espao disponvel no disco Unidade Monitor Outros

Mnimos

Recomendados

1 GHz (processador x86) ou 2 GHz ou mais rpido 1.4 GHz (processador x64) 512 MB RAM 10 GB Unidade de DVD-ROM Monitor com resoluo Super VGA (800x600) ou superior Teclado e mouse da Microsoft ou dispositivo de indicao compatvel 2 GB RAM ou maior 40 GB ou mais

No entanto, qualquer pessoa que j tenha experincia com os sistemas operacionais Windows est familiarizada com o fato de que os requisitos de sistema mnimos (e, muitas vezes, os recomendados tambm) da Microsoft so, infelizmente, inadequados para todas as tarefas que no as mais bsicas. Com base em consideraes sobre preo e desempenho, no momento da criao deste livro, recomendo as seguintes especificaes para qualquer verso disponvel do Windows Server 2008. A partir de agora estas especificaes sero chamadas de mnimos reais. Um processador Pentium III 1GHz Uma mquina de servidor com capacidade para processadores duplos Pelo menos 512 MB de RAM Pelo menos 9 GB de espao no disco Atualmente, os hardwares de PC mudam de valor, velocidade e disponibilidade quase que diariamente. A menos que o seu trabalho seja exclusivamente especificar as plataformas e configuraes de hardware nas quais seus computadores clientes e de servidor sero executados, basta perder uma semana de desenvolvimentos para deixar passar novas velocidades de processadores, substituies ou introdues de chipset e melhorias no disco rgido. claro que a metodologia de seleo de hardware para servidores continua a mesma independente do sistema operacional. A velocidade do disco o maior obstculo em um servidor de arquivos, enquanto que um servidor de aplicao encontra obstculos de desempenho no processador e na memria.

Windows Server 2008 13

01.indd 13

07/11/2008 17:28:54

A ltima palavra
O Windows Server 2008 apresenta um conjunto interessante de recursos que representar grandes benefcios para os administradores. A verso Server Core do produto talvez seja a opo de instalao do Windows no servidor mais til de todos os tempos e pode ser usada em diversas situaes nas quais so necessrios servidores muito estveis. Se o seu farm de servidores hospeda aplicaes altamente intensivas na rede, essas alteraes na pilha TCP/IP e as outras melhorias no desempenho da rede sero irresistveis, alm disso, a assistncia de hardware torna o escalonamento da rede muito mais econmico, pois necessita de menos servidores. A segurana, claro, de grande importncia e a NAP, por si s, seria um bom motivo para investir no Windows Server 2008. Os recursos de gerenciamento tambm foram otimizados. Dois grupos de pessoas e suas empresas encontraro timas razes para fazer imediatamente a atualizao para Windows Server 2008:
Aquelas que ainda possuem uma verso do Windows NT ou do Windows 2000 Server

O NT Server 4.0 alcanou o fim de sua vida til em 31 de dezembro de 2004. O principal suporte do Windows 2000 Server teve seu fim em 30 de junho de 2005, e apesar de o suporte estendido estar disponvel at 13 de julho de 2010, seria bom considerar uma mudana. O Windows Server 2008, que um grande lanamento, fornece uma tima ponte para novos recursos, embora provavelmente exija uma renovao de hardware se voc ainda est rodando o Windows NT ou o Windows 2000.
Aquelas com contratos Microsoft Select, Software Assurance ou Open License que permitem a atualizao para a ltima verso sem custos adicionais.

Como no h taxas nem despesas para a atualizao, possvel obter o benefcio do Windows Server 2008 a custos muito baixos. Se voc no faz parte desses grupos, o valor da atualizao para o Windows Server 2008 no fica to claro, no entanto, existem timos argumentos a favor desta mudana. Se voc est feliz com o Windows Server 2003 ou R2, leu este captulo e no encontrou nenhum recurso que realmente precisa ter, e no possui um contrato de atualizao com a Microsoft, possvel que queira ignorar esta verso e esperar pelo Windows Server 2009 (ou seja, l qual for o ano apropriado). Para a maioria das empresas uma questo de tempo. Imagine que a prxima reviso radicalmente diferente do Windows acontea daqui a trs anos para os desktops e quatro ou cinco anos para os servidores. Haver tempo suficiente para mudar para o Windows Server 2008 neste perodo. Para outras, uma questo financeira: se as condies financeiras no permitem uma atualizao para o Windows Server 2008, no h sada. Se voc est satisfeito com o Windows Server 2003 ou com a edio R2 e possui a segurana adequada, no h nada no Windows Server 2008 que seja absolutamente obrigatrio. O mesmo serve para quem tem a verso original do Windows Server 2003 com o Service Pack 1 sem uma atualizao para o R2.

14 Captulo 1: Introduo ao Windows Server 2008

01.indd 14

07/11/2008 17:28:54