Windows Server: o poder da integração

O Windows oferece um valor ainda maior ao permitir combinar recursos entre as plataformas de cliente e servidor para formar uma solução completa.

Joshua Hoffman

O Windows, como um SO de área de trabalho, equipa nossos PCs e nos ajuda a tirar o máximo proveito da tecnologia moderna. Os recursos do Windows 7 suportam tarefas, como as conexões de rede, que levam a Internet até nossas áreas de trabalho, bem como a execução de aplicativos, que permitem que os operadores de informações coletem e compartilhem conhecimento, analisem dados de negócios e se comuniquem com parceiros, clientes e colegas em tempo real.

O Windows é também um SO de servidor robusto que constitui o backbone de muitos datacenters. O Windows Server faz de tudo – de serviços de arquivo e impressão à virtualização com o Hyper-V para fornecer o IIS a sites.

O maior valor que o Windows oferece, entretanto, geralmente é percebido quando recursos entre as plataformas de cliente e servidor são combinados para formar uma solução completa para um problema de negócios. Há diversas soluções completas que você pode criar com os componentes existentes das plataformas de cliente e servidor do Windows. Há também recursos valiosos para orientá-lo pelo processo de criação dessas soluções.

Conectividade direta

O DirectAccess com Proteção de Acesso à Rede (NAP) oferece uma solução prática e robusta utilizando a integração de vários componentes do Windows. O DirectAccess conecta os computadores cliente com os recursos de intranet sem a complexidade de uma rede virtual privada (VPN). A conectividade é direta e oferece conexão remota simples e ágil ao mesmo tempo em que mantém a segurança necessária para a proteção de recursos internos.

O DirectAccess com NAP também oferece verificações contínuas de integridade para computadores remotos (não apenas quando o computador remoto tenta estabelecer uma conexão, como na solução de VPN). Ele também aplica a conformidade de integridade antes de permitir a conexão de usuários remotos.

Por padrão, os clientes do DirectAccess usam um certificado de computador para autenticação de mesmo nível da segurança de IP. Com o DirectAccess e o NAP, o certificado de autenticação para acesso à intranet é um certificado de integridade. Esse certificado de integridade valida a identidade do computador cliente do DirectAccess e garante que o cliente do DirectAccess está em conformidade com os requisitos de integridade do sistema.

O DirectAccess com a solução NAP utiliza vários componentes da infraestrutura do Windows para oferecer essa funcionalidade (consulte a Figura 1). Esses componentes incluem:

• Serviços de Domínio Active Directory (AD DS): oferece associação de domínio para clientes e servidores do DirectAccess, autenticação de credenciais de computadores e usuários e distribui configurações da Política de Grupo para clientes do DirectAccess.
• Infraestrutura de chave pública (PKI): distribui certificados digitais para clientes do DirectAccess, servidores do DirectAccess e servidores Web para DirectAccess com NAP, uma autoridade de certificação (CA) emite certificados de computador e uma CA baseada no Windows separada — conhecida como NAPCA — emite certificados de integridade.
• Servidor do DirectAccess: um computador executando o Windows Server 2008 R2 hospeda conexões do DirectAccess
• Servidor de local de rede: um computador executando o Windows Server 2008 ou posterior e o IIS para hospedar um site seguro, de modo que os clientes do DirectAccess possam determinar se estão conectados à intranet.
• Servidor de política de integridade de NAP: um computador executando o Windows Server 2008 ou posterior e o Servidor de Políticas de Rede (NPS) executam a validação e o registro em log da integridade do sistema.
• Autoridade de Registro de Integridade (HRA): um computador executando o Windows Server 2008 ou posterior e o IIS que obtém certificados digitais de uma CA NAP para clientes compatíveis com o DirectAccess.
• Servidores de atualizações: computadores que fornecem as atualizações ou os recursos de que os clientes que não estejam em conformidade com o DirectAccess precisam para atender aos requisitos de integridade do sistema; exemplos incluem os servidores do WSUS (Windows Software Update Services) e servidores de distribuição de assinatura antimalware.

Figura 1 Componentes da infraestrutura do DirectAccess com a solução NAP.

Levando-se em consideração esses componentes da infraestrutura, vamos conhecer rapidamente como funciona o DirectAccess com a solução NAP. Quando o cliente do DirectAccess é iniciado, ele efetua logon no domínio do AD DS e envia informações sobre seu estado de integridade atual ao HRA. O HRA então envia as informações sobre o estado de integridade do cliente do DirectAccess ao servidor de política de integridade de NAP.

O servidor de política de integridade de NAP avalia o estado de integridade do cliente do DirectAccess, determina se ele está em conformidade e envia os resultados ao HRA. Se o cliente do DirectAccess não estiver em conformidade, os resultados incluirão instruções de atualização de integridade.

Se o estado de integridade estiver em conformidade, o HRA obterá um certificado de integridade do PKI e o enviará ao cliente do DirectAccess. O cliente do DirectAccess pode, agora, criar o túnel de intranet com o servidor do DirectAccess.

Se o estado de integridade não estiver em conformidade, o HRA não emitirá um certificado de integridade. O cliente do DirectAccess não poderá criar o túnel de intranet com o servidor do DirectAccess, de modo que o acesso será efetivamente bloqueado. Entretanto, o cliente do DirectAccess pode acessar servidores de atualização para corrigir seu estado de integridade.

O cliente do DirectAccess entrará em contato com os servidores de atualização para receber as atualizações de conformidade, se necessário. Quando o processo estiver concluído, o cliente do DirectAccess atualizará as informações sobre seu estado de integridade e as enviará ao HRA. O HRA enviará as informações atualizadas sobre o estado de integridade ao servidor de política de integridade de NAP. Presumindo que todas as atualizações necessárias foram feitas, o servidor de política de integridade de NAP determinará que o cliente do DirectAccess está em conformidade e enviará os resultados ao HRA.

O HRA, então, obterá um certificado de integridade da CA NAP e enviará esse certificado ao cliente do DirectAccess. O cliente do DirectAccess pode, agora, usar o certificado de integridade para autenticação para acessar a intranet por meio do servidor do DirectAccess.

O resultado — com base em uma combinação de componentes do Windows — é uma força de trabalho móvel. Eles agora podem acessar diretamente os recursos internos, ao mesmo tempo em que preservam a segurança e a integridade da rede interna.

Para obter mais informações sobre o DirectAccess com a solução NAP, consulte o Guia da Solução completo disponível na Biblioteca TechNet. Há também Guias de Laboratório de Teste sobre DirectAccess com NAP disponíveis. Esses guias de laboratório de teste detalham e documentam todas as etapas necessárias para criar um ambiente de laboratório de trabalho de modo que você possa demonstrar e fazer experiências com essa solução.

Criação de soluções integradas

Há também Guias de Laboratório de Teste disponíveis para várias outras soluções de infraestrutura do Windows. Por exemplo, há guias de laboratório de teste para configurações alternativas do DirectAccess com a solução NAP, incluindo o uso do Forefront Unified Access Gateway com DirectAccess e NAP.

Comece com o Laboratório de teste da configuração básica, que ajuda a estabelecer uma configuração de linha base com a qual você pode fazer experiências com novas soluções em um ambiente controlado. Há guias de laboratório de teste adicionais disponíveis sobre essa configuração básica.

Com a configuração básica aplicada, você pode explorar outras soluções integradas. Outros laboratórios de teste exploram os novos protocolos de rede IPv6 e DHCPv6. O IPv6 foi projetado para resolver muitos dos problemas da versão atual do protocolo IP (conhecido como IPv4), como o esgotamento de endereços, a segurança, a configuração automática e a necessidade de extensibilidade.

O guia de laboratório de teste do IPv6 demonstra os seguintes cenários:

• O comportamento padrão do IPv6 e a conectividade em uma intranet apenas IPv4
• Conectividade de intranet baseada em IPv6 usando o Protocolo ISATAP
• Conectividade de intranet baseada em IPv6 usando endereçamento IPv6 nativo
• Conectividade IPv6 em uma Internet apenas IPv4 simulada usando 6to4

Após ficar à vontade com o IPv6, a extensão de laboratório do DHCPv6 o guiará passo a passo pelo processo de emitir e gerenciar endereços IPv6 dinamicamente.

Os guias de laboratório de teste são publicados na plataforma TechNet Social; portanto, estão abertos à criação e ampliação pela comunidade. Consulte Laboratório de teste de acesso remoto da VPN para o Windows Sever 2008 R2 como exemplo. Nem toda organização está em posição de implantar a solução DirectAccess explicada anteriormente. Este guia de laboratório de teste demonstrará a implantação de uma VPN mais tradicional, de modo que os usuários remotos possam estabelecer conexões seguras de rede interna sob demanda.

O guia do laboratório de teste foi ampliado pelos colaboradores da comunidade para demonstrar o uso do Kit de Administração do Gerenciador de conexões (CMAK) com a solução de VPN, o uso da Reconexão VPN e muito mais. Finalmente, ao expandir além do escopo das soluções baseadas unicamente nos componentes básicos da infraestrutura do Windows, há guias de laboratório de teste disponíveis para vários outros produtos de infraestrutura, incluindo System Center Service Manager 2010, Forefront Identity Manager 2010, SQL Server 2008 R2 e muito mais.

Criar soluções integradas por meio da combinação das plataformas de cliente e servidor do Windows libera o potencial oculto de seu investimento em tecnologia. Para obter mais orientações sobre a criação de soluções integradas do Windows, visite o blog do guia de laboratório de teste em blogs.technet.com/b/tlgs.

Joshua Hoffman* é ex-editor-chefe da* TechNet Magazine*. Agora, ele é autor e consultor independente, aconselha seus clientes sobre tecnologia e marketing seletivo. Hoffman também trabalha como editor-chefe do ResearchAccess.com, um site dedicado ao crescimento e aperfeiçoamento da comunidade de pesquisas de mercado. Ele mora na cidade de Nova York.*

Conteúdo relacionado

• Integrando o Windows 7 e o Windows 2008 R2
• 77 dicas do Windows 7
• Aprimoramentos da PKI no Windows 7 e no Windows Server 2008 R2