Baixe o app para aproveitar ainda mais
Prévia do material em texto
Instalação e con�guração de servidores Windows Server Prof. Francisco José Ferreira Descrição A instalação, a configuração e o gerenciamento do servidor de resolução de nomes (o DNS) do servidor web IIS e de acesso à área de trabalho remota. Propósito O profissional de TI que deseja gerenciar uma rede baseada no Windows Server deve compreender os principais conceitos para o planejamento, a instalação e a configuração dos serviços de DNS, hospedagem de websites em IIS e acesso à área de trabalho remota, entendendo e aplicando todos os conceitos necessários para administrar um ambiente com qualidade e propriedade. Preparação Em todo o ambiente proposto, utilizaremos o sistema operacional Windows Server 2019 na versão Standard. Para quem tem cadastro, a imagem para instalação pode ser obtida no Azure Dev Tools for Teaching; para quem não a tem, basta obter uma licença de 180 dias no Windows Evaluation Center. Essa imagem pode ser instalada em uma máquina física ou em uma virtual por meio de um software de virtualização, como, entre outros, o VirtualBox ou o VMware. Objetivos Módulo 1 DNS no Windows Server Identificar os recursos oferecidos pelo serviço DNS no Windows Server. Módulo 2 Recursos básicos do servidor web IIS Identificar os recursos básicos oferecidos pelo servidor web IIS. Módulo 3 Recursos avançados do servidor web IIS Identificar os recursos avançados oferecidos pelo servidor web IIS. Módulo 4 Acesso remoto no Windows Server Identificar os recursos oferecidos pelo serviço de acesso remoto no Windows Server. 1 - DNS no Windows Server Ao �nal deste módulo, você será capaz de identi�car os recursos oferecidos pelo serviço DNS no Windows Server. A administração e a configuração de serviços de redes em um ambiente Windows Server são um diferencial na vida dos profissionais que atuam no mercado como especialistas nas plataformas de servidores da Microsoft. Tendo isso em vista, planejaremos e implantaremos neste conteúdo o serviço de resolução de nomes DNS mediante o uso das ferramentas de linha de comando como PowerShell. Também conheceremos os principais comandos e realizaremos tarefas administrativas. Em seguida, analisaremos o serviço de hospedagem web tanto em modo gráfico quanto em Nano Server por intermédio dos principais comandos de instalação e configuração. Por fim, compreenderemos os principais casos de uso para se acessar remotamente um servidor Windows Server, além de implantar um ambiente inicial de serviço de acesso à área de trabalho remota. Introdução O serviço DNS É fundamental para todo e qualquer administrador de infraestrutura de servidores e serviços Microsoft saber os princípios básicos de instalação e configuração do serviço de sistema de nomes de domínio DNS (Domain Name System). Dominá-los ajudará essa pessoa a realizar uma boa administração até mesmo em ambientes que trazem esse sistema já pré-instalado, uma vez que os fundamentos de instalação e configuração são os mesmos. Sistema de nomes de domínios ou resolução de nome, o DNS, como é conhecido em algumas literaturas, consiste na capacidade de converter nomes de computadores em endereços IP (Internet Protocol). Imagine como seria navegar na internet digitando o número IP dos sites! Além de extremamente complexo, isso faria com que a internet fosse muito pouco utilizada. Navegar digitando os nomes de sites é bem mais fácil e simples de se memorizar. Por conta disso, é tão importante, nos dias de hoje, que os serviços de resolução de nome existam e funcionem corretamente. Comentário O surgimento do serviço de DNS não descartou o IP: os endereços IPs permanecem existindo e são parte fundamental nas redes de computadores. Host name e host Em uma rede corporativa, cada computador tem um nome, que deve ser único na rede e ter um limite máximo de 255 caracteres. Ele pode combinar letras, números, pontos e hifens. Ao planejar a estrutura de DNS em uma rede, deve-se levar em consideração o tamanho máximo do nome que os computadores terão. Considerando o FQDN parte integral desse nome, é importante entender a seguinte estrutura de nomes: Nome do computador: rh01. Domínio local: contoso.local. FQDN: rh01.contoso.local. QDN Fully qualified domain name (ou, em português, nomes de domínio totalmente qualificados). Comentário Na referência ao termo “máquina”, entenda que isso pode ser um servidor físico ou virtual (notebook ou desktop), ou seja, todo e qualquer dispositivo com nome e IP atribuídos a ele. Quando você encontrar o termo “host”, saiba que ele se refere a todos os dispositivos comentados anteriormente. Zonas DNS Para dar conta das demandas e das necessidades específicas na tarefa de resolução de nomes, é importante que o administrador de ambiente Windows Server entenda a estrutura das zonas DNS. Você sabe o que é uma Zona DNS? Resposta Parte do espaço de nomes DNS (O espaço de nomes de domínio é uma árvore hierárquica, com o domínio raiz do DNS no topo), gerenciada por uma organização ou um administrador específico, uma zona DNS é um espaço administrativo que permite um controle mais granular dos componentes DNS, como servidores de nomes autorizados. Essa zona começa em um domínio dentro da árvore, mas pode se estender para subdomínios a fim de que vários subdomínios possam ser gerenciados por uma entidade. As zonas DNS podem ser de pesquisa direta e de pesquisa inversa. Veremos também que essas duas zonas podem ser do tipo primária ou secundária. Zona de pesquisa direta Podemos dizer que a zona de pesquisa direta é a essência do serviço de nomes. É nesse tipo de zona que o administrador de redes configura a relação entre os nomes dos dispositivos e os seus respectivos endereços IP. Esse mapeamento é realizado pela configuração dos registros de recursos (RR) que veremos mais à frente. As zonas de pesquisa direta permitem de, quando um usuário tentar acessar um dispositivo ou um serviço que possua o nome FQDN rh01.contoso.local, o cliente DNS busque a zona responsável pelo domínio contoso.local para que seja realizada a tradução do nome rh01. A resposta do servidor DNS será o endereço IP utilizado pelo dispositivo rh01.contoso.local. Agora que o usuário tem o endereço IP do dispositivo que deseja acessar, ele pode se conectar ao dispositivo ou serviço que deseja acessar. Nas zonas de pesquisa direta, são configurados o mapeamento: 1. Do nome de dispositivos. 2. Para os servidores de DNS com autoridade para determinado domínio e os servidores de correio eletrônico para o domínio. Zona de pesquisa inversa Imagine a seguinte situação: você é o administrador do ambiente Windows Server e tem como missão descobrir o nome associado a determinado IP. Como você poderia resolver essa questão? Responsável por realizar esse mapeamento, a zona de pesquisa inversa vai ajudar nesse processo de descobrir o nome do IP que você está investigando. Para isso, veja, a seguir, como fazer um teste simples. Abra o Prompt de comando e digite o seguinte comando: Prompt De Comando Em seguida, digite o comando sem o parâmetro -a: Prompt De Comando Como exemplo, analise a imagem a seguir e compare os resultados com e sem o parâmetro -a: Execução do comando ping. Comentário Podemos perceber que, no resultado do comando ping -a 8.8.8.8, temos o nome dns.google (nome do host que representa o IP 8.8.8.8). Já o comando ping 8.8.8.8 reporta somente o endereço IP do host. A tradução ocorreu porque o cliente DNS, acionado automaticamente após a execução do comando ping, pesquisou na zona de pesquisa inversa qual é o nome para o endereço 8.8.8.8. Desse modo, essa zona contribui na administração do ambiente com recursos de busca, facilitando a qualquer um encontrar o nome do host somente com seu endereço IP. Para cada segmento de rede, você pode criar uma zona de pesquisa inversa. Ela, contudo, tem um formato diferente: escrita com o endereço de rede ao contrário, seguido do sufixo in-addr.arpa para redes IPv4 e ip6.arpapara redes IPv6. Se uma rede tiver o endereço 172.16.35.0, a zona de pesquisa inversa será: 35.16.172.in-addr.arpa Zonas primária e secundária Você sabe a diferença entre zona primária e zona secundária? Veja a seguir: Zona primária É nesta zona que você vai realizar as principais funções de administração do ambiente, como criar, excluir ou editar registros. Zona secundária Serve como uma cópia da primária, não sendo possível alterar o objeto ali presente. Atenção! Toda e qualquer alteração a ser realizada no registro deve ser feita diretamente na primária. Como finalidade principal, a zona secundária é implementada no ambiente para a consulta de sistemas e aplicações específicas. Nos casos em que a base de dados se encontra integrada ao Active Directory, a primária passa a se chamar zona íntegra ou integrada ao Active Directory. Não é possível encontrar mais de uma zona integrada no mesmo servidor de Active Directory. Tipos de registros e recursos em zonas de pesquisa Em uma zona, são armazenados vários tipos de registros, e é importante para um administrador de redes saber a finalidade de cada tipo. Você pode conferir adiante os tipos e a aplicabilidade de registros para a zona de pesquisa direta: Tipos de registro DNS Descrição Host (A) Usado para resolver um nome para um endereço IPv4. Host (AAAA) Usado para resolver um nome para um endereço IPv6. Alias (CNAME) Usado para resolver um nome para outro nome. Exemplo: um alias pode resolver app.contoso.com para sea-svr1.contoso.com. Local de serviço (SRV) Usado por aplicativos para identificar o local dos servidores que hospedam esse aplicativo. Exemplo: o AD DS usa os registros SRV para identificar o local dos controladores de domínio e dos serviços relacionados. Servidor de mensagens (MX) Usado para identificar servidores de e-mail para um domínio. Texto (TXT) Usado para armazenar cadeias arbitrárias de informações no DNS. Quadro: Registros de recursos DNS. Extraído de: Microsoft, 2021d. Para a zona de pesquisa inversa, é utilizado o registro PTR (ponteiro), o qual, por sua vez, é empregado para mapear um endereço IP para um nome. Tempo de vida dos registros Os registros possuem vida útil. O que isso significa? Quando um usuário faz uma consulta DNS, o resultado dessa consulta fica registrado no cache, que tem como principal função auxiliar em consultas futuras, diminuindo o tempo de resposta. O tempo de armazenamento é conhecido como TTL (Time To Leave). Exemplo Se você configurar um TTL de 30 minutos para um registro, em toda e qualquer consulta a tal registro DNS realizada dentro desse período (30 minutos), o resultado será fornecido pelo cache. Em alguns casos, é necessário que o cache DNS seja limpo. Para realizar essa ação, abra o Prompt de comando e digite o seguinte comando: Prompt De Comando Após executar o comando, você verá o seguinte resultado: Limpando o cache DNS. Instalação e con�guração do DNS Chegamos à etapa de se colocar em prática os conceitos vistos anteriormente. A instalação e a configuração do DNS em um ambiente Windows Server podem ser feitas basicamente por três formas: 1. Windows Admin Center. 2. Gerenciador de DNS. 3. Comandos em PowerShell. O Windows Admin Center possui, até o momento, algumas limitações de configuração, sendo possível definir atualizações dinâmicas e armazenamento de zona, por exemplo. Já os administradores de ambiente Windows Server utilizam o gerenciador de DNS e o PowerShell para realizar funções mais avançadas, como, entre outras, alterar o TTL, fazer a limpeza de cache e criar zonas de integração com o Active Directory. Criação de zonas Considere a criação da zona primária o ponto de partida de seu planejamento. Você deve saber se essa zona será integrada ao Active Directory Domain Services (AD DS). Caso seja implantada com o AD DS, essa zona será integrada ao Active Directory, sendo a base de dados do DNS armazenada dentro da estrutura do AD DS. Atenção! Zonas secundárias não são armazenadas no AD DS. Seu banco de dados é armazenado em um arquivo de zona. Quando a zona integrada ao AD DS é habilitada, ela passa a ser replicada a todos os controladores de domínios, tendo como opções de replicação: 1 Para todos os servidores DNS sendo executados em controladores de domínio nessa floresta. 2 Para todos os servidores DNS sendo executados em controladores de domínio nesse domínio. 3 Para todos os controladores de domínio nesse domínio (para compatibilidade com o Windows 2000). 4 Para todos os controladores de domínio no escopo dessa partição de diretório. Atualizações dinâmicas seguras Quando você configura uma zona integrada ao Active Directory, é importante entender que a atualização dinâmica pode ser feita com configurações de segurança habilitadas. Essa configuração restringe a zona que pode ou não receber atualizações de outras zonas. Uma vez habilitada a configuração, você garante que somente clientes com o registro DNS de zonas com segurança possam receber atualizações. Em seu planejamento de arquitetura, leve em consideração que computadores com Windows que fazem parte da mesma floresta têm direito de executar atualizações seguras quando habilitadas. Atenção! Caso sua rede tenha dispositivos e sistemas que não sejam do Windows, você terá de habilitar atualizações dinâmicas não seguras em sua zona. Comandos PowerShell fundamentais Muitas das ações que você pode realizar no gerenciamento do DNS são feitas por Cmdlets em PowerShell. Observe adiante seus comandos e uma breve descrição: Cmdlet Descrição Add-DnsServerPrimaryZone Criar uma zona DNS primária. Add-DnsServerSecondaryZone Criar uma zona DNS secundária. Get-DnsServerZone Exibir informações de configuração de uma zona DNS. Get-DnsServerZoneAging Exibir a configuração de vencimento de uma zona DNS. Remove-DnsServerZone Remover uma zona DNS. Restore- DnsServerPrimaryZone Recarregar o conteúdo da zona do AD DS ou de um arquivo de zona. Set-DnsServerPrimaryZone Modificar as configurações de uma zona DNS primária. Cmdlet Descrição Start-DnsServerZoneTransfer Disparar uma transferência de zona para uma zona DNS secundária. Quadro: Comandos do PowerShell para DNS. Extraído de: Microsoft, 2021d. Registros dinâmicos Em geral, a maioria dos registros feitos no DNS é realizada de forma dinâmica, isto é, não requer uma administração constante na criação. No papel de administrador de ambiente Windows Server, você pode, sabendo que as atualizações dinâmicas seguem uma regra básica, optar por zonas com atualização dinâmica ou manual. Listaremos essas regras a seguir: Quando um host recebe um endereço por meio de um servidor de DHCP. Quando há uma janela de 24 horas de atualização do DHCP. Quando ocorre alteração de nome ou do IP do mesmo host. Quando acontece uma intervenção do administrador que registra um novo cliente pelos comandos em PowerShell Registrer-DNSClient ou ipconfig /registerdns no prompt de comando. Registro manual Mesmo sabendo das vantagens de se ter registros dinâmicos em funcionamento no ambiente, você verá que algumas ações são necessárias para uma boa governança em ambiente Windows Server. O registro manual deverá ser uma atividade constantemente revisitada e realizada ao se criar, editar ou excluir registros de três formas: 1. Windows Admin Center. 2. Gerenciador de DNS. 3. PowerShell. Atenção! Se for necessária a criação de uma grande quantidade de registros, você poderá fazer isso por meio de arquivos em lote. Em seguida, tais arquivos serão executados por intermédio de Cmdlets em PowerShell. Confira agora alguns dos comandos e a sua descrição: Cmdlet Descrição Add-DnsServerResourceRecord Criar qualquer registro de recurso especificado pelo tipo. Add-DnsServerResourceRecordA Criar um registro de recurso de host (A). Add-DnsServerResourceRecordAAAA Criar um registro de recurso de host (AAAA). Add-DnsServerResourceRecordCNAME Criar um registro de recurso de alias CNAME. Add-DnsServerResourceRecordMXCriar um registro de recurso MX. Add-DnsServerResourceRecordPtr Criar um registro de recurso PTR. Quadro: Comandos para administração de registros DNS. Extraído de: Microsoft, 2021d. Instalação e con�guração inicial Para a instalação das funções DNS, você deverá estar logado em um Windows Server 2019. Atenção! É importante verificar se o seu usuário tem privilégios de instalação de funções do Windows. Em geral, se o seu usuário pertence ao grupo de segurança denominado Administradores, isso significa que você possui todos os privilégios necessários para seguir com a instalação. Para configurar pelo Windows Admin Center, basta seguir os seguintes passos: 1. Abra o Microsoft Edge e acesse o site do Windows Admin Center. 2. Conecte-se ao servidor remoto apropriado. 3. No Windows Admin Center, selecione Ferramentas e Funções e recursos. 4. Instale a função de servidor DNS. 5. No novo servidor, crie uma zona DNS e defina as propriedades a seguir: tipo de zona; nome de zona; arquivo de zona e atualização dinâmica. 6. Na nova zona, crie um registro de host. 7. Abra o PowerShell e verifique se a resolução de nomes foi bem-sucedida para o novo registro da nova zona usando o Cmdlet Resolve-DnsName. Você pode realizar a instalação das funções de DNS a partir de outro servidor. Não é necessário estar logado especificamente no mesmo serviço em que será feita a instalação. O Admin Center ajuda justamente nessa tarefa. Em resumo, por meio de um servidor e um Admin Center, você pode gerenciar praticamente todo o seu ambiente Windows Server. Comentário Caso tenha alguma dúvida sobre como escolher e entender as propriedades requeridas na instalação, retorne a este material e leia as seções correspondentes. Gerenciando o DNS Você sabe como instalar, configurar e administrar uma zona de pesquisa direta e uma reversa em um servidor Windows? Não deixe de assistir a este vídeo! Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos? Questão 1 O serviço de nomes - DNS (domain name system) é um dos mais importantes para o funcionamento das redes locais e da internet. Qual é o objetivo do DNS? Parabéns! A alternativa C está correta. O DNS permite realizar a conversão de nomes de máquinas em endereços IPv4 ou IPv6. Questão 2 A Administrar de forma dinâmica os endereços MAC na rede. B Converter nomes em DHCPs de forma dinâmica. C Converter nomes de computadores em endereços IP. D Converter letras em números e endereços TCP. E O DNS converte, de forma manual, o endereço IPv4 em IPv6. Um servidor DNS pode ter zonas primárias e secundárias, cada uma delas com finalidades e características específicas. Qual é a característica de uma zona secundária? Parabéns! A alternativa D está correta. A zona secundária é uma cópia ou espelho da primária. Ela pode ser empregada para aplicações específicas ou por configuração do administrador do ambiente Windows Server. A Ela pode ser utilizada para criar registros. B Ajuda na replicação e integração com o AD DS. C Tudo que é criado na zona secundária é replicado na primária. D É a réplica da zona primária. E Não se pode ter zona secundária em ambientes Windows Server. 2 - Recursos básicos do servidor web IIS Ao �nal deste módulo, você será capaz de identi�car os recursos básicos oferecidos pelo servidor web IIS. A web Um dos serviços mais utilizados na rede mundial de computadores é o serviço web, que basicamente personifica a internet no mundo todo. Como administrador de ambiente Windows Server, você terá a oportunidade de se deparar com situações que requerem o conhecimento das funcionalidades básicas do servidor de hospedagem web. A hospedagem web não está direcionada somente para sites públicos, como buscadores e sites especializados de notícias e vídeos, mas também para serviços de hospedagem web (amplamente utilizados dentro das empresas). Este conteúdo que você está lendo agora foi acessado por algum serviço web! O serviço de hospedagem é um dos mais versáteis, permitindo desde a criação de páginas simples até sistemas altamente complexos. Basicamente, o conjunto de tecnologias e recursos que sustenta as páginas simples e as complexas é o mesmo. A solução da Microsoft para a hospedagem web é realizado por meio do servidor IIS (Internet information Services) do Windows Server. Ele permite o uso dos protocolos HTTP e HTTPS para acessar as páginas web por intermédio das portas 80 e 443, respectivamente. Servidor web Como administrador do ambiente web, você deve entender que sua tarefa de administrador será realizada graças à gestão de componentes. A estrutura de componentes permite adicionar, remover e substituir elementos e funcionalidades do ambiente web. Listaremos a seguir alguns pontos importantes na sua estratégia de administração: Proteção do ambiente Instalando somente o necessário, você garante que não haverá possibilidades de ataques em determinado recurso que não foi habilitado. Desempenho Um sistema web tem de conseguir atender ao desempenho planejado, além de remover recursos não utilizados. Menos código na aplicação garante mais memória disponível e, como consequência, mais desempenho. Con�guração personalizada Cada aplicação terá uma necessidade específica. Uma intranet tem requisitos diferente de um site publicado na internet. Instalação e con�guração inicial Administrador de um ambiente Windows Server, você será, em algum momento, designado para instalar a função web em um host com Windows Desktop ou em um uma máquina Windows Server. Para implantar o IIS no Windows Desktop, basta seguir o seguinte passo a passo: 1. Clique em Iniciar e em Painel de controle. 2. No Painel de controle, clique em Programas. 3. Em Programas e recursos, clique em Ativar ou desativar recursos do Windows. 4. Na caixa de diálogo Recursos do Windows, expanda Serviços de informações da internet e selecione todos os seus recursos. Pode ser necessário expandir algumas categorias para selecionar todos os recursos desta categoria. 5. Clique em OK. A instalação do IIS no Windows Server, por sua vez, envolve estas nove etapas: No Gerenciador de servidores, selecione Gerenciar e, em seguida, Adicionar funções e recursos. Na tela de Assistente de adição de funções e recursos, clique em Avançar para prosseguir. Agora selecione o tipo de instalação que deverá ser feita marcando a opção Instalação baseada em função ou recurso. Selecione o servidor em que será feita a instalação do recurso. Comentário Após a instalação, para realizar um teste e conferir se o IIS foi devidamente instalado, bastar abrir o navegador e digitar na barra de endereços localhost (ou 127.0.0.1) ou, se preferir, o endereço de IP da máquina que você está fazendo as configurações. Tela de boas-vindas do IIS Selecione Servidor web (IIS). Clique em Adicionar funções e, depois, em Próximo. Na tela de recursos e na de função de servidor web, clique em Próximo. Na tela de Funções para o servidor web, clique em Próximo. Na tela de confirmação, clique em Instalar. Uma vez instalada a função de IIS, agora estamos prontos para realizar as primeiras configurações do servidor web. Para isso, precisamos realizar mais três etapas: 1. Abra o menu iniciar do Windows, digite Gerenciador dos serviços de informações da internet (IIS) e abra em seguida. 2. No lado esquerdo do painel IIS, abra a lista de servidores e sites. Você vai encontrar o site padrão (default website), que está armazenado em C:\inetpub\wwwroot. 3. Para verificar se o diretório foi devidamente criado na máquina, basta conferir acessando o Windows Explorer C:\inetpub\wwwroot. Dentro do diretório wwwroot, você vai encontrar dois arquivos: iisstart.htm e iisstart.png. Introdução aos módulos IIS A evolução da tecnologia do servidor web vem crescendo nos últimos anos. No IIS, o administrador de um ambiente Windows Server tem a possibilidade de realizar suas configurações com base nos módulos essenciais de funcionamento. ComentárioSe o seu website – seja ele uma intranet ou um site público – não tiver a necessidade de autenticação, não será necessária a instalação do módulo para autenticar os clientes. Saber quais módulos devem ser implementados faz parte das atividades de um administrador de ambiente Windows Server, pois tal conhecimento garante mais controle sobre o ambiente. Além de evitar esforços adicionais de implantação, gerenciamento e governança do ambiente, isso incrementa seu nível de segurança, já que diminui a superfície de ataque. Eis as principais vantagens no emprego de módulos: 1. Controlar quais módulos estão ativos. 2. Personalizar serviços com base em funções. 3. Personalizar módulos para substituir ou implantar novos recursos. Módulos-base Uma vez compreendido o conceito dos módulos, você poderá identificar quais deles farão parte de seu projeto. Sendo assim, cabe a você, administrador do ambiente Windows Server, selecionar, habilitar e configurar cada módulo que corresponde ao seu projeto. Módulo HTTP Ele é responsável por responder às informações e às consultas enviadas no cabeçalho do cliente, identificando erros, redirecionamentos e outras solicitações. Nome do módulo Descrição Recurso CustomErrorModule Envia mensagens de erro HTTP padrão e aquelas configuradas quando um código de status de erro é definido em uma resposta. Inetsrv \ Custerr.dll HttpRedirectionModule Suporta o redirecionamento configurável para solicitações HTTP. Inetsrv \ Redirect.dll ProtocolSupportModule Executa ações relacionadas ao protocolo, como definir cabeçalhos de resposta e redirecionar cabeçalhos com base na configuração. Inetsrv \ Protsup.dll RequestFilteringModule Filtra as solicitações configuradas para controlar o protocolo e o comportamento do conteúdo. Inetsrv \ modrqflt.dll WebDAVModule Permite a publicação mais segura de conteúdo usando HTTP sobre SSL. Inetsrv \ WebDAV.dll Quadro: Módulos HTTP. Extraído de: Microsoft, 2020b. Módulo de segurança A segurança em um servidor web tem de ser um dos pontos fortes da sua administração. Considerando que outros módulos não específicos também possuem características de segurança, entender o que cada módulo específico de segurança entrega garantirá uma maior riqueza de detalhes em seu projeto. Nome do módulo Descrição Recurso AnonymousAuthenticationModule Executa a autenticação anônima quando nenhum outro método de autenticação é bem- sucedido. Inetsrv \ Authanon.dll BasicAuthenticationModule Executa a autenticação básica. Inetsrv \ Authbas.dll CertificateMappingAuthenticationModule Executa a autenticação de mapeamento de certificado usando o Active Directory. Inetsrv \ Authcert.dll DigestAuthenticationModule Executa a autenticação Digest. Inetsrv \ Authmd5.dll IISCertificateMappingAuthenticationModule Executa a autenticação de mapeamento de certificado, usando a configuração de certificado do IIS. Inetsrv \ Authmap.dll RequestFilteringModule Executa tarefas URLScan, como configuração de verbos permitidos e extensões de nome de arquivo, definição de limites e verificação de sequências de caracteres incorretas. Inetsrv \ Modrqflt.dll UrlAuthorizationModule Executa a autorização de URL. Inetsrv \ Urlauthz.dll Nome do módulo Descrição Recurso WindowsAuthenticationModule Executa a autenticação integrada NTLM. Inetsrv \ Authsspi.dll IpRestrictionModule Restringe os endereços IPv4 listados na lista ipSecurity na configuração. Inetsrv \ iprestr.dll Quadro: Módulos de segurança. Extraído de: Microsoft, 2020b. Módulo de conteúdo De nada adianta possuir um ambiente web totalmente configurado sem haver o conteúdo dele. Algumas características são importantes para que um ambiente processe e responda às solicitações dos usuários, por exemplo, uma página que represente um retorno de um conteúdo não encontrado. Nome do módulo Descrição Recurso CgiModule Executa processos de interface comum de gateway (CGI) para criar saída de resposta. Inetsrv \ Cgi.dll DefaultDocumentModule Tenta retornar um documento padrão para solicitações feitas ao diretório pai (diretório raiz). Inetsrv \ Defdoc.dll DirectoryListingModule Lista o conteúdo de um diretório. Inetsrv \ dirlist.dll IsapiModule Hospeda DLLs de extensão ISAPI. Inetsrv \ Isapi.dll IsapiFilterModule Oferece suporte a DLLs de filtro ISAPI. Inetsrv \ Filter.dll ServerSideIncludeModule Os processos do lado do servidor incluem código. Inetsrv \ Iis_ssi.dll StaticFileModule Atende a arquivos estáticos. Inetsrv \ Static.dll Nome do módulo Descrição Recurso FastCgiModule Suporta FastCGI, que fornece uma alternativa de alto desempenho para CGI. Inetsrv \ iisfcgi.dll Quadro: Módulos de conteúdo. Extraído de: Microsoft, 2020b. Módulos de cache Uma página que recebe vários acessos ao longo do dia poderá ter seu desempenho melhorado se o cache for devidamente configurado. Imagine agora várias solicitações sendo feitas ao longo do dia. É provável que elas sejam parecidas. O recurso de cache em um website melhora justamente a entrega das solicitações de forma mais rápida. Nome do módulo Descrição Recurso FileCacheModule Fornece cache de modo de usuário para arquivos e identificadores de arquivo. Inetsrv \ Cachfile.dll HTTPCacheModule Fornece modo kernel e cache de modo de usuário em HTTP.sys. Inetsrv \ Cachhttp.dll TokenCacheModule Fornece armazenamento em cache no modo de usuário de nomes de usuário e pares de tokens para módulos que produzem entidades de usuário do Windows. Inetsrv \ Cachtokn.dll UriCacheModule Fornece armazenamento em cache de modo de usuário de informações de URL. Inetsrv \ Cachuri.dll Quadro: Módulos de cache. Extraído de: Microsoft, 2020b. Módulo de registro e diagnóstico Sendo um administrador do ambiente Windows Server, como você conseguiria realizar uma análise mais detalhada de um erro ou até mesmo entender se está tudo devidamente configurado e funcionando corretamente? Resposta: por meio dos logs, que nada mais são do que um conjunto de registros das transações realizadas pelos aplicativos que se hospedam no servidor web. Nome do módulo Descrição Recurso CustomLoggingModule Carrega módulos de registro personalizados. Inetsrv \ Logcust.dll FailedRequestsTracingModule Oferece suporte ao recurso Rastreamento de solicitação com falha. Inetsrv \ Iisfreb.dll HttpLoggingModule Passa informações e status de processamento para HTTP.sys para registro. Inetsrv \ Loghttp.dll RequestMonitorModule Rastreia solicitações atualmente em execução nos processos de trabalho e relata informações com status de tempo de execução e interface de programação de aplicativo de controle (RSCA). Inetsrv \ Iisreqs.dll TracingModule Relata eventos para o rastreamento de eventos da Microsoft para Windows (ETW). Inetsrv \ Iisetw.dll Quadro: Módulos de registro. Extraído de: Microsoft, 2020b. Módulo de suporte gerenciado Oferta suporte a alguns módulos que possuem módulos integrados a solicitações do servidor web. Nome do módulo Descrição Recurso ManagedEngine Fornece integração de módulos de código gerenciado no pipeline de processamento de solicitações do IIS. Microsoft.NET \ Framework \ v2.0.50727 \ webengine.dll Nome do módulo Descrição Recurso ConfigurationValidationModule Valida problemas de configuração, o que ocorre quando um aplicativo é executado no modo integrado, mas tem manipuladores ou módulos declarados na seção system.web. Inetsrv \ validcfg.dll Quadro: Módulo de suporte gerenciado. Extraído de: Microsoft, 2020b. Módulos gerenciados Os módulos nativos já trazem uma ampla variedade de configurações e recursos. Os módulos gerenciados ampliam essas configurações por meio de codificação. Vejamos alguns dos principais módulos que você encontrará em projetos utilizando o IIS: Nome do módulo Descrição Recurso AnonymousIdentification Gerencia identificadores anônimos usados por recursos que oferecem suporte à identificação anônima,como o perfil ASP.NET. System.Web.Security.AnonymousIdentificationMo DefaultAuthentication Garante que um objeto de autenticação esteja presente no contexto. System.Web.Security.DefaultAuthenticationMod FileAuthorization Verifica se um usuário tem permissão para System.Web.Security.FileAuthorizationModule Nome do módulo Descrição Recurso acessar o arquivo solicitado. FormsAuthentication Suporta autenticação usando a autenticação de formulários. System.Web.Security.FormsAuthenticationMod OutputCache Suporta cache de saída. System.Web.Caching.OutputCacheModule Perfil Gerencia perfis de usuário usando o perfil ASP.NET, que armazena e recupera as configurações do usuário em uma fonte de dados, como um banco de dados. System.Web.Profile.ProfileModule RoleManager Gerencia uma instância RolePrincipal para o usuário atual. System.Web.Security.RoleManagerModule Sessão Oferece suporte à manutenção do estado da sessão, o que permite o armazenamento de dados específicos para um único cliente em um aplicativo no servidor. System.Web.SessionState.SessionStateModul Nome do módulo Descrição Recurso UrlAuthorization Determina se o usuário atual tem permissão para acessar a URL solicitada com base no nome do usuário ou na lista de funções das quais um usuário é membro. System.Web.Security.UrlAuthorizationModule UrlMappingsModule Suporta o mapeamento de um URL real para um mais amigável. System.Web.UrlMappingsModule Autenticação do Windows Define a identidade do usuário para um aplicativo ASP.NET quando a autenticação do Windows está habilitada. System.Web.Security.WindowsAuthenticationMo Quadro: Módulos gerenciados. Extraído de: Microsoft, 2020b. Instalando e con�gurando um servidor IIS Acompanhe agora as práticas de instalação e configuração do servidor IIS. Vamos lá! Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos? Questão 1 O servidor IIS é a solução da Microsoft para que uma máquina Windows Server possa atuar como um servidor web. Fazem parte das tarefas de um administrador de um ambiente IIS Parabéns! A alternativa B está correta. Proteger o ambiente é umas das principais funções de administrador de serviço web. Levando em consideração o desempenho e as configurações personalizadas, cada cenário de serviço web tem características específicas que devem ser customizadas para cada site a ser hospedado. A proteção do ambiente, escala e paradas programadas. B proteção do ambiente, desempenho e configuração personalizada. C desempenho, escala e proteção do ambiente. D configuração personalizada, sites e intranet. E proteção do ambiente, desempenho e configuração padrão. Questão 2 Que portas os protocolos HTTP e HTTPS utilizam respectivamente? Parabéns! A alternativa C está correta. O protocolo Hypertext Transfer Protocol funciona na porta 80 e o Hyper Text Transfer Protocol Secure, na 443. A 80 é considerada texto limpo: isso quer dizer que todas as informações não são criptografadas, sendo essa criptografia encontrada na porta 443. A 80 e 8080. B 443 e 80. C 80 e 443. D 80 e 3389. E 443 e 3389. 3 - Recursos avançados do servidor web IIS Ao �nal deste módulo, você será capaz de identi�car os recursos avançados oferecidos pelo servidor web IIS. Visão geral de monitoramento Uma vez que você compreendeu as funções básicas de um serviço web, é chegada a hora de saber como são realizadas algumas das principais configurações avançadas no que se refere a esse serviço. Sendo um administrador de ambiente Windows Server com o serviço web instalado, é comum você ter de fazer algumas rotinas para validar se o serviço está funcionando corretamente. Algumas dessas funções incluem: • Resolução de problemas. • Gerenciamento. • Administrar extensões. • Instalação avançada. Nano Server Um administrador de ambiente Windows Server precisa identificar quais são as possibilidades existentes para instalar, gerenciar e administrar ambientes Windows. Uma das possibilidades de instalação do Windows Server e consequentemente do serviço web é o Nano Server. Segundo o próprio site da Microsoft, o Nano Server é: [...] um sistema operacional de servidor administrado remotamente e otimizado para data centers e nuvens privadas. É semelhante ao Windows Server no modo Server Core, mas significativamente menor, não tem nenhum recurso de logon local e só oferece suporte a agentes, ferramentas e aplicativos de 64 bits. Ele ocupa bem menos espaço em disco, configura consideravelmente mais rápido e exige muito menos atualizações e reinicializações que o Windows Server. Quando ele reinicia, é muito mais rápido. (MICROSOFT, 2021f) No dia a dia de um administrador, ele é recomendado nos seguintes cenários: • Para configurar um servidor de DNS. • Host para virtualização em Hyper-V, sendo em cluster ou não. • Para configurar um servidor de arquivos. • Para configurar um servidor web executando o IIS. Pontos importantes Seja para utilizar como servidor web ou em qualquer outra função, o Nano Server deve ser muito bem planejado devido a características específicas, como não possuir interface gráfica para sua administração. Apontaremos algumas dessas características adiante: Não há capacidade de logon local por meio de interface gráfica do usuário. Há suporte apenas para agentes, ferramentas e aplicativos de 64 bits. O Nano Server não pode atuar como um controlador de domínio do Active Directory. O Nano Server não pode ser configurado a fim de se usar um servidor proxy para acessar a internet. Não há suporte para o agrupamento de interfaces de rede (especificamente, balanceamento de carga e failover ou LBFO). Em vez disso, ele existe para o SET (agrupamento incorporado do comutador). Não há suporte para o Microsoft Endpoint Configuration Manager e o System Center Data Protection Manager. Serviço web em Nano Server Ao instalar o IIS em um Nano Server, alguns recursos não estão disponíveis. O quadro a seguir apresenta aqueles que podem ser habilitados: Recurso Habilitado por padrão Recursos HTTP comuns Documento padrão X Pesquisa no diretório X Não há suporte para Cmdlets do BPA (analisador de práticas recomendadas) nem para a integração do BPA ao gerenciador do servidor. O Nano Server não dá suporte a HBAs (adaptadores de barramento do host) virtuais. O Nano Server não precisa ser ativado com uma chave do produto (product key). Ao funcionar como um host do Hyper-V, ele não é compatível com a AVMA (ativação automática de máquina virtual). Máquinas virtuais em execução em um host do Nano Server podem ser ativadas usando o KMS (serviço de gerenciamento de chaves) com uma chave de licença de volume genérico ou a ativação baseada no Active Directory. A versão do Windows PowerShell fornecida com o Nano Server tem diferenças importantes. Recurso Habilitado por padrão Erros de HTTP X Conteúdo estático X Redirecionamento HTTP Integridade e diagnóstico Log de FTP X Log personalizado Monitor de solicitação Rastreamento Desempenho Compactação de conteúdo estático X Compactação de conteúdo dinâmico Segurança Filtragem de solicitações X Autenticação básica Autenticação do mapeamento de certificado de cliente Autenticação digest Autenticação do mapeamento de certificados de cliente do IIS Restrições de IP e de domínio Autorização de URL Autenticação do Windows Recurso Habilitado por padrão Desenvolvimento de aplicativo Inicialização de aplicativo CGI Extensões ISAPI Filtros ISAPI Server-Side includes Protocolo WebSocket Ferramentas de gerenciamento Módulo de administração de IIS para Windows PowerShell X Quadro: Recursos do IIS em um Nano Server. Extraído de: Microsoft, 2021d. Instalação off-line do IIS no Nano Server Um dos recursos da virtualização de serviços por meio do Hyper-V que pode ser benéfico para você é a instalação do IIS indicando o VHD (disco virtual da máquina). Esse tipo de instalação se dá graças ao apontamentodo arquivo .vhd. Para fazer a instalação do IIS de forma off-line, basta abrir o PowerShell e digitar o seguinte comando: New-NanoServerImage -Edition Standard -DeploymentType Guest -MediaPath f:\ -BasePath .\Base - TargetPath .\Nano1.vhd -ComputerName Nano1 -Package Microsoft-NanoServer-IIS-Package Atenção! Para realizar essa configuração, você deve ter um ambiente de Hyper-V implementado, além de conhecer a criação e a configuração de máquinas virtuais. Mas você pode estar ser perguntando: Por que devo fazer uma instalação de forma off-line? Não seria mais prático instalar com o servidor ligado? Se você pensou algo desse tipo, você está correto! Existe uma pequena diferença entre instalar o IIS (ou qualquer outro serviço) no modo Nano Server do modo gráfico. Quando se trata de Nano Server, as “facilidades se invertem”, passando ser mais fácil implementar recursos com o servidor virtual desligado do que com ele ligado. Grande parte do trabalho de um administrador de ambiente Windows Server, afinal, é realizado com o servidor ligado. Entretanto, é provável que você receba atividades para fazer, por exemplo, a instalação de um conjunto de ambientes já preparados que são considerados imagens de instalação ou até mesmo um conjunto imenso de configuração de uma só vez. Desenvolver esse tipo de tarefa é bem mais fácil de se executar na forma de lote, que é um conjunto de poucos comandos executados em múltiplos VHDs. Instalar IIS em modo on-line Para possibilitar a instalação off-line da função de servidor, talvez seja necessário configurá-la no modo on- line (com o Nano Server em execução) em cenários de contêiner. Para isso, siga as seguintes instruções: 1. Copie a pasta Pacotes da mídia de instalação localmente no Nano Server em execução (por exemplo, em C:\packages.). 2. Crie um arquivo Unattend.xml em outro computador. Em seguida, copie-o no Nano Server com este código: Xml 3. No novo arquivo XML criado (ou copiado), edite C:\packages para o diretório no qual você copiou o conteúdo de Pacotes. 4. Alterne para o diretório com o arquivo XML criado recentemente e execute dism /on-line /apply-unattend:.\unattend.xml. 5. Confirme se o pacote do IIS e seu pacote de idiomas associado estão instalados corretamente. Para isso, execute: dism /on-line /get-packages. Você precisa ver a Identidade de pacote (Microsoft-NanoServer- IIS-Package~31bf3856ad364e35~amd64~~10.0.14393.1000) listada duas vezes: uma para Release Type: Language Pack; a outra, para Release Type: Feature Pack. �. Inicie o serviço W3SVC com net start w3svc ou reiniciando o Nano Server. Inicializar e testar o IIS Um bom administrador de ambiente Windows Server tem como princípio realizar um conjunto de atividades após a instalação e a configuração de qualquer interface, software ou servidor. Essas atividades são uma forma de validar e garantir que as configurações realizadas estão devidamente habilitadas e em pleno funcionamento antes mesmo de elas serem liberadas para outros times ou até mesmo de se pôr em produção o ambiente. Comentário Para validar se a página web está funcionando, bastar abrir o navegador e digitar o endereço de IP do Nano Server. Como o Nano Server é administrado por linha de comando, não é possível realizar esse tipo de teste no próprio servidor dele. Você terá de acessar outra máquina com a experiência de desktop habilitada (Windows com o módulo gráfico instalado) e, em seguida, realizar os devidos testes. Caso o servidor web seja uma máquina virtual, você poderá obter o endereço IP da máquina utilizando o seguinte comando em PowerShell: Get-VM -name <VM name> | Select -ExpandProperty networkadapters | select IPAddresses Após concluir esse comando e obter o endereço IP, basta abrir o navegador e digitar isto: http://<Endereço IP do Nano Server>. Comentário Caso a página web não tenha carregado, verifique se o diretório c:\inetpub foi devidamente criado no servidor Nano Server. Habilitar e desabilitar os recursos no IIS Quando você conclui uma instalação do servidor web, um conjunto de recursos, por padrão, é habilitado. Ao analisá-los, você pode definir se as configurações presentes fazem sentido para o seu projeto. Em cada recurso, pode existir um conjunto de elementos de configuração, como o recurso de autenticação do Windows. Observemos os recursos nesta tabela: Seção Elementos de configuração <globalModules> <add name=WindowsAuthenticationModule image=%windir%\System32\inetsrv\authsspi.dll <modules> <add name=WindowsAuthenticationModule lockItem=true \/> <windowsAuthentication> <windowsAuthentication enabled=false authPersistNonNTLM\=true> <providers><add value=Negotiate /><add value=NTLM /><br /> </providers><br /></windowsAuthentication> Quadro: Recursos do IIS no Nano Server. Extraído de: Microsoft, 2021d. Instalação do recurso de autenticação do Windows Para realizar esse procedimento, você utilizará o Gerenciamento e manutenção de imagens de implantação (DISM.exe). Aplicada para preparar imagens do Windows, essa ferramenta de linha de comando será executada no PowerShell. 1. Conecte ao servidor Nano Server que deseja instalar o módulo de autenticação no serviço IIS. 2. Digite este comando: Windows Powershell Atenção! Para executar o comando dism, você deve elevar os privilégios para administrador antes da execução; caso contrário, você não conseguirá iniciar a instalação. Para elevar o privilégio de execução do PowerShell, basta executar o comando a seguir: Windows Powershell Quando executado, você receberá uma mensagem para confirmar a solicitação. Em alguns casos, será solicitado que você insira usuário e senha de administrador. Comentário Em muitas ocasiões, será necessária ainda a elevação de privilégios no Windows Server antes de dar início à instalação das funções. Mas não se preocupe: caso não execute a elevação antes de iniciar a instalação, o próprio sistema lhe informará que faltam privilégios de administrador. Desinstalar recurso de autenticação do Windows Para remover o recurso de autenticação do Windows, basta executar o comando a seguir no PowerShell. Não se esqueça de elevar os privilégios antes de seguir com a tarefa. Windows Powershell Como você deve ter percebido, instalar e desinstalar no PowerShell estão respectivamente associados aos comandos Enable-Feature e Disable-Feature. Para realizar a instalação e a desinstalação de qualquer outro recurso do IIS, basta substituir o valor do parâmetro /featurename:. Criação de diretórios e sites Você acabou de configurar uma estrutura-base em Nano Server com a função de serviço web baseada em IIS da Microsoft. Agora é chegada a hora de criar um site e configurá-lo. Comentário No mesmo servidor web, é possível hospedar vários sites, sejam eles direcionados à internet ou à intranet. Para isso ser possível, você deverá criar diretórios diferentes que serão responsáveis por armazenar e classificar os sites e as aplicações que forem desenvolvidas. Para criar um site, use o seguinte comando: Windows Powershell Os nomes TestSite e test podem ser qualquer outro que corresponda ao seu projeto. Para excluir um site que você criou equivocadamente ou que não faça mais parte do seu projeto, basta executar este comando: Windows Powershell Atenção! Tenha muito cuidado ao executar esse procedimento, pois, caso você exclua o site equivocadamente, não existe comando para cancelar a exclusão! Existem cenários nos quais é necessário criar diversos sites. Como forma de otimizar o uso dos recursos disponíveis, você poderá hospedar vários no mesmo servidor, criando, para isso, diretórios virtuais. Você deve planejar muito bem a estrutura de sites para que não ocorra perda de desempenho ou concorrência entre recursos. Um diretório virtual será utilizado para armazenar dados e aplicativos dos novos sites. Para criar um diretório virtual, execute os comandos adiante: Windows Powershell O comando Get-IISServerManager retorna o objetoIISServerManager, que apresenta a API Microsoft.Web.Administration.ServerManager do .NET. Tal comando será executado no site padrão (default website) no diretório raiz (/). O método Add() da coleção VirtualDirectories desse elemento cria o diretório, o qual, em nosso exemplo, é virtualDirectory1 e virtualDirectory2. Con�gurando o IIS em um Nano Server Veja agora como configurar o servidor web em um Nano Server utilizando diretórios virtuais e configurando o HTTPS. Vamos lá! Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos? Questão 1 Em uma rede corporativa, é importante que o administrador da rede desenvolva suas atividades de forma mais precisa possível, garantindo, assim, que ela tenha um excelente desempenho. Entre outras atividades, o que faz parte da rotina de um administrador de serviços web? Parabéns! A alternativa C está correta. Um administrador de ambiente Windows Server com o servidor web implantado deve sempre analisar e resolver possíveis problemas do ambiente, ter uma rotina de gerenciamento, administrar as extensões do website e realizar instalações avançadas tanto em um ambiente Nano Server quanto no modo gráfico do Windows Server. Questão 2 O Nano Server é essencialmente uma versão simplificada do sistema operacional Windows Server. Significativamente menor, ele não tem nenhum recurso de logon local e só oferece suporte a agentes, ferramentas e aplicativos de 64 bits. Entre os cenários possíveis para se empregar o Nano Server, podemos afirmar que ele é A Resolução de problemas, gerenciamento, administrar chamados e configurar o firewall. B Resolução de problemas, gerenciamento de discos e cabeamento de rede. C Resolução de problemas, gerenciamento, administrar extensões e instalação avançada. D Resolução de causas e efeitos, sites de outras empresas, desinstalar drives. E Resolução de causas e efeitos, sites da mesma empresa e instalar drives. Parabéns! A alternativa C está correta. O Nano Server é uma solução desenvolvida pela Microsoft para oferecer uma versão simplificada do Windows Server, que exige menos recursos de hardware, diminui a superfície de ataque e remove diversas funcionalidades, como a interface gráfica, além de permitir apenas a execução de aplicativos de 64 bits. Ele é adequado para a configuração de servidores DNS e de arquivos web (IIS) e como host para virtualização em Hyper-V. A adequado para implantar servidores de DNS e como controlador de domínio (AD). B adequado para implantar um controlador de domínio (AD) e como servidor de arquivos. C adequado para implantar servidores de arquivos e servidores de nomes (DNS). D adequado para implantar um servidor web executando o IIS e configurar o IIS pelo navegador. E adequado para ser um host para virtualização em Hyper-V ou um desktop para um usuário. 4 - Acesso remoto no Windows Server Ao �nal deste módulo, você será capaz de identi�car os recursos oferecidos pelo serviço de acesso remoto no Windows Server. Acesso remoto Imagine o seguinte cenário: você é um administrador de ambiente Windows Server e precisa acessar alguns servidores. Além disso, esse acesso tem de ser feito de forma física. Para realizar essa atividade, bastaria um teclado, um mouse e um monitor conectado a esse servidor. Considerando um ambiente com algumas dezenas de servidores, restrições físicas de acesso ao local ou servidores virtuais, tentar acessar fisicamente esses ambientes não faria sentido para você, que é administrador. A capacidade de acesso remoto é algo inerente a ambientes de servidores desde seu surgimento. Com o advento dos serviços em cloud computing, faz todo sentido compreender e dominar as principais formas de configuração do serviço de acesso remoto e de suas variações. O acesso remoto pode ser feito em um sistema Windows Server para desktop (Windows 10, por exemplo) ou Windows Desktop. Basta configurar as permissões e os serviços específicos. Comentário Em resumo, o acesso remoto é a capacidade de acessar uma aplicação, uma área de trabalho ou um servidor sem necessariamente estar conectado fisicamente a ele. Para isso, pode-se utilizar o próprio dispositivo mediante uma conexão feita por meio de uma rede LAN ou WAN. Habilitando o acesso remoto em Windows Desktop Em redes com vários usuários, pode ser necessário acessar remotamente o desktop para realizar um suporte ou até mesmo alguma ação preventiva na estação de trabalho do usuário. Para isso, você deve habilitar o acesso remoto no sistema operacional Windows Desktop. Estes são alguns dos sistemas operacionais compatíveis: • Windows 10 Pro • Windows 10 Enterprise • Windows 8 Enterprise • Windows 8 Professional • Windows 7 Professional • Windows 7 Enterprise • Windows 7 Ultimate • Windows Server 2008 • Windows Server 2008 R2 • Windows Server 2012 • Windows Server 2012 R2 • Windows Server 2016 O acesso remoto deve ser feito por meio da porta RDP TCP 3389. Windows 10 update 1709 Nem todas as versões de Windows para desktop possuem a mesma forma de habilitar e configurar o serviço de acesso remoto. A partir do update 1709, o Windows 10 reúne novos recursos e funcionalidades de validação. Para saber qual update está instalado no seu Windows 10, basta seguir os seguintes passos: • Aperte as teclas Win + R. • No campo Abrir, digite o comando: winver. Sobre o Windows. Feita essa validação, agora você pode habilitar o recurso de acesso remoto. Para isso, basta seguir estes sete passos: Passo 1 No dispositivo em que você deseja se conectar, selecione Iniciar. Em seguida, clique no ícone Configurações à esquerda. Passo 2 Selecione o grupo Sistema, seguido do item Área de trabalho remota. Passo 3 Use o controle deslizante para habilitar a Área de trabalho remota. Autenticação no nível de rede Parte do trabalho de um administrador de redes com Windows é oferecer o máximo de segurança. Ela precisa estar sempre em seus planos quando se trata de acesso remoto. Por isso, é importante compreender o tipo de acesso remoto com autenticação em nível de rede. Para acessar um desktop de forma mais segura, deve-se configurar o NLA (Network Level Authentication) . Passo 4 Recomendamos manter o computador ativo e detectável para facilitar as conexões. Clique em Mostrar configurações para habilitar. Passo 5 Conforme necessário, adicione os usuários que podem se conectar remotamente clicando em Selecione os usuários que podem acessar remotamente esse computador. Passo 6 Os membros do grupo Administradores têm acesso automático. Passo 7 Anote o nome do computador em Como se conectar a este computador. Você precisará dele para configurar os clientes. Uma vez configurado, o usuário, antes de acessar remotamente um Windows, tem de estar devidamente autenticado na rede. Isso garante mais segurança em um ambiente corporativo. Comentário Caso você realize o acesso remoto em um computador doméstico, não será possível configurar a NLA. Área de trabalho remota Com a evolução das tecnologias, o acesso à área de trabalho remota tem evoluído bastante. Atualmente, o serviço de RDS (Remote Desktop Services) é construído com as seguintes características: Virtualização baseada em sessão Imagine o seguinte cenário: você é administrador do ambiente Windows Server e deseja realizar uma configuração em um Servidor Windows Server 2019. Como você acessa remotamente esse servidor e realiza as suas atividades de monitoramento e ações preventivas, outro administrador do ambiente deseja fazer uma configuração em alguns diretórios no mesmo servidor que você. Se não houvesse a virtualização baseada em sessão, você teria de fazer o logoff do servidor para que o outro administrador pudesse acessar o ambiente. Não é mais necessária essa ação justamente por conta das múltiplas sessões simultâneas no servidor com o RDS devidamente configurado. Infraestrutura de desktop virtual (VDI) Considere a necessidade de poder realizar configurações mais específicas, comoinstalar uma aplicação corporativa. Como você vai fazer essa instalação, é necessário que as configurações feitas sejam permanentes ou que só você tenha a permissão de modificá-las no futuro. Para que isso seja possível, é necessário haver um desktop (seja ele Windows Server ou Windows Client) configurado em uma estrutura virtual. Quem realiza essa configuração precisa ter a função de Hyper-V instalada no seu servidor. Considerando as possibilidades de entregar uma experiência mais aprimorada para os usuários dentro do ambiente de virtualização, observam-se os seguintes aspectos em: yper-V O Hyper-V é uma tecnologia que permite a virtualização do hardware em um computador físico. Área de trabalho Sessão que permite o acesso a uma área de trabalho completa, com acesso a todas as pastas, aplicativos e demais recursos habilitados pelos administradores. A área de trabalho remota é muito utilizada em cenários nos quais o usuário tem um desktop com algumas limitações de hardware e necessita de um ambiente com mais flexibilidade de acesso e disponibilidade. RemoteApps Em alguns casos, entregar uma área de trabalho completa para o usuário é desnecessário, o que significa ainda uma sobra de recursos. Isso pode ser o cenário ideal para entregar apenas o acesso direto à aplicação. Um usuário do setor financeiro pode ter, por exemplo, um desktop com uma configuração de hardware que atenda a todas as suas necessidades, mas ele eventualmente precisaria acessar uma aplicação, a qual, por sua vez, pode ser entregue apenas por uma sessão remota. Nesse caso, o usuário não veria a área de trabalho: a aplicação remota seria a única coisa apresentada para ele. Planejar área de trabalho remota Sendo o administrador de um ambiente Windows Server, é importante entender que a aplicação do recurso de acesso remoto pode ser amplamente utilizada para atender a necessidades específicas e amplas de negócio. Em um planejamento, é importante avaliar os seguintes pontos: • De onde será realizado o acesso. • Dimensionamento da rede. • Alta disponibilidade e elasticidade. • Métodos de autenticação. • Recursos de GPU (unidade de processamento gráfico). • Modelo de licenciamento. • Aplicações compatíveis para área de trabalho remota. • Armazenamento dos dados. Instalação e con�guração inicial Para uma instalação inicial, é necessário configurar três funções básicas para toda e qualquer arquitetura de área de trabalho remota: • Servidor de sessão – session host (será identificado no passo a passo como Servidor-Sh1). • Servidor de licenças – licenses (será identificado no passo a passo como Servidor-WebGw1). • Servidor de publicação – gateway (será identificado no passo a passo como Servidor-Cb1). Recomendação Na implantação de um ambiente de área de trabalho remota em ambiente de produção, é recomendado que haja um servidor que controle de forma centralizada os usuários, assim como as devidas permissões. Tal servidor é o AD DS. Os passos para instalar uma arquitetura de área de trabalho remota são: 1) Adicione todos os servidores para os quais pretende habilitar o uso do serviço de área de trabalho remota no gerenciador do servidor: a) No gerenciador do servidor, clique em Gerenciar > Adicionar servidores; b) Clique em Localizar agora; c) Clique em cada servidor na implantação (por exemplo, servidor-Cb1, servidor-WebGw1 e servidor-Sh1). Depois, clique em OK. 2) Crie uma implantação baseada em sessão para implantar os componentes do serviço de área de trabalho remota: a) No gerenciador do servidor, clique em Gerenciar > Adicionar funções e recursos; b) Clique em Instalação de serviços de área de trabalho remota, Implantação padrão e Implantação de desktop baseada em sessão; c) Selecione os servidores apropriados para o servidor do agente de conexão de área de trabalho remota, o servidor de acesso via web à área de trabalho remota e o servidor do host da sessão da área de trabalho remota (por exemplo, Servidor-Cb1, Servidor-WebGw1 e Servidor-SH1, respectivamente); d) Selecione Reiniciar cada servidor de destino automaticamente (se necessário) e clique em Implantar; e) Aguarde até que a implantação seja concluída com êxito. 3) Adicione o servidor de licenças RD: a) No gerenciador do servidor, clique em Serviços de área de trabalho remota > Visão geral > +Licenciamento de área de trabalho remota; b) Selecione a máquina virtual em que o servidor de licenças da área de trabalho remota será instalado (por exemplo, servidor-Cb1); c) Clique em Avançar e Adicionar. 4) Ative o servidor de licenças RD e adicione-o ao grupo Servidores de licença: a) No gerenciador do servidor, clique em Ferramentas > Serviços de terminal > Gerenciador de licenciamento de área de trabalho remota; b) No gerenciador de licenciamento de área de trabalho remota, selecione o servidor e clique em Ação > Ativar servidor; c) Aceite os valores padrão no Assistente para ativação do servidor. Continue aceitando valores padrão até chegar à página Informações sobre a empresa. Verifique as informações dela; d) Aceite os padrões para as páginas restantes até a página final. Desmarque Iniciar assistente para instalação de licenças agora e clique em Concluir; e) Clique em Ação > Examinar configuração > Adicionar ao grupo > OK. Insira as credenciais para um usuário no grupo Administradores do DC AAD e registre como SCP. Esta etapa poderá não funcionar se você estiver usando o Azure AD Domain Services, porém é possível ignorar avisos ou erros. 5) Adicione o servidor de Gateway de área de trabalho remota e o nome do certificado: a) No Gerenciador do servidor, clique em Serviços de área de trabalho remota > Visão geral > +Gateway de área de trabalho remota; b) No assistente para Adicionar Servidores de gateway de área de trabalho remota, selecione a máquina virtual em que você deseja instalar o servidor de gateway de área de trabalho remota (por exemplo, Contoso- WebGw1); c) Insira o nome do certificado SSL para o servidor de gateway de área de trabalho remota usando o FQDN (Nome DNS totalmente qualificado) externo do servidor de gateway de área de trabalho remota; d) Clique em Avançar e em Adicionar. 6) Crie e instale certificados autoassinados para os servidores de gateway de área de trabalho remota e de agente de conexão dessa área: a) No gerenciador do servidor, clique em Serviços de área de trabalho remota > Visão geral > Tarefas > Editar propriedades de implantação; b) Expanda Certificados e role para baixo até a tabela. Clique em Gateway de área de trabalho remota > Criar novo certificado; c) Digite o nome do certificado usando o FQDN externo do servidor de gateway de área de trabalho remota (por exemplo, contoso.westus.cloudapp.azure.com). Em seguida, digite a senha; d) Selecione Armazenar este certificado e navegue até a pasta compartilhada que você criou para os certificados em uma etapa anterior (por exemplo, \Servidor-Cb1\Certificates); e) Insira um nome de arquivo para o certificado (por exemplo, ServidorRdGwCert) e clique em Salvar; f) Selecione Permitir que o certificado seja adicionado ao repositório de certificados de autoridades de certificação raiz confiáveis nos computadores de destino e clique em OK; g) Clique em Aplicar e aguarde até que o certificado seja aplicado com êxito ao servidor de gateway de área de trabalho remota; h) Clique em Acesso via web à área de trabalho remota > Selecionar certificado existente; i) Navegue até o certificado criado para o servidor de gateway de área de trabalho remota (por exemplo, ContosoRdGwCert) e clique em Abrir; j) Insira a senha do certificado, selecione Permitir que o certificado seja adicionado ao repositório de certificados raiz confiáveis nos computadores de destino e clique em OK; k) Clique em Aplicar e aguarde até que o certificado seja aplicado com êxito ao servidor de acesso via web à área de trabalho remota; l) Repita as subetapas de 1 a 11 para Agente de conexão de área de trabalho remota – habilitarlogon único e Agente de conexão de área de trabalho remota – publicando serviços usando o FQDN interno do servidor de Agente de conexão de área de trabalho remota para o nome do novo certificado (por exemplo, Servidor- Cb1.Contoso.com). Recomendação Se você estiver fornecendo e instalando certificados de uma autoridade de certificação confiável, execute os procedimentos de etapa h até a k para cada função. Você precisará ter o arquivo .pfx disponível para cada um desses certificados. 7) Exporte os certificados públicos autoassinados e copie-os em um computador cliente. Se você estiver usando certificados de uma autoridade de certificação confiável, ignore essa etapa. a) Inicie o certlm.msc; b) Expanda Pessoal e clique em Certificados; c) No painel do lado direito, clique com o botão direito do mouse no certificado do Agente de conexão de área de trabalho remota destinado para a autenticação de cliente (por exemplo, Servidor- Cb1.Contoso.com); d) Clique em Todas as Tarefas > Exportar; e) Adote as opções padrão no Assistente para exportação de certificados aceitando os padrões até chegar à página Arquivo a ser Exportado; f) Navegue até a pasta compartilhada que você criou para certificados (por exemplo \Servidor- Cb1\Certificates); g) Insira um nome de arquivo (por exemplo, ServidorCbClientCert) e clique em Salvar; h) Clique em Avançar e em Concluir; i) Repita as subetapas de 1 a 8 para o certificado de gateway de área de trabalho remota e da web (por exemplo, contoso.westus.cloudapp.azure.com), fornecendo ao certificado exportado um nome de arquivo apropriado (por exemplo, ServidorWebGwClientCert); j) No Explorador de arquivos, navegue até a pasta onde os certificados estão armazenados (por exemplo \Servidor-Cb1\Certificates); k) Selecione os dois certificados de cliente exportados. Clique neles com botão direito do mouse e, em seguida, em Copiar; l) Cole os certificados no computador cliente local. 8) Configure as propriedades de implantação do gateway de área de trabalho remota e do licenciamento de área de trabalho remota: a) No gerenciador do servidor, clique em Serviços de área de trabalho remota > Visão geral > Tarefas > Editar propriedades de implantação; b) Expanda Gateway de área de trabalho remota e desmarque a opção Ignorar servidor de gateway de área de trabalho remota para endereços locais; c) Expanda Licenciamento de área de trabalho remota e selecione Por usuário; d) Clique em OK. 9) Crie um conjunto de sessões. Essas etapas criam um conjunto básico. a) No gerenciador do servidor, clique em Serviços de área de trabalho remota > Conjuntos > Tarefas > Criar conjuntos de sessões; b) Digite um nome para o conjunto (por exemplo, ServidorDesktop); c) Selecione um servidor do host da sessão de área de trabalho remota (Servidor-Sh1), aceite os grupos de usuários padrão (Contoso\Domain Users) e insira o caminho UNC para os discos de perfil do usuário criados acima (\Servidor-Cb1\UserDisks); d) Defina um tamanho máximo e clique em Criar. Administração do ambiente em PowerShell A maior parte do tempo de um administrador de ambiente Windows Server é gasto administrando múltiplos sistemas e ambientes; portanto, é de suma importância conhecer as formas de administração via PowerShell. Utilizando o comando Enter-PSSession, você poderá acessar o servidor Windows Server remotamente e realizar o comando diretamente no servidor remoto como se estivesse fisicamente conectado. O comando Enter-PSSession é tão importante para um administrador que, por meio dele, você poderá acessar ambientes Windows, Linux e macOS tanto para servidor quanto para desktop, facilitando a tarefa de cuidar de um ambiente. Tal atividade, afinal, é muitas vezes composta por múltiplos fabricantes. Atenção! O Cmdlet Enter-PSSession só pode realizar uma sessão com um único computador remoto por vez. Comandos essenciais de Enter-PSSession Iniciar uma sessão em SSH passando porta e credencial do usuário PS> Enter-PSSession -HostName UserA@LinuxServer02:22 -KeyFilePath c:\\userAKey_rsa Criar uma sessão Windows PS> Enter-PSSession [localhost]: PS> Iniciar uma sessão, especi�cando porta e credencial PS> Enter-PSSession -ComputerName Server01 -Port 90 -Credential Domain01\User01 [Server01]: PS> Finalizar sessão [Server01]: PS> Exit-PSSession PS> Con�gurando e utilizando o acesso remoto Veja agora uma apresentação sobre a instalação, configuração e utilização do serviço de acesso remoto. Vamos lá! Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos? Questão 1 A função de acesso remoto consiste em A permitir que os administradores acessem o ambiente de forma presencial. B configurar session host para o melhor monitoramento de disco. Parabéns! A alternativa C está correta. O acesso remoto a área de trabalho permite que administradores e usuários acessem aplicações (RemotApps) ou áreas de trabalho inteiras como se elas constituíssem um desktop completo. Questão 2 O comando Enter-PSSession permite ao administrador acessar Parabéns! A alternativa D está correta. C permitir que administradores e usuários acessem a área de trabalho de forma remota. D permitir que somente usuários tenham acesso a aplicações remotas. E desconectar todos os serviços locais, pois não são necessários. A somente o ambiente Windows Server.. B estações Linux e macOS. C sistemas somente de servidores Windows, Linux e macOS. D qualquer sistema que seja servidor ou desktop Windows, Linux e macOS. E apenas servidores Linux por meio da conexão SSH. O comando Enter-PSSession é extremamente versátil, permitindo aos administradores o acesso, por meio de um sistema operacional Windows, a qualquer sistema servidor ou desktop Windows, Linux e macOS. Considerações �nais Você observou, neste conteúdo, que administrar um ambiente Windows Server requer conhecimentos em múltiplos serviços. Vimos, porém, que todos eles estão interligados de forma direta ou indireta. Considerando o entendimento do conteúdo estudado, é chegada a hora de pô-los em prática, buscando aprofundamento e vivências em múltiplos cenários. Afinal, você já compreende os principais conceitos relativos ao servidor de resolução de nomes: o DNS. Entre esses conceitos, abordamos a implementação de um serviço de hospedagem web tanto em ambiente com interface gráfica quanto em Nano Server, garantindo mais segurança em um ambiente com uma menor superfície de ataque. Além disso, conhecemos os múltiplos benefícios de um ambiente com serviço de acesso remoto configurado. Utilizando servidores na plataforma Windows Server Ouça agora uma entrevista sobre as funcionalidades do Windows Server. Explore + Pesquise sobre outros servidores web compatíveis com a plataforma Windows Server e compare-os com os recursos oferecidos pelo IIS. Pesquise quais as linguagens de programação são suportadas pelo IIS. Referências GORDON, A. Enter-PSSession - taking on PowerShell one Cmdlet at a time - Weekly blog. It pro.tv. Publicado em: 26 fev. 2020. MICROSOFT. Bem-vindo aos serviços de área de trabalho remota. Microsoft Ignite. Publicado em: 13 ago. 2021a. MICROSOFT. Enter-PSSession. Microsoft Ignite. Consultado na internet em: 29 out. 2021b. MICROSOFT. Funções, serviços de função e recursos incluídos no Windows Server – Server Core. Microsoft Ignite. Publicado em: 12 ago. 2021c. MICROSOFT. IIS do Nano Server. Microsoft Ignite. Publicado em: 7 out. 2021d. MICROSOFT. IIS modules overview. Microsoft Ignite. Publicado em: 14 maio 2020a. MICROSOFT. Implementar o DNS do Windows Server. Consultado na internet em: 29 out. 2021e. MICROSOFT. Introduction to IIS architectures. Microsoft Ignite. Publicado em: 20 jul. 2020b. MICROSOFT. Instalar o Nano Server. Microsoft Ignite. Publicado em: 12 ago. 2021f. SO, D. Introducing IIS on Nano Server. Microsoft Ignite. Publicado em: 28 abr. 2021. Material para download Clique no botão abaixo para fazer o download do conteúdo completo em formato PDF. Downloadmaterial O que você achou do conteúdo? Relatar problema javascript:CriaPDF()
Compartilhar