Visão geral do Live Communications Server 2005
Propaganda
Guia de Implantação do Live Communications Server 2005 com SP1 Enterprise Edition Publicado: agosto de 2005 Atualizado: janeiro de 2007 As informações contidas neste documento representam a visão atual da Microsoft Corporation sobre as questões abordadas na data da publicação. Como a Microsoft precisa reagir às condições do mercado em constante alteração, essas informações não devem ser interpretadas como um compromisso da Microsoft, e a Microsoft não pode garantir a precisão de qualquer informação apresentada após a data da publicação. Este White Paper é apenas informativo. A MICROSOFT NÃO DÁ GARANTIAS, EXPRESSAS, IMPLÍCITAS OU LEGAIS, REFERENTES ÀS INFORMAÇÕES CONTIDAS NESTE DOCUMENTO. Obedecer a todas as leis de direitos autorais aplicáveis é responsabilidade do usuário. Sem limitar os direitos estabelecidos sob os direitos autorais, nenhuma parte deste documento pode ser reproduzida, armazenada ou introduzida em um sistema de recuperação, ou transmitida de qualquer forma ou por qualquer meio (eletrônico, mecânico, fotocópia, gravação ou outro), ou para qualquer propósito, sem a permissão expressa, por escrito, da Microsoft Corporation. A Microsoft pode ter patentes, solicitações de patentes, marcas comerciais, direitos autorais ou outros direitos de propriedade intelectual relativos ao assunto tratado neste documento. A posse deste documento não lhe confere direito algum sobre as citadas patentes, marcas comerciais, direitos autorais ou outra propriedade intelectual, salvo aqueles expressamente mencionados em um contrato de licença, por escrito, da Microsoft. Salvo indicação em contrário, os exemplos de empresas, organizações, produtos, nomes de domínio, endereços de email, logotipos, pessoas, lugares e acontecimentos aqui mencionados são fictícios. Nenhuma associação com quaisquer empresas, organizações, produtos, nomes de domínio, endereços de email, logotipos, pessoas, lugares ou acontecimentos reais é intencional ou deve ser inferida. © 2006 Microsoft Corporation. Todos os direitos reservados. Microsoft, Active Directory, Outlook, Windows, Windows Server e Windows Server System são marcas registradas ou comerciais da Microsoft Corporation nos Estados Unidos e/ou em outros países. Os nomes de empresas e produtos reais aqui mencionados podem ser marcas comerciais de seus respectivos proprietários. CONTEÚDO Introdução .................................................................................................................... 1 Visão geral do Live Communications Server 2005 Enterprise Edition ..................... 2 Requisitos de infra-estrutura ...................................................................................... 3 Visão geral do processo de implantação.................................................................... 4 Configurações com suporte .................................................................................. 5 Comunicação com suporte ................................................................................... 5 Implantando um pool Live Communications Server Enterprise ................................ 6 Visão geral dos procedimentos de implantação ................................................. 7 Pré-requisitos ......................................................................................................... 8 Criando o pool Enterprise .................................................................................. 10 Instalando os arquivos do Enterprise Edition ................................................... 15 Ativando o Live Communications Server 2005 Enterprise Edition .................. 18 Instalando o serviço de arquivamento .............................................................. 22 Implantando o balanceador de carga, VLAN e VIP ........................................... 23 Configurando Enterprise Edition Servers ................................................................ 23 Configurando com o uso do snap-in administrativo ......................................... 24 Exportando configurações de pool e de servidor usando a ferramenta de linha de comando .......................................................................................... 26 Definindo configurações com interfaces WMI .................................................. 27 Solicitando e configurando certificados e TLS ........................................................ 27 Configurando certificados nos Enterprise Edition Servers............................... 28 Configurando conexões Mutual TLS .................................................................. 32 Configurando certificados para roteamento automático entre pools e Standard Edition Servers ................................................................................ 34 Configurando o protocolo de autenticação preferido ...................................... 35 Definindo configurações de DNS, acesso de cliente e usuário ............................. 35 Instalando e configurando o cliente .................................................................. 36 Confirmando se os clientes podem se conectar ao Live Communications Server ........................................................................ 36 Criando e configurando usuários no Active Directory ...................................... 42 Configurando os clientes para reconhecimento de certificados ..................... 43 Definir domínios SIP URI e outras configurações globais ...................................... 44 Agrupando o back-end do Live Communications Server 2005 ............................. 45 Operações adicionais ............................................................................................... 46 Alterando o banco de dados usado por um pool .............................................. 46 Operações de backup e restauração para o Live Communications Server 2005 Enterprise Edition ......................................................................... 51 Removendo o Live Communications Server 2005 Enterprise Edition ............ 53 Apêndice A Requisitos e pré-requisitos do balanceador de carga......................... 57 Requisitos do balanceador de carga ................................................................. 57 Pré-requisitos para conexão de um balanceador de carga com um pool ....... 58 Apêndice B Permitindo a ativação sem usar credenciais de administradores de domínio................................................................................................................. 61 Etapa 1 Adicionar a conta do usuário aos grupos RTCDomainServerAdmins .................................................................................. 61 Etapa 2 Conceder ao usuário permissões para editar uma conta de serviço ......................................................................................... 62 Etapa 3 Conceder direitos no objeto Computador ........................................... 63 Etapa 4 Conceder ao usuário direitos para modificar a associação no grupo RTCHSDomainsServices ..................................................................... 64 Apêndice C Recursos adicionais .............................................................................. 65 Introdução Este documento o orientará na implantação de um pool Microsoft® Office Live Communications Server 2005 Enterprise na sua organização, para um único domínio e uma única topologia de floresta. Ele contém as seguintes seções: Visão geral do Live Communications Server Enterprise Edition, que explica a diferença entre o Enterprise Edition e o Standard Edition e explica os dois componentes básicos de um pool Enterprise: Banco de Dados Back-end do Live Communications Server 2005 e, no mínimo, um servidor Live Communications Server 2005 Enterprise Edition. Requisitos de infra-estrutura explica os pré-requisitos necessários para instalar o Live Communications Server. Por exemplo, o serviço de diretório do Active Directory® deve estar instalado, o DNS (sistema de nome de domínio) deve estar configurado e a PKI (infra estrutura de chave pública) deve estar disponível. Visão geral do processo de implantação o orienta nas etapas de implantação de alto nível. Implantando o seu primeiro pool Enterprise o orienta no processo de implantação de um pool Enterprise criando o pool, instalando os arquivos em cada Enterprise Edition Server do pool, e ativando o Enterprise Edition Server. Configurando Enterprise Edition Servers explica como configurar os Enterprise Edition Servers usando as interfaces do snap-in administrativo do Live Communications Server 2005, da ferramenta de linha de comando, LcsCmd.exe, e da WMI (instrumentação de gerenciamento do Windows). Solicitando e configurando certificados em TLS explica como configurar certificados na CA (autoridade de certificação) do Microsoft Windows Server™ 2003 Enterprise e habilitar o protocolo TLS nos servidores. Definindo configurações de DNS, acesso de cliente e usuário explica como configurar o DNS, os usuários e os clientes para acesso ao Live Communications Server. Definindo domínios SIP URI e outras configurações globais explica como configurar domínios SIP URI (Uniform Resource Identifier do protocolo SIP) e definir outras configurações globais para o pool Enterprise. Agrupando o Banco de Dados Back-end do Live Communications Server 2005 explica as etapas básicas necessárias para agrupar o banco de dados back-end para expandir a implantação ou aumentar a disponibilidade. Operações adicionais inclui procedimentos que podem ser necessários após a implantação, como backup dos dados, instruções para restauração dos dados do Live Communications Server em caso de perda de dados, alteração do banco de dados usado pelo Live Communications Server e remoção do Live Communications Server. Apêndice A Requisitos e pré-requisitos do balanceador de carga resume os requisitos do Live Communications Server 2005 para um balanceador de carga e as tarefas que devem ser concluídas antes da implantação de um balanceador de carga. 2 Guia de Implantação do Live Communications Server 2005 Enterprise Edition Apêndice B Permitindo a ativação sem usar credenciais de administradores do domínio explica como conceder a um usuário que não tenha credenciais de Administradores do Domínio as permissões para ativar um servidor. Apêndice C Recursos adicionais contém links para documentação e recursos adicionais que o ajudarão a aumentar o seu conhecimento do Live Communications Server e das tecnologias relacionadas. Visão geral do Live Communications Server 2005 Enterprise Edition O Live Communications Server 2005 oferece duas versões: Standard Edition e Enterprise Edition. O Live Communications Server 2005 Standard Edition destina-se ao uso em organizações de pequeno ou médio porte, para oferecer suporte a no máximo 20.000 usuários distribuídos entre vários Standard Edition Servers. Um único Standard Edition Server pode oferecer suporte a até 15.000 usuários no hardware e software high-end recomendados. Esse servidor é autônomo e tem um banco de dados MSDE (Microsoft Desktop Engine) que armazena dados do usuário. O Live Communications Server 2005 Enterprise Edition foi desenvolvido para uso em organizações de maior porte. Ele se destina a implantações em grande escala, para oferecer suporte a até 125.000 usuários. Em uma implantação do Enterprise, um ou mais Live Communications Servers, implantados atrás de um balanceador de carga, formam o chamado pool Enterprise e compartilham um banco de dados SQL central que armazena dados de usuários. O pool Enterprise consiste em dois componentes básicos: Banco de Dados Back-end do Live Communications Server 2005, que fornece armazenamento compartilhado para todos os servidores Enterprise Edition do pool. Esse banco de dados é executado no Microsoft® SQL Server™ 2005 Service Pack 1 (32 bits ou 64 bits) ou posterior, ou no SQL 2000 SP3a ou posterior, e pode ser agrupado em uma configuração ativo-passivo para maior disponibilidade. Esse banco de dados back-end deve ser configurado em um computador separado e dedicado. Não há suporte para a instalação de um Live Communications Server 2005 Enterprise Edition Server no mesmo computador do banco de dados back-end. Vários Live Communications Server 2005 Enterprise Edition Servers podem ser conectados a um único servidor de banco de dados back-end. As solicitações do cliente são distribuídas entre esses vários Live Communications Servers 2005 Enterprise Edition Servers atrás de um balanceador de carga para fornecer escalabilidade e failover. Os Enterprise Edition Servers de um pool são conectados a um balanceador de carga que distribui as solicitações de entrada dos clientes entre esses servidores. O balanceador de carga é sempre necessário quando um pool é implantado. Para implantações de até 20.000 usuários, é recomendável usar um Stardard Edition Server. O Live Communications Server 2005, o Proxy de Acesso, o Diretor e os servidores Proxy requerem somente uma licença e uma chave do produto (Product Key) do Standard Edition, mesmo que estejam incluídos no Standard Edition e no Enterprise Edition. Configurações com suporte 3 Requisitos de infra-estrutura Antes de instalar um pool Live Communications Server 2005 Enterprise, verifique se o ambiente atende a estes pré-requisitos: O Active Directory está implantado. Os controladores de domínio estão executando o Microsoft Windows® 2000 SP4, ou o Windows Server 2003 R2, ou o Windows Server 2003 R2 ou posterior, ou o Windows Server 2003 ou posterior. Os servidores de catálogo global estão executando o Windows 2000 SP4, ou o Windows Server 2003 R2, ou o Windows Server 2003 ou posterior, e existe pelo menos um servidor de catálogo global na raiz da floresta. A preparação do Active Directory do Live Communications Server 2005 foi concluída. Você pode criar um pool após a execução de Prep Schema e Prep Forest, mas é recomendável concluir todas as etapas de preparações do Active Directory. A PKI está implantada e configurada, seja com o uso da PKI da Microsoft ou de uma infra-estrutura de autoridade de certificação de terceiros. Se você planeja usar TLS para conectividade de cliente, considere o uso de uma autoridade de certificação existente. O DNS está implantado e configurado corretamente. Os servidores que estão executando o Live Communications Server 2005 Enterprise Edition requerem um dos seguintes sistemas operacionais: Windows Server 2003 R2, Standard Edition ou posterior Windows Server 2003 R2, Enterprise Edition ou posterior Windows Server 2003 R2, Datacenter Edition ou posterior Windows Server 2003, Standard Edition ou posterior Windows Server 2003, Enterprise Edition ou posterior Windows Server 2003, Datacenter Edition ou posterior Uma instância do SQL Server 2005 SP1 ou posterior (32 bits ou 64 bits) ou do SQL Server 2000 SP3a ou posterior está instalada em um servidor dedicado que hospedará o Banco de Dados Back-end do Live Communications Server 2005 para o pool. O serviço SQL deve ser executado como uma conta de usuário de domínio com permissões de administrador local no servidor com o uso de Autenticação Modo Misto ou do Windows. É recomendável usar a Autenticação do Windows. Há suporte para uma instância padrão ou uma instância nomeada. Importante: você deve instalar o banco de dados back-end SQL em um computador separado e dedicado. Não é possível instalar um Enterprise Edition Server e o banco de dados back-end em um único computador. Não há suporte para essa configuração. 4 Guia de Implantação do Live Communications Server 2005 Enterprise Edition Importante Se estiver executando o SQL Server 2003 SP3a, baixe e instale a correção de segurança MS03-031. Para obter mais informações sobre essa correção, leia o boletim de segurança no seguinte site da Microsoft: http://www.microsoft.com/technet/security/bulletin/MS03-031.mspx. É necessário um balanceador de carga com suporte para um pool. Para obter mais informações sobre as topologias com suporte e as configurações de balanceador de carga, consulte o Microsoft Office Live Communications Server 2005 Planning Guide em http://office.microsoft.com/en-us/FX011450741033.aspx Visão geral do processo de implantação O fluxograma a seguir ilustra o processo de implantação de um pool Enterprise e de configuração dos usuários para o Live Communications Server 2005. Após a implantação do pool Enterprise, execute estas três etapas em qualquer ordem: Configurar os certificados Configurar um balanceador de carga Configurar o DNS Para simplificar, essas etapas são apresentadas de forma linear. Figura 1 Fluxograma de implantação do Live Communications Server Configurações com suporte 5 Configurações com suporte O pool Live Communications Server 2005 Enterprise oferece suporte para as seguintes configurações: Um ou mais Enterprise Edition Servers usando um Banco de Dados Back-end do Live Communications Server. Os Enterprise Edition Servers são conectados a um balanceador de carga e as solicitações do cliente são distribuídas entre esses servidores. Importante Não é possível instalar um Live Communications Server 2005 Enterprise Edition Server no mesmo computador do Banco de Dados Back-end. Não há suporte para essa configuração. Um pool Enterprise configurado como um Diretor, que é um pool sem usuários, usado como proxy de solicitações de entrada. O Diretor direciona e distribui as solicitações de entrada entre os outros Live Communications Servers internos. Um Diretor também pode ser usado para ajudar a aplicar segurança adicional durante a habilitação da federação ou do acesso remoto na implantação do Live Communications. O servidor do Diretor é colocado dentro da rede interna, entre o Proxy de Acesso e um servidor Live Communications Server 2005 Standard Edition ou um pool Live Communications Server 2005 Enterprise. O acesso e a federação do usuário remoto têm suporte em um pool Enterprise. No entanto, é necessário um Proxy de Acesso, e um Diretor é altamente recomendável. Para obter mais informações sobre como implantar um Diretor, Proxy de Acesso ou Proxy, consulte o Microsoft Office Live Communications Server 2005 Planning Guide e a Deployment Series. Para obter mais informações sobre como configurar o acesso e a federação do usuário remoto, consulte Live Communications Server 2005 Deploying Access Proxy and Director. Todos estão disponíveis em http://office.microsoft.com/en-us/FX011450741033.aspx. Comunicação com suporte O Live Communications Server 2005 oferece suporte para três tipos de comunicação: Servidor Cliente-Servidor Cliente-Cliente Comunicação de servidor Toda a comunicação de servidor para servidor, seja ela feita dentro dos limites da rede interna, fora desses limites ou através desses limites, requer MTLS. Sem MTLS, os usuários poderão fazer logon no Live Communications Server e ver a presença de outros usuários, porém a comunicação de mensagens instantâneas não funcionará. 6 Guia de Implantação do Live Communications Server 2005 Enterprise Edition Comunicação cliente-servidor A comunicação de cliente para servidor e de servidor para cliente pode ser TCP ou TLS, dentro, fora ou através do perímetro da rede interna. É recomendável usar TLS na comunicação fora ou através do perímetro de rede, pois esse protocolo ajuda a fornecer maiores níveis de segurança. O TLS requer PKI e certificados, enquanto o TCP não requer. Comunicação cliente-cliente Toda a comunicação de cliente passa por pelo menos um servidor do Live Communications Server 2005. A comunicação de cliente para cliente nunca ignora um servidor. Implantando um pool Live Communications Server Enterprise A implantação de pool Live Communications Server 2005 Enterprise compreende três fases: Criação de um pool Enterprise. Instalação dos arquivos do Live Communications Server 2005 Enterprise Edition. Ativação do Live Communications Server 2005 Enterprise Edition. A conclusão dessas três fases define as configurações iniciais do pool Enterprise no Active Directory e no computador local. Isso permite o início do serviço. Entre as tarefas concluídas nessas três fases estão: Criação ou preparação de uma conta de serviço. Atribuição de permissões e associações à conta. Adição de grupos globais de domínio nos grupos locais do Enterprise Edition Server. Criação ou modificação de objetos do Active Directory usados pelo Live Communications Server 2005. Registro do SPN (nome da entidade de segurança), o que é necessário para fornecer autenticação cliente-servidor e também para iniciar o serviço. Dependendo da implantação, podem ser necessárias tarefas adicionais abrangendo: Configuração de certificado Configuração de cliente Implantação do Diretor Implantação do Proxy de Acesso Implantação de proxy Configuração de acesso ou federação de usuário remoto Importante Antes de implantar um pool Enterprise, verifique se nenhum aplicativo está usando as portas 5060 e 5061. Elas são usadas para enviar comunicações SIP. Visão geral dos procedimentos de implantação 7 Visão geral dos procedimentos de implantação Esta seção fornece instruções passo a passo para implantação de um pool Enterprise usando o Setup.exe, uma ferramenta de implantação de GUI que orienta você nos procedimentos de implantação necessários para diferentes funções de Servidor do Live Communications Server 2005. Para facilitar o processo, o Setup.exe explica as tarefas, fornece dicas sobre permissões e pré-requisitos, contém avisos e usa assistentes de tarefas para guiá-lo nas etapas. Observação Também é possível usar o utilitário de linha de comando, LcsCmd.exe, para implantar o Live Communications Server 2005. Para obter mais informações sobre como implantar por meio de uma linha de comando, consulte Live Communications Server 2005 Command-Line Reference (em inglês) em http://office.microsoft.com/en-us/FX011450741033.aspx. A Tabela 1 lista os procedimentos da implantação inicial do primeiro pool Live Communications Server 2005 Enterprise. Tabela 1 Visão geral das tarefas de implantação do Live Communications Server 2005 Procedimento Credenciais ou funções administrativas requeridas Criar o pool Enterprise. RTCDomainServerAdmins e administrador local no servidor back-end. No domínio raiz da floresta, Administradores Corporativos ou Administradores de Domínio pode ser usada em vez de RTCDomainServerAdmins. Instalar arquivos para cada servidor. Administrador local Ativar cada servidor. Credenciais Administrador de Domínio e RTCDomainServerAdmins em um domínio filho. 8 Guia de Implantação do Live Communications Server 2005 Enterprise Edition Importante Por motivo de segurança, não é recomendável instalar um Enterprise Edition Server ou um Banco de Dados Back-end em um controlador de domínio. A instalação do Live Communications Server 2005 adiciona o grupo de administradores de domínio (RTCDomainServerAdmins) do Live Communications Server 2005 ao grupo de administradores locais do computador, para permitir que determinadas permissões requeridas gerenciem a infra-estrutura do Live Communications Server. Em um controlador de domínio, o grupo de administradores local na realidade é o grupo administrativo do domínio, o que confere ao grupo RTCDomainServerAdmins uma escala de privilégios. Além disso, todos os grupos locais (Grupo local de servidores RTC) do Live Communications Server são promovidos para grupos locais de domínio, o que pode causar problemas, principalmente se forem implantados mais de um Live Communications Server em controladores de domínio (inclusive um servidor primário do Live Communications Server 2003). Por exemplo, a desinstalação de um desses Live Communications Servers interromperá os outros Live Communications Servers nos controladores de domínio, porque, ao ser desinstalado, ele remove a instância única dos grupos locais de domínio da qual todos esses servidores dependem para obter as permissões necessárias. Pré-requisitos Antes de criar o pool Enterprise, verifique se estes pré-requisitos são atendidos: O SQL Server 2005 SP1 ou posterior, ou o SQL Server 2000 SP3a ou posterior está instalado no servidor em que você deseja instalar o Banco de Dados Back-end do Live Communications Server 2005 e todos os patches de segurança para SQL estão instalados. O Windows Script Hosting, 5.6 está instalado no servidor em que você deseja instalar o Banco de Dados Back-end. Você pode baixar essa versão no site da Microsoft http://r.office.microsoft.com/r/rlidLCS?clid=1033&p1=2&p2=library&p3=updatewsh. Por padrão, o Windows Script Host 5.1 está instalado em Windows 2000 Servers. Se você planeja instalar o Banco de Dados Back-end em um Windows 2000 Server, atualize essa versão antes de criar o pool. O FQDN de cada servidor está correto. Não há suporte para a alteração do FQDN de um Live Communications Server após a implantação. Todas as etapas de preparação do Active Directory foram concluídas. Observação O comando Criar Pool Enterprise pode ser executado após a conclusão de Prep Schema e Prep Forest. No entanto, se você estiver implantando em um domínio diferente do domínio raiz da floresta, é recomendável concluir todas as etapas de preparação do Active Directory antes de criar um pool Enterprise. Antes de instalar e ativar o Live Communications Server 2005 Enterprise Edition, verifique se nenhum aplicativo está usando as portas 5060 e 5061. Elas são usadas para enviar comunicações SIP por meio do Live Communications Server 2005. Pré-requisitos 9 Para implantações dentro de um domínio que esteja fora da raiz da floresta, adicione o usuário ou o grupo de usuários de implantação ao grupo de segurança RTCDomainServerAdmins. Você deve ser membro do grupo de segurança RTCDomainServerAdmins para ativar um servidor em um domínio que esteja fora da raiz da floresta. Determine se a pasta de variável de ambiente TEMP está criptografada. Se estiver, altere a variável para que aponte para uma pasta que não esteja criptografada. Os próximos dois procedimentos referem-se à implementação do último dos dois pontos. Adicionando uma conta ao grupo RTCDomainServerAdmins para implantações que não sejam da raiz na floresta Se estiver implantando o pool Live Communications Server 2005 Enterprise em um domínio fora da raiz da floresta, adicione o usuário ou o grupo de usuários de implantação ao grupo de Segurança Global RTCDomainServerAdmins. Você deve ser membro do grupo de Segurança Global RTCDomainServerAdmins para ativar um servidor em um domínio que esteja fora da raiz da floresta. Para adicionar um administrador de domínio ao grupo de segurança RTCDomainServerAdmins 1. Faça logon em um computador usando as credenciais Administradores de Domínio ou Operadores de Conta do domínio em que você implantará o Live Communications Server 2005 Enterprise Edition. 2. Clique em Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e clique em Usuários e Computadores do Active Directory. 3. No nó do domínio da árvore do console, clique na pasta Usuários, clique com o botão direito do mouse em RTCDomainServerAdmins, clique em Propriedades e, em seguida, clique em Membros. 4. Clique em Adicionar e, na caixa Digite os nomes de objeto a serem selecionados, digite o nome do usuário que tem as credenciais Administradores de Domínio e que instalará o Enterprise Edition Server. 5. Clique duas vezes em OK. 6. Se o usuário que instalará o Enterprise Edition Server for o usuário conectado atualmente, faça logoff e logon novamente para atualizar o token de acesso e garantir que a conta Administradores de Domínio tenha acesso conforme o grupo de segurança RTCDomainServerAdmins. Determinando se a pasta temporária está criptografada Antes de iniciar a instalação do Enterprise Edition Server, determine se a pasta especificada pela variável de ambiente TEMP (geralmente a pasta Temp) está criptografada. Se a pasta especificada por essa variável estiver criptografada, a instalação do Live Communications Server 2005 Enterprise Edition irá falhar. Para instalar com êxito o Enterprise Edition Server, é necessário identificar a pasta Temp, determinar se ela está criptografada e, se estiver, atribuir a variável TEMP a uma pasta que não esteja criptografada. 10 Guia de Implantação do Live Communications Server 2005 Enterprise Edition Para identificar a pasta Temp Abra um prompt de comando e digite SET. A saída desse comando mostra as variáveis de ambiente e seus valores atuais. A identificação da variável de ambiente TEMP vem após a entrada TEMP= na saída do console. Para determinar se uma pasta está criptografada 1. Clique com o botão direito do mouse em Iniciar e clique em Explorar. 2. Procure e clique com o botão direito do mouse na pasta identificada no procedimento acima. 3. Clique em Propriedades. 4. Clique em Avançado. 5. Se houver uma marca na caixa de seleção Criptografar o conteúdo para proteger os dados, a pasta está criptografada. Se a caixa de seleção estiver desmarcada, a pasta não está criptografada. 6. Se a pasta não estiver criptografada, continue a instalação. Se a pasta estiver criptografada, será necessário atribuir a variável de ambiente TEMP a uma pasta que não esteja criptografada, seguindo este procedimento: a. Encontre uma pasta que não esteja criptografada e que você queira atribuir à variável de ambiente TEMP. b. Clique com o botão direito do mouse em Meu Computador. c. Clique em Propriedades. d. Clique em Avançado. e. Clique em Variáveis de Ambiente. f. Em Variáveis de Usuário para NomeDoUsuário, clique em TEMP. g. Clique em Editar. h. Digite Variable Value=<unidade>\<diretório>. i. Clique em OK três vezes para salvar o valor. Criando o pool Enterprise Quando você cria um pool Enterprise, a instalação cria objetos e configurações do Active Directory para o pool e o banco de dados SQL usados pelo pool para armazenar dados e definições de configuração do usuário. Nessas configurações do Active Directory estão o FQDN do pool, formado pelo nome do pool, e o FQDN do domínio em que o pool está implantado. Quando você configura a conectividade do cliente, esse FQDN é registrado no DNS. O FQDN do pool deve atender a estes requisitos: O FQDN de cada pool deve ser exclusivo na floresta. O FQDN do pool e todos os FQDNs do Live Communications Server não podem coincidir com nenhum outro FQDN de servidor ou de pool na floresta. Criando o pool Enterprise 11 O FQDN do pool deve ser adicionado como uma entrada do DNS (registro A) para permitir o correto funcionamento de sessões e mensagens de convite do SIP. Os clientes que estiverem tentando iniciar uma sessão SIP INVITE precisarão ter condições de ter o FQDN do Pool resolvido pelo DNS. Sem a entrada do DNS, o logon com o uso de um FQDN de servidor poderá funcionar, porém as sessões SIP INVITE (mensagens) falharão porque os clientes não poderão resolver o FQDN do pool. Para criar um pool usando a instalação 1. Faça logon no Banco de Dados Back-end do Live Communications Server 2005 com uma conta que seja membro do grupo RTCDomainServerAdmins e dos administradores locais no servidor back-end. Observações 2. Se desejar executar o comando Criar Pool Enterprise Edition em outro servidor do seu domínio, você deverá instalar os arquivos SQLDMO no servidor a partir do qual deseja executar a instalação. O SQLDMO é instalado em qualquer computador no qual o SQL Server ou as ferramentas de cliente do SQL Server estejam instaladas. Também é necessário instalar o Windows Script Host 5.6 que está disponível no site da Microsoft http://r.office.microsoft.com/r/ rlidLCS?clid=1033&p1=2&p2=library&p3=updatewsh Se desejar usar um Windows 2000 Server para o banco de dados back-end, verifique se o Windows Script Host 5.6 está instalado no servidor. Essa versão pode ser baixada no site da Microsoft http://r.office.microsoft.com/r/rlidLCS? clid=1033&p1=2&p2=library&p3=updatewsh. Por padrão, o Windows Script Host 5.1 está instalado em Windows 2000 Servers. Atualize essa versão. Na pasta de instalação ou no CD do Live Communications Server, execute Setup.exe para iniciar a Ferramenta de Implantação. 12 Guia de Implantação do Live Communications Server 2005 Enterprise Edition Figura 2 Ferramenta de implantação do Enterprise Edition 3. Na Ferramenta de Implantação, clique em Pool Enterprise. Como mostra a figura a seguir, as marcas de seleção aparecem ao lado das etapas Prep Schema, Prep Forest e Prep Domain porque essas etapas já foram concluídas. Neste exemplo, o pool está sendo criado em um ambiente de domínio único e a opção Adicionar Domínio à Raiz da Floresta não está disponível porque essa tarefa é desnecessária. Se estiver implantando em um domínio filho, verifique se essa tarefa também apresenta uma marca de seleção. Figura 3 Configuração de pool Live Communications Server 2005 Enterprise Criando o pool Enterprise 13 4. Clique em Criar Pool Enterprise Edition. Essa tarefa estará disponível mesmo após você criar o pool Após você concluir a preparação do Active Directory, essa tarefa sempre estará disponível para permitir a criação de pools adicionais. 5. Na página Bem-vindo à Criação de Pool Enterprise, clique em Avançar. 6. Na página Criar Pool Enterprise, em Digite um nome de pool, digite um nome significativo para o pool. Figura 4 Página Criar Pool Enterprise 7. Em Digite o FQDN do domínio em que o pool reside, digite o FQDN do domínio em que você está instalando o pool. Todos os servidores que você adicionar a esse pool devem estar no domínio do pool. 8. Em Digite a instância do servidor SQL do Banco de Dados Back-end do pool, digite o nome do servidor SQL que hospedará o Banco de Dados Back-end do Live Communications Server 2005 e o nome da instância do banco de dados. Se estiver usando a instância padrão, especifique o nome do servidor SQL. Caso contrário, digite o servidor SQL e a instância usando a seguinte sintaxe: <servidor>\<nome da instância>. Observação Cada pool deve usar um banco de dados back-end separado e dedicado. Dois pools não podem compartilhar o mesmo Banco de Dados Back-end do Live Communications Server 2005. Além disso, não é possível instalar um Live Communications Server 2005 Enterprise Edition Server em um computador no qual o banco de dados back-end reside. 9. Clique em Avançar. 14 Guia de Implantação do Live Communications Server 2005 Enterprise Edition 10. Na página Opção para Reutilizar o Banco de Dados Existente, clique em Substituir banco de dados existente se desejar substituir um banco de dados de usuário existente. Por padrão, a instalação tentará reutilizar os arquivos de banco de dados do local que você especificar posteriormente no assistente. Observação Se um banco de dados for substituído, todos os dados dele serão perdidos. 11. Na página Escolha o Local de Destino, selecione os locais em que o banco de dados SQL e os logs de transações serão armazenados. São os locais no servidor SQL em que você deseja gravar o banco de dados SQL e os logs de transações. Se estiver usando um back-end do SQL agrupado, verifique se os arquivos do log de transações e os arquivos de banco de dados apontam para o armazenamento compartilhado que ambos os nós do cluster podem acessar. Clique em Avançar. Dica É recomendável colocar os logs de transações e os arquivos de banco de dados em discos rígidos físicos separados. Certifique-se de que os arquivos não estão colocados em um arquivo de página ou disco do sistema. Para obter mais informações sobre como armazenar arquivos em discos rígidos separados, consulte o Microsoft Office Live Communications Server 2005 Planning Guide em http://office.microsoft.com/enus/FX011450741033.aspx Figura 5 Selecione os locais para o banco de dados e os logs de transações 12. Na página Pronto para Criar Pool Enterprise, verifique as suas seleções e clique em Avançar para iniciar. Instalando os arquivos do Enterprise Edition 15 13. Na página de conclusão do Assistente para Criação de Pool Enterprise, clique em Exibir Log. Procure Êxito em Resultado da Execução, no final de cada tarefa, para verificar se a instalação foi concluída com êxito. Feche a janela do Log ao terminar. Figura 6 Log de implantação do Live Communications Server 14. Clique em Concluir para fechar o assistente. Dica Antes de ativar o primeiro servidor do pool, aguarde até que seja concluída a replicação do Active Directory entre todos os controladores de domínio, ou force a replicação manualmente. Instalando os arquivos do Enterprise Edition Para cada servidor de um pool, é necessário instalar arquivos do Enterprise Edition. O processo de instalação executa as seguintes tarefas: Instala e registra os arquivos do servidor no pool. Cria e inicializa as configurações de WMI. Cria grupos locais e configura permissões para esse servidor. O procedimento de instalação copia os arquivos para o computador local, mas não executa a instalação e ativação reais de um Enterprise Edition Server. Concluído o processo de instalação, a ativação define configurações adicionais para permitir que o serviço seja iniciado. 16 Guia de Implantação do Live Communications Server 2005 Enterprise Edition Esse procedimento deve ser executado localmente no servidor em que os arquivos do Live Communications Server 2005 Enterprise Edition serão instalados. Importante Por motivo de segurança, não é recomendável instalar um Enterprise Edition Server ou um Banco de Dados Back-end do Pool Enterprise em um controlador de domínio. Para instalar os arquivos do Live Communications Server 2005 Enterprise Edition usando a Ferramenta de Implantação 1. Faça logon no servidor em que você deseja instalar os arquivos usando permissões de administrador local ou equivalentes. Se desejar ativar imediatamente após a instalação, também serão necessárias as credenciais de administradores de domínio e RTCDomainServer (somente as credenciais de administradores de domínio são necessárias para ativação no domínio raiz da floresta). 2. Na pasta de instalação ou no CD do Live Communications Server, execute Setup.exe para iniciar a Ferramenta de Implantação. 3. Clique em Pool Enterprise. 4. Clique em Instalar Arquivos do Enterprise Edition Server. O Assistente para Instalação do Live Communications Server 2005 é iniciado. Figura 7 Tela de instalação Instalando os arquivos do Enterprise Edition 17 5. Na página Bem-vindo ao Assistente para Instalação do Microsoft Office Live Communications Server 2005, clique em Avançar. 6. Na página Contrato de Licença, leia o contrato e, se concordar, clique em Aceito os termos do contrato de licença e clique em Avançar. 7. Na página Informações sobre o Cliente, em Nome do usuário, digite um nome de usuário; em Organização, digite o nome da sua organização e, em Chave do produto (Product Key), digite a chave do produto Live Communications Server 2005. Observação Se estiver usando um CD de licença de volume, o campo de chave do produto (Product Key) será configurado para você e não aparecerá na caixa de diálogo. Figura 8 Página Informações sobre o Cliente 8. Clique em Avançar. 9. Na página Escolha o Local de Destino, aceite a pasta de destino padrão ou especifique outro diretório onde você deseja instalar os arquivos do Live Communications Server 2005 e, em seguida, clique em Avançar. Por padrão, os arquivos são instalados no diretório <letra da unidade>:\Arquivos de Programas\Microsoft LC 2005\Server. 18 Guia de Implantação do Live Communications Server 2005 Enterprise Edition Figura 9 Página Escolha o Local de Destino 10. Na página Pronto para Instalar o Programa, confirme as configurações escolhidas e clique em Instalar. 11. Na caixa de mensagem Ativação do Servidor, clique em uma das seguintes opções: Sim para ativar agora e continuar com a próxima seção. Não se desejar ativar posteriormente. Figura 10 Caixa de diálogo Ativação do Servidor Ativando o Live Communications Server 2005 Enterprise Edition Este procedimento configura um servidor dentro de um pool no Active Directory e no próprio servidor, para permitir que cada serviço (RtcSrv) do Live Communications Server seja iniciado. A ativação executa estas tarefas: Cria ou configura uma conta de serviço. Atribui permissões e associações à conta. Adiciona grupos globais de domínio aos grupos de pools locais. Ativando o Live Communications Server 2005 Enterprise Edition 19 Cria ou modifica objetos do Active Directory usados pelo Live Communications Server 2005, inclusive os objetos Pool e Servidor. Registra o SPN, o que é necessário para que os servidores do pool forneçam autenticação de cliente e de servidor. Inicia o serviço do Live Communications Server. Para ativar um servidor, é necessário usar uma conta com credenciais de Administradores de Domínio ou equivalentes, no domínio em que o pool está sendo implantado. Em um domínio fora do domínio raiz da floresta, a conta também deve ter as credenciais RTCDomainServerAdmins. Consulte “Apêndice B Permitindo a ativação sem usar credenciais de administradores de domínio” para conceder a um usuário que não seja membro do grupo Administradores de Domínio as permissões necessárias para ativar um Live Communications Server. Para ativar o Live Communications Server Antes de ativar o primeiro servidor do pool, verifique se a replicação foi concluída após a criação do pool. 1. Faça logon no computador em que você deseja implantar o Live Communications Server usando as credenciais de Administradores de Domínio e RTCDomainServerAdmins ou equivalentes. No domínio raiz da floresta, somente as credenciais Administradores de Domínio são necessárias. 2. Na pasta de instalação ou no CD do Live Communications Server, execute Setup.exe para iniciar a Ferramenta de Implantação. 3. Clique em Pool Enterprise. 4. Clique em Ativar Enterprise Edition Server. Essa tarefa não estará disponível se você não tiver instalado os arquivos primeiro. 5. Na página Bem-vindo à Ativação do Enterprise Edition Server, clique em Avançar. 6. Na página Selecionar Pool Enterprise, selecione o pool ao qual você deseja adicionar esse servidor e clique em Avançar. 20 Guia de Implantação do Live Communications Server 2005 Enterprise Edition Figura 11 Página Selecionar Pool Enterprise 7. Na página Selecionar Conta de Serviço, digite uma conta de serviço nova ou existente a ser usada para esse servidor e digite a senha. A conta padrão é LCService. Para uma nova conta, use uma senha forte que atenda aos requisitos de senha do Active Directory da sua organização. Clique em Avançar para continuar. Figura 12 Página Selecionar Conta de Serviço Por padrão, a instalação configura a senha dessa conta para expirar em 14 dias. Quando a senha expira, o serviço para. Então é necessário alterar a senha e reiniciar o serviço. Se isso não for aceitável na sua organização, modifique a configuração da conta de serviço em Usuários e Computadores do Active Directory. Ativando o Live Communications Server 2005 Enterprise Edition 21 AVISO O Live Communications Server 2005 não oferece suporte para a opção de conta de usuário “Cartão inteligente necess. p/ logon interativo” em nenhuma conta de serviço do Live Communications Server. Se a conta de serviço do Live Communications Server estiver configurada dessa forma, o serviço do Live Communications Server não será iniciado e os clientes não poderão fazer logon em um servidor SIP. A configuração dessa opção em uma conta define automaticamente a senha como um valor aleatório e complexo, além de definir a opção de conta A Senha Nunca Expira. Se a conta de serviço do Live Communications Server tiver sido configurada para requerer um Cartão Inteligente para logon interativo, remova esse requisito da seguinte forma: 1. Abra Usuários e Computadores do Active Directory. 2. Clique com o botão direito do mouse na conta de serviço e clique em Propriedades. 3. Clique na guia Conta. 4. Em Opções de conta, desmarque a opção Cartão inteligente necess. p/ logon interativo e clique em Aplicar. 5. Redefina a senha da conta de serviço para o valor original. 6. Inicie o serviço. 8. Na página Opção para Habilitar Arquivamento de Mensagens Instantâneas, clique em Habilitar Arquivamento somente se você já tiver instalado o MSMQ no servidor e um Servidor de Arquivamento estiver configurado para esse pool. Consulte “Instalando o serviço de arquivamento” posteriormente neste documento para obter mais informações. Clique em Avançar para continuar. 9. Na página Opção de Início de Serviço, desmarque a caixa de seleção Iniciar o serviço após a ativação se você não quiser que o serviço seja iniciado após o procedimento de ativação. Desmarque essa opção para definir certas configurações no servidor antes de iniciar o serviço ou para aguardar até que as configurações do Active Directory criadas no procedimento de Ativação terminem de ser replicadas entre os controladores de domínio. Observação Se o serviço não puder iniciar porque as configurações necessárias do Active Directory não foram replicadas, a ativação será concluída, mas não iniciará o serviço. Após a replicação ter sido concluída, inicie o serviço manualmente. 22 Guia de Implantação do Live Communications Server 2005 Enterprise Edition Figure 13 Página Opção de Início de Serviço 10. Na página Pronto para Ativar o Enterprise Edition Server, verifique as suas seleções e clique em Avançar para iniciar. 11. Na página Assistente para Ativação do Enterprise Edition Concluído, clique em Exibir Log. Procure Êxito em Resultado da Execução, no final de cada tarefa, para verificar se a instalação foi concluída com êxito. Feche a janela do Log ao terminar. 12. Clique em Concluir para fechar o assistente. Instalando o serviço de arquivamento Você pode instalar o serviço de Arquivamento durante ou após a ativação do Live Communications Server 2005 Enterprise Edition. Importante Não é recomendável arquivar em um pool configurado como diretor, pois ele arquivará as mensagens de forma inconsistente. Para arquivar conversações externas, configure o arquivamento nos servidores internos para isso. Implantando o balanceador de carga, VLAN e VIP 23 Para obter mais informações sobre o serviço de Arquivamento, consulte o guia Arquivamento de Implantação do Live Communications Server 2005 em http://office.microsoft.com/enus/FX011450741033.aspx. Importante Por padrão, a Instalação configura a senha da conta de serviço para expirar em 14 dias. Quando a senha expirar, será necessário especificar a nova senha da conta de serviço do Live Communications Server e reiniciar o serviço. Se isso não for aceitável na sua organização, modifique a configuração da conta de serviço em Usuários e Computadores do Active Directory. Implantando o balanceador de carga, VLAN e VIP O balanceador de carga é necessário em um pool Live Communications Server 2005 Enterprise. Ele desempenha a função crítica de fornecimento de escalabilidade e alta disponibilidade em vários servidores conectados a um banco de dados centralizado no Banco de Dados Back-End do Live Communications Server 2005. As portas 5060 e 5061 são necessárias para comunicação SIP. Além disso, para mover com êxito os usuários de um pool, é necessário que um balanceador de carga esteja configurado para usar a porta 135, caso contrário, a operação de movimentação falhará. O Apêndice A fornece um resumo geral dos pré-requisitos e requisitos do balanceador de carga. Para obter mais informações sobre as topologias e configurações com suporte para balanceadores de carga e o Live Communications Server, consulte o Microsoft Office Live Communications Server 2005 Planning Guide em http://office.microsoft.com/en-us/FX011450741033.aspx. Durante esse processo, você precisará solicitar ao administrador de rede e DNS em questão um endereço VIP (IP virtual), bem como um endereço IP estático para cada servidor do pool que você planeja implantar. Esses endereços IP estáticos então serão atribuídos a cada servidor do pool. Configurando Enterprise Edition Servers Para pools Standard Edition Servers e Enterprise, todas as configurações no nível de pool são armazenadas no Banco de Dados de Configuração (RTCConfig) no servidor MSDE ou SQL, respectivamente. As configurações no nível de servidor são armazenadas no repositório WMI para cada servidor, e contém configurações específicas de servidor. Ambos os tipos de configurações são gerenciados pelo provedor WMI do Live Communications Server 2005 e são acessíveis por meio do snap-in administrativo do Live Communications Server 2005, da ferramenta de linha de comando, LcsCmd.exe, ou da interface WMI. 24 Guia de Implantação do Live Communications Server 2005 Enterprise Edition Após a instalação do Live Communications Server 2005 Enterprise Edition, configure os servidores usando os seguintes métodos: Usando o snap-in administrativo do Live Communications Server 2005. Você pode acessar esse snap-in em qualquer Live Communications Server em junção com um domínio do Active Directory, ou qualquer computador em junção com um domínio do Active Directory no qual as ferramentas de administração do Live Communications Server 2005 estejam instaladas. Usando a ferramenta de configuração de exportação-importação da linha de comando (LcsCmd.exe) do Live Communications Server 2005. A LcsCmd.exe oferece a exportação de definições de configuração no nível de pool e de servidor, de um servidor existente ou de uma implantação de laboratório, para garantir uma configuração consistente. A LcsCmd.exe é instalada em cada Live Communications Server e no CD. Usando a WMI para modificar configurações via programação. Todas as configurações de pool e servidor são expostas por meio das interfaces WMI. Os scripts e as ferramentas estão disponíveis no Live Communications Server 2005 Resource Kit. Configurando com o uso do snap-in administrativo Após instalar o Live Communications Server, use o snap-in administrativo do Live Communications Server para configurar o servidor. Para iniciar o snap-in administrativo Clique em Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e clique em Live Communications Server 2005. O snap-in administrativo do Live Communications Server é exibido na topologia do Live Communications Server. Figure 14 Snap-in administrativo do Live Communications Server 2005 Configurando com o uso do snap-in administrativo 25 Dois nós mostram a exibição de árvore do Standard Edition Server ou de um Enterprise Edition Server: O nó <Pool ou servidor> permite gerenciar as configurações no nível de pool que se aplicam a todos os Enterprise Edition Servers de um pool ou ao Standard Edition Server. O nó FQDN (nome de domínio totalmente qualificado) de cada servidor permite gerenciar as configurações de servidor individuais aplicadas ao próprio computador. Para acessar as configurações no nível de pool Clique com o botão direito do mouse no pool Enterprise e, em seguida, clique em Propriedades. Figura 15 Folha de propriedades do pool Para acessar as configurações no nível de servidor 1. Expanda o pool Enterprise. 2. Clique com o botão direito do mouse no FQDN do servidor que você deseja acessar e clique em Propriedades. 26 Guia de Implantação do Live Communications Server 2005 Enterprise Edition Figura 16 Folha de propriedades do servidor Exportando configurações de pool e de servidor usando a ferramenta de linha de comando A ferramenta de linha de comando LcsCmd.exe fornece uma maneira de exportar e importar todas as configurações no nível de pool e de servidor como um grupo usando os comandos ImportPoolConfig, ExportPoolConfig, ImportServerConfig e ExportServerConfig. Importar e exportar configurações garante a configuração uniforme entre os servidores ou pools do ambiente ou permite o backup de uma configuração com o objetivo de recuperação. É possível fazer backup de uma configuração existente antes de fazer alterações, para poder restaurar as configurações existentes se ocorrer um problema. Quando você importa configurações específicas de servidor, as configurações de computador que são exclusivas de um computador não são importadas. Por exemplo, na importação de configurações de um servidor para outro, o endereço IP não é substituído. Você deve definir essas configurações manualmente. Para obter mais informações sobre como implantar o Live Communications Server 2005 por meio de uma linha de comando, consulte Live Communications Server 2005 Command-Line Reference (em inglês) em http://office.microsoft.com/en-us/FX011450741033.aspx. Definindo configurações com interfaces WMI 27 Definindo configurações com interfaces WMI Todas as configurações disponíveis no snap-in administrativo do Live Communications Server 2005 e nas ferramentas LcsCmd.exe também são expostas nas interfaces WMI. Tanto o snap-in administrativo quanto as ferramentas de linha de comando usam a interface WMI para definir configurações. Os scripts e as ferramentas estão disponíveis no Live Communications Server 2005 Resource Kit. Essas interfaces são documentadas nos arquivos de documento do Live Communications Server 2005 Resource Kit. Você pode usar essas interfaces para gerenciar via programação as definições de configuração do servidor e do pool. Por exemplo, é possível criar um script ou uma ferramenta que defina as configurações necessárias para rotas estáticas, ou então arquivar e usar esse script para configurar servidores de maneira uniforme. A WMI também é usada no Live Communications Server como a interface de todos os dados armazenados para o Live Communications Server. Além das configurações no nível de servidor e de pool, você também pode gerenciar as configurações globais, as configurações SIP de usuário e os dados de usuário usando interfaces WMI. O Resource Kit fornece amostras para as seguintes tarefas: Preencher contatos para todos os usuários hospedados no Enterprise Edition Server Por exemplo, é possível adicionar todos os usuários de um departamento ou de uma empresa de menor porte à lista de contatos de todos, para que os usuários não precisem adicioná-los manualmente. Habilitar grupos de usuários para o Live Communications Server. Você pode, via programação, habilitar os usuários para SIP, hospedá-los em um servidor específico e definir as configurações necessárias. Solicitando e configurando certificados e TLS Para ajudar a aumentar a segurança, considere a configuração de TLS e de certificados nos Live Communications Servers e nos clientes. O TLS e o MTLS requerem certificados, enquanto o TCP não requer. Para implementar TLS e certificados, você deve configurar: O Live Communications Server 2005 para se comunicar com outros servidores Live Communications Server 2005 para usar MTLS. Isso é necessário para o correto funcionamento das comunicações por mensagens instantâneas entre usuários. Os clientes do Windows Messenger 5.1 dentro do perímetro da rede interna para usar TCP ou TLS para comunicação com servidores e clientes do Live Communications Server 2005. Clientes fora do perímetro da rede interna para usar TLS na comunicação com servidores e clientes do Live Communications Server dentro do perímetro da rede interna e com outros clientes remotos. 28 Guia de Implantação do Live Communications Server 2005 Enterprise Edition Esta seção aborda a configuração de servidor e considera que a sua organização já tenha um PKI e uma autoridade de certificação. Destaques desta seção: Configurando certificados em cada servidor local Configurando conexões Mutual TLS Configurando certificados usados para roteamento automático Configurando o protocolo de autenticação preferido Para obter mais informações sobre os requisitos de certificado e as topologias com suporte no Live Communications Server 2005, consulte o guia Configurando Certificados do Live Communications Server 2005 em http://office.microsoft.com/en-us/FX011450741033.aspx. Configurando certificados nos Enterprise Edition Servers O Live Communications Server 2005 oferece suporte para uma autoridade de certificação do Windows Server 2003 Enterprise executada nas seguintes edições do Windows Server 2003: Windows Server 2003 R2, Enterprise Edition ou posterior Windows Server 2003, Enterprise Edition ou posterior Windows Server 2003 R2, Datacenter Edition ou posterior Windows Server 2003, Datacenter ou posterior O Live Communications Server 2005 oferece suporte para uma autoridade de certificação autônoma do Windows Server 2003 executada nas seguintes edições do Windows Server 2003: Windows Server 2003 R2, Standard Edition ou posterior Windows Server 2003, Standard Edition ou posterior Windows Server 2003 R2, Enterprise Edition ou posterior Windows Server 2003, Enterprise Edition ou posterior Windows Server 2003 R2, Datacenter Edition ou posterior Windows Server 2003, Datacenter ou posterior O Live Communications Server 2005 oferece suporte para uma autoridade de certificação autônoma do Windows 2000 executada nas seguintes edições do Windows 2000: Windows 2000 Server Windows 2000 Advanced Server Windows 2000 Datacenter Esta seção explica como configurar certificados nos Enterprise Edition Servers usando a autoridade de certificação do Windows Server 2003 Enterprise e considera que você já tenha implantado um PKI e uma autoridade de certificação do Enterprise no Windows Server 2003. Configurando certificados nos Enterprise Edition Servers 29 Antes de instalar os certificados, consulte o documento Configurando Certificados do Live Communications Server 2005 para obter os requisitos de certificado, outras configurações, implementação de práticas recomendadas e uma explicação mais ampla sobre o funcionamento do Live Communications Server com certificados. Você pode emitir certificados para o Live Communications Server 2005 a partir de uma autoridade de certificação raiz sem usar uma autoridade de certificação subordinada. Essa topologia pode ser suficiente para uma implantação de laboratório. No entanto, não está de acordo com as seguintes práticas recomendadas de implantação: 1. Não emitir certificados para usuários ou computadores diretamente da autoridade de certificação raiz. 2. Implantar pelo menos uma hierarquia de autoridade de certificação de dois níveis, compreendendo autoridades de certificação de Emissor-Raiz para fornecer flexibilidade e isolar a autoridade de certificação raiz contra tentativas de indivíduos mal-intencionados de comprometer sua chave particular. A configuração de certificados nos servidores envolve estas etapas: 1. Baixar o caminho de certificação da autoridade de certificação 2. Instalar o caminho de certificação da autoridade de certificação 3. Solicitar o certificado 4. Instalar o certificado As instruções a seguir consideram que o computador e o usuário têm capacidade e permissão para acessar a autoridade de certificação interna usando a rede física e a inscrição em Serviços de Certificado na Web. Se você usar uma autoridade de certificação externa, obtenha as instruções com ela. Considerações sobre um ambiente de clientes mistos Se a sua organização utiliza o Windows Messenger 5.1 e o Communicator com a diretiva DisableStrictDNSNaming desabilitada, e você deseja usar o mesmo pool para servir ambos os tipos de clientes, deve ser usado um Diretor para redirecionar os clientes para o pool Enterprise. Os registros do servidor DNS devem ser publicados para o Diretor e não para o pool. O FQDN tanto do sip.domain.com quanto do sipinternal.domain.com deve apontar para um Standard Edition Server configurado como diretor que roteia as solicitações para o pool. O certificado de servidor no Diretor deve usar o FQDN da máquina local no SN (nome da entidade) e usar o FQDN da máquina local, sip.domínio.com e sipinternal.domínio.com no SAN (nome alternativo de entidade), onde domínio é o domínio SIP usado pela sua organização. 30 Guia de Implantação do Live Communications Server 2005 Enterprise Edition Etapa 1 Baixar o caminho de certificação da autoridade de certificação Use as etapas a seguir para baixar o caminho do certificado da autoridade de certificação. Para baixar o caminho de certificação da autoridade de certificação 1. Com a Autoridade de certificação raiz corporativa offline e o Servidor da autoridade de certificação subordinada (emissão) corporativa online, faça logon no Live Communications Server. Clique em Iniciar, clique em Executar, digite http://<nome do Servidor da Autoridade de Certificação Emitente>/certsrv e clique em OK. 2. Em Selecionar uma tarefa, clique em Download de um certificado de autoridade de certificação, cadeia de certificados ou lista de certificados revogados. 3. Em Download de um certificado de autoridade de certificação, cadeia de certificados ou lista de certificados revogados, clique em Fazer download de cadeia de certificados de autoridade de certificação. 4. Na caixa de diálogo Download de Arquivo, clique em Salvar. 5. Salve o arquivo .p7b em uma unidade ou no servidor. Se você abrir esse arquivo .p7b, a cadeia terá estes dois certificados: <nome da Entidade de certificação raiz corporativa> certificado <nome da Entidade de certificação subordinada corporativa> certificado Etapa 2 Instalar o caminho de certificação da autoridade de certificação Siga estas etapas para instalar o caminho do certificado da autoridade de certificação nas autoridades de certificação raiz confiáveis em cada Enterprise Edition Server. Para instalar o caminho de certificação da autoridade de certificação 1. Clique em Iniciar, clique em Executar, digite mmc e clique em OK 2. No menu Arquivo, clique em Adicionar/Remover Snap-in. 3. Na caixa de diálogo Adicionar/Remover Snap-in, clique em Adicionar. 4. Na lista Snap-ins Autônomos Disponíveis, clique em Certificados e clique em Adicionar. 5. Clique em Conta de computador e clique em Avançar. 6. Na caixa de diálogo Selecionar Computador, verifique se a opção Computador local: (o computador onde este console está sendo executado) está selecionada e clique em Concluir. 7. Clique em Fechar e em OK. 8. No painel de navegação do console de Certificados, expanda Certificados (Computador Local). 9. Expanda Autoridades de Certificação Raiz Confiáveis. 10. Clique com o botão direito do mouse em Certificados, aponte para Todas as Tarefas e clique em Importar. 11. No Assistente para Importação, clique em Avançar. Configurando certificados nos Enterprise Edition Servers 31 12. Clique em Procurar e vá para o local em que você salvou a cadeia de certificados, selecione o arquivo p7b e clique em Abrir. 13. Clique em Avançar. 14. Aceite o valor padrão Colocar todos os certificados no armazenamento a seguir e verifique se Autoridades de Certificação Raiz Confiáveis aparece no Armazenamento de Certificados. 15. Clique em Avançar. 16. Clique em Concluir. Etapa 3 Solicitar o certificado Siga estas etapas para solicitar um certificado usado para autenticação em cada servidor. Para solicitar o certificado 1. Abra um navegador da Web e digite http://<nome do servidor da autoridade de certificação emitente>/certsrv e pressione ENTER. 2. Clique em Solicitar um Certificado. 3. Clique em Solicitação avançada de certificado. 4. Clique em Criar e enviar uma solicitação para a autoridade de certificação. 5. Em Modelo de Certificado, selecione o modelo Servidor Web. 6. Em Informações de Identificação para Modelo Offline, em Nome, digite o FQDN do pool. 7. Em Opções de Chaves, em CSP, verifique se o valor padrão, Microsoft RSA SChannel Cryptographic Provider está selecionada. Se não estiver, selecione-a agora. 8. Marque a caixa de seleção Armazenar certificado no armazenamento de certificados do computador local. 9. Clique em Enviar. 10. Clique em Sim na caixa de diálogo Possível Violação de Script. Etapa 4 Instalar o certificado Siga este procedimento para instalar o certificado. Para instalar o certificado no computador Se a autoridade de certificação requerer a aprovação do administrador da autoridade de certificação para emitir um certificado, o administrador deverá aprovar ou negar manualmente a solicitação de emissão de certificado na autoridade de certificação emitente. Caso contrário, clique em Instalar este certificado e, na caixa de diálogo Possível Violação de Script, clique em Sim. 32 Guia de Implantação do Live Communications Server 2005 Enterprise Edition Para aprovar manualmente uma solicitação de emissão de certificado após a solicitação ser feita 1. Faça logon como membro do grupo Administradores do Domínio no servidor da autoridade de certificação subordinada corporativa. 2. Clique em Iniciar, clique em Executar, digite mmc e pressione ENTER. 3. No menu Arquivo, clique em Adicionar/Remover Snap-in. 4. Clique em Adicionar. 5. Em Adicionar Snap-in Autônomo, clique em Autoridade de Certificação e clique em Adicionar. 6. Em Autoridade de Certificação, deixe a opção padrão Computador local (o computador onde este console está sendo executado). 7. Clique em Concluir. 8. Clique em Fechar e em OK. 9. No MMC, expanda Autoridade de Certificação, expanda o servidor de certificado Emitente. 10. Clique em Solicitação pendente. 11. No painel de detalhes, clique com o botão direito do mouse na solicitação identificada por sua ID, aponte para Todas as Tarefas e clique em Emitir. 12. No servidor em que você solicitou o certificado, clique em Iniciar e clique em Executar. 13. Digite http://<nome do Servidor da Autoridade de Certificação Emitente>/certsrv e clique em OK. 14. Em Selecionar uma tarefa, clique em Exibir o status de uma solicitação de certificado pendente. 15. Em Exibir o Status de uma Solicitação de Certificado Pendente, clique na sua solicitação. 16. Clique em Instalar este certificado. Configurando conexões Mutual TLS A configuração de MTLS é necessária para que os servidores do pool roteiem para outros servidores desse pool. Além disso, se houver vários servidores em um pool Enterprise ou em vários pools na implantação do Live Communications Server 2005, pode ser necessário configurar a MTLS porque os servidores e os pools usam MTLS (Mutual TLS) para se conectarem uns aos outros. Um procedimento semelhante é necessário para configurar a TLS para conexões de cliente com o pool. Para conexões de cliente, a TLS é recomendável para ajudar a aumentar a segurança. Configurando conexões Mutual TLS 33 Para configurar uma conexão MTLS 1. Clique em Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e clique em Live Communications Server 2005. 2. Na árvore do console, clique no nó Floresta. 3. Expanda os nós subseqüentes sob o nó Domínios até atingir o domínio em que o pool reside. 4. Expanda os Servidores e Pools do Live Communications que você deseja configurar. 5. Expanda o pool. 6. Clique com o botão direito do mouse no FQDN do servidor no pool e clique em Propriedades. 7. Na guia Geral, clique em Adicionar. Figura 17 Autenticando um servidor remoto usando MTLS 8. Na página Adicionar Conexão, siga este procedimento: a. Selecione se você deseja que essa conexão escute em todos os endereços IP disponíveis (padrão) ou digite um endereço IP específico. b. Clique em TLS como o Tipo de transporte. Isso ativa automaticamente a caixa de seleção Autenticar servidor remoto (Mutual TLS) e usa como valor padrão de Escutar nesta porta a porta 5061. 34 Guia de Implantação do Live Communications Server 2005 Enterprise Edition Cuidado O número de porta padrão, 5061, para Autenticar servidor remoto (Mutual TLS) não deve ser alterado, pois os servidores esperam se comunicar com outros servidores por essa porta. A caixa de seleção Mutual TLS deve ser marcada para permitir a comunicação entre os servidores que estão executando o Live Communications Server 2005. c. Clique em Selecionar Certificado, realce o certificado de computador emitido e clique em OK três vezes. Configurando certificados para roteamento automático entre pools e Standard Edition Servers Configure um certificado de servidor padrão porque os Live Communications Servers usam Mutual TLS para se conectar uns aos outros para roteamento automático do tráfego do usuário (que é sempre roteado primeiro para o pool ou servidor do remetente e, em seguida, para o pool ou servidor do destinatário). O mesmo certificado que está configurado para permitir MTLS para roteamento automático entre pools e servidores também pode ser usado para rotas estáticas que você possa criar. Para configurar o certificado padrão usado para roteamento automático entre pools e servidores 1. Clique em Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e clique em Live Communications Server. 2. Na árvore do console, expanda o nó Floresta. 3. Expanda Domínios. 4. Expanda os nós subseqüentes sob o nó Domínios, expanda o domínio em que o seu servidor reside. 5. Expanda Servidores e Pools do Live Communications. 6. Expanda o pool. 7. Clique com o botão direito do mouse no FQDN do servidor e clique em Propriedades. 8. Clique na guia Segurança. 9. Clique em Selecionar Certificado. 10. Em Selecionar Certificado, selecione o seu certificado e clique duas vezes em OK. Configurando o protocolo de autenticação preferido 35 Configurando o protocolo de autenticação preferido O procedimento a seguir é necessário para configurar o protocolo de autenticação de cliente preferido se você estiver oferecendo suporte para NTLM a alguns dos usuários. Fora os usuários com suporte do Live Communications Server 2005, o Proxy de Acesso sempre irá requerer NTLM. Por padrão, essa configuração é definida como o protocolo Kerberos, de forma que o pool não oferecerá suporte para conexões de cliente, a não ser que a sua organização ofereça suporte para Kerberos. Para configurar o protocolo de autenticação preferido 1. Clique em Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e clique em Live Communications Server 2005. 2. Na árvore do console, clique no nó Floresta. 3. Expanda os nós subseqüentes sob o nó Domínios até atingir o domínio em que o pool reside. 4. Expanda Servidores e Pools do Live Communications. 5. Clique com o botão direito do mouse no pool e, em seguida, clique em Propriedades. 6. Clique na guia Autenticação. 7. Clique na lista suspensa Esquema de Autenticação e clique no esquema de autenticação que terá suporte. Você pode escolher entre Kerberos, NTLM ou NTLM e Kerberos. O valor padrão é NTLM e Kerberos. Importante Quando a opção NTLM e Kerberos é selecionada, a autenticação com Kerberos é sempre usada quando o cliente tenta ser autenticado. Se a autenticação Kerberos falhar, ela não retorna e tenta usar NTLM. Definindo configurações de DNS, acesso de cliente e usuário Antes de conectar os usuários do Live Communications Server 2005 Standard Edition, é necessário implantar o Windows Messenger em todos os computadores clientes. O Communicator 2005 executado no Windows XP SP2 é a configuração de cliente recomendada, mas o Windows Messenger 5.1 também tem suporte. Após instalar o Live Communications Server 2005 e implantar o Windows Messenger, você deve configurar o acesso de cliente. A configuração de acesso de cliente envolve estas tarefas: 1. Instalando e configurando o cliente. 2. Confirmando se os clientes podem se conectar ao Live Communications Server. 3. Criando e configurando usuários no Active Directory. 4. Configurando clientes para reconhecimento de certificados emitidos pela sua autoridade de certificação. 36 Guia de Implantação do Live Communications Server 2005 Enterprise Edition Instalando e configurando o cliente Instale e configure o Communicator 2005 ou o Windows Messenger 5.1 para testar e verificar a implementação dos servidores que estão executando o Live Communications Server. Esses clientes podem ser baixados no site da Microsoft. Confirmando se os clientes podem se conectar ao Live Communications Server Para usar o Live Communications Server 2005, os clientes devem poder resolver para o FQDN do pool Enterprise. Existem duas metodologias para provisionamento de cliente para conexão com o Live Communications Server. Configuração automática: criando um registro DNS e habilitando a configuração automática. O cliente consultará automaticamente o registro de recurso do servidor DNS e se conectará diretamente ou será redirecionado para o Live Communications Server correto. Isso requer a criação de um registro de recurso do servidor DNS para o pool Enterprise. O FQDN do pool deve poder ser resolvido pelos clientes, para permitir que as sessões e mensagens de convite do SIP funcionem corretamente. Os clientes que estiverem tentando iniciar uma sessão SIP INVITE precisarão ter condições de ter o FQDN do pool resolvido pelo DNS. Sem a entrada do DNS, o logon com o uso de um FQDN de servidor poderá funcionar, porém as sessões SIP INVITE (mensagens) falharão porque os clientes não poderão resolver o FQDN do pool. Configuração manual: modificar o arquivo ou o Registro do host e conectar manualmente. O cliente pode ser pré-configurado para se conectar ao FQDN de um servidor específico. Isso pode ser conseguido com a configuração da chave do Registro relevante, com o uso de configurações da Diretiva de Grupo. Como alternativa, isso pode ser executado com o fornecimento manual do FQDN ao pool. Configuração Automática A configuração automática dos clientes envolve duas etapas. 1. Criação de um Recurso DNS que contenha um dos seguintes: o VIP do balanceador de carga, necessário para um pool. 2. Habilitação de configuração automática de clientes. Etapa 1 Configurando o DNS A configuração do DNS envolve: Criação de um registro do servidor DNS (SRV) para o FQDN do pool Enterprise. Criação de um registro do host (A) para o registro de servidor que aponta para o VIP do balanceador de carga do pool. Confirmando se os clientes podem se conectar ao Live Communications Server 37 Criando um registro do servidor DNS Com a configuração de um registro de recurso do servidor DNS para o Live Communications Server, você pode testar o processo de inicialização do cliente em que está localizado o Live Communications Server, sem que o cliente tenha sido pré-configurado com o nome de seu servidor ou pool. Exemplo de registro de recurso do servidor DNS: _sipinternaltls._tcp.example.com, onde _sipinternaltls representa o serviço, _tcp representa o protocolo de transporte e example.com representa o namespace SIP URI do domínio de exemplo. Para executar esse procedimento, é necessário ser membro do grupo de administradores do servidor DNS. Importante O cliente usa somente o primeiro registro A, entre vários registros A, retornado como resposta à consulta DNS; se esse servidor não estiver disponível, o cliente não tentará nenhum dos outros registros, até que o resultado da consulta seja liberado do cache DNS e substituído por uma resposta DNS com uma ordem de registro diferente. Para criar um registro do servidor DNS 1. Para abrir o DNS, clique em Iniciar, clique em Painel de Controle, clique duas vezes em Ferramentas Administrativas e, em seguida, clique duas vezes em DNS. 2. Na árvore do console do domínio, expanda Zonas de Pesquisa Direta, clique com o botão direito do mouse no domínio. 3. Clique em Outros Registros Novos. 4. Em Selecionar um tipo de registro de recurso, selecione Local de serviço (SRV). 5. Clique em Criar Registro. 6. Selecione um destes procedimentos: Se a sua organização utilizar somente clientes do Communicator: o Se estiver usando TLS, digite _sipinternaltls para o Serviço, digite _tcp em Protocolo e, em seguida, digite 5061 em Número da Porta. o Se estiver usando TCS, digite _sipinternal para o Serviço digite _tcp em Protocolo e, em seguida, digite 5060 em Número da Porta. Se a sua organização utilizar clientes do Windows Messenger: o Se estiver usando TLS, digite _sip para o Serviço, digite _tls em Protocolo e, em seguida, digite 5061 em Número da Porta. o Se estiver usando TCP, digite _sip para o Serviço digite _tcp em Protocolo e, em seguida, digite 5060 em Número da Porta. Se a sua organização utiliza uma mistura de clientes, publique um de cada registro SRV e aponte esses dois registros para o FQDN interno do pool Enterprise usado pelos clientes. Adicione referência cruzada à parte de certificação. 38 Guia de Implantação do Live Communications Server 2005 Enterprise Edition 7. Em Host que oferece este serviço, digite o FQDN do pool e digite o endereço VIP atribuído ao balanceador de carga do pool. Criando um registro A do DNS para o pool Enterprise Para que os clientes se conectem ao pool Enterprise, deve existir um registro A para o pool que aponta para o VIP do balanceador de carga conectado ao pool. Quando um cliente se conecta ao Live Communications Server, o DNS retorna o primeiro registro A que ele encontra para um nome de host. Para criar o registro de recurso A (host) do Live Communications Server para o pool 1. Para abrir o DNS, clique em Iniciar, clique em Painel de Controle, clique duas vezes em Ferramentas Administrativas e, em seguida, clique duas vezes em DNS. 2. Na árvore do console do domínio, expanda Zonas de Pesquisa Direta, clique com o botão direito do mouse no domínio. 3. Clique em Novo Host (A). 4. Em Nome (usa o domínio pai se deixado em branco), digite o nome do host do servidor que está executando o Live Communications Server. 5. Em Endereço IP, digite o endereço VIP do balanceador de carga ao qual o pool está conectado. Todas as conexões de cliente são roteadas por meio desse balanceador de carga para os servidores do pool. 6. Se você tiver uma zona de pesquisa de DNS reverso, clique na caixa de seleção Criar Registro de Ponteiro Associado (PTR). Caso contrário, não marque essa caixa de seleção. 7. Clique em Adicionar Host, clique em OK e, em seguida, clique em Concluído. Para verificar a criação de um registro de recurso do servidor DNS Para verificar a existência do registro de recurso criado do servidor DNS em qualquer computador da rede, use a ferramenta de diagnóstico de rede, Nslookup.exe. Como ilustração, as etapas a seguir usam example.com como parte de domínio do namespace SIP URI. Se você implantou TLS, siga estas etapas: 1. Clique em Iniciar, clique em Executar, digite cmd e pressione ENTER. 2. Digite nslookup e pressione ENTER. 3. Digite set type=srv e pressione ENTER. 4. Selecione uma destas opções: Para implantações com clientes somente do Communicator, digite _sipinternaltls._tcp.example.com e pressione ENTER. A saída exibida para o registro de TLS é a seguinte: Server: <servidor dns>.corp.example.com Address: <endereço IP do servidor DNS> Non-authoritative answer: _sipinternaltls._tcp.example.com SRV service location: priority = 0 weight = 0 port = 5061 svr hostname = sipinternaltls.example.com Confirmando se os clientes podem se conectar ao Live Communications Server 39 sipinternaltls.example.com internet address balanceador de carga ou IP de um único Enterprise sipinternaltls.example.com internet address balanceador de carga ou o endereço IP de um único = <endereço VIP do Edition Server > = <endereço VIP do Enterprise Edition Server> Para implantações com clientes do Windows Messenger 5.1, digite _sip._tls.example.com e pressione ENTER. A saída exibida para o registro de TLS é a seguinte: _sip._tls.example.com SRV service location: priority = 0 weight = 0 port = 5061 svr hostname = sip.example.com sip.example.com internet address = <endereço VIP do balanceador de carga > sip.example.com internet address = <endereço VIP do balanceador de carga > Se você implantou TCP, siga estas etapas: 1. Clique em Iniciar, clique em Executar, digite cmd e pressione ENTER. 2. Digite nslookup e pressione ENTER. 3. Digite set type=srv e pressione ENTER. 4. Selecione um destes procedimentos: Para implantações com clientes somente do Communicator, digite _sipinternal._tcp.example.com e pressione ENTER. A saída exibida para o registro de TCS é a seguinte: Server: <servidor dns>.corp.example.com Address: <endereço IP do servidor DNS> Non-authoritative answer: _sipinternal._tcp.example.com SRV service location: priority = 0 weight = 0 port = 5060 svr hostname = sip.example.com sip.example.com internet address = <endereço IP 1 do endereço VIP do balanceador de carga> sip.example.com internet address = <endereço IP 2 do endereço VIP do balanceador de carga> Para implantações com clientes do Windows Messenger 5.1, digite _sip._tcp.example.com e pressione ENTER. A saída exibida para o registro de TCS é a seguinte: Server: <servidor dns>.corp.example.com Address: <endereço IP do servidor DNS> Non-authoritative answer: _sip._tcp.example.com SRV service location: priority = 0 weight = 0 port = 5060 40 Guia de Implantação do Live Communications Server 2005 Enterprise Edition svr hostname = sip.example.com sip.example.com internet address = <endereço IP 1 do endereço VIP do balanceador de carga> sip.example.com internet address = <endereço IP 2 do endereço VIP do balanceador de carga> Em seguida, verifique se o FQDN do pool pode ser resolvido pelo DNS quando o endereço IP retornado for o VIP do balanceador de carga. 1. Clique em Iniciar, clique em Executar, digite cmd e pressione ENTER. 2. Digite ping <FQDN do pool Enterprise> e pressione ENTER. 3. Verifique se você recebe uma resposta semelhante a esta: Reply Reply Reply Reply from from from from 172.27.176.117: 172.27.176.117: 172.27.176.117: 172.27.176.117: bytes=32 bytes=32 bytes=32 bytes=32 time<1ms time<1ms time<1ms time<1ms TTL=127 TTL=127 TTL=127 TTL=127 Etapa 2 Habilitando a configuração automática Após configurar o registro de recurso do servidor DNS, você pode optar por definir automaticamente as configurações de conexão no Communicator ou no Windows Messenger 5.1 Para habilitar a configuração automática para clientes do Communicator 1. Com o Communicator aberto, clique no menu Ações e clique em Opções. 2. Clique na guia Contas. 3. Clique em Avançado e em Configuração Automática. 4. Clique duas vezes em OK. Para habilitar a configuração automática para clientes do Windows Messenger 1. Com o Windows Messenger aberto, clique no menu Ferramentas e clique em Opções. 2. Clique na guia Contas. 3. Se necessário, clique na caixa de seleção Meus contatos incluem usuários do SIP Communications Server e digite <nomedousuário><namespace SIP>. Por exemplo, tedcontoso.com. 4. Em Conta do SIP Communications Service, clique em Avançado. 5. Na caixa de diálogo Configuração da Conexão do SIP Communication Service, clique na opção Configuração Automática. 6. Clique duas vezes em OK. Confirmando se os clientes podem se conectar ao Live Communications Server 41 Habilitando manualmente a conectividade de cliente para o Live Communications Server Para habilitar manualmente a conectividade de cliente para um pool Live Communications Server Enterprise sem usar os registros SRV, você deve configurar manualmente cada cliente para conexão com o FQDN do pool. Se você não publicar um registro A para o pool, deverá modificar o arquivo Hosts para que os clientes resolvam o FQDN do pool. Observação A modificação do arquivo de host não é um requisito do Live Communications Server e só será necessária se a sua organização não utilizar DNS. Para modificar o arquivo de host em um computador cliente 1. Faça logon no computador cliente. 2. Clique em Iniciar, clique em Executar, digite %windir%\system32\drivers\etc e pressione ENTER. 3. Abra o arquivo Hosts usando o Bloco de Notas. 4. Adicione a seguinte linha ao final do arquivo de host: <VIP_address_of_the_load balancer> <FQDN_of_the_pool> Para configurar a conectividade manualmente 1. Abra o Windows Messenger. 2. No menu Ferramentas, clique em Opções. 3. Clique na guia Contas. 4. Clique em Avançado. 5. Clique em Definir Configurações. 6. Em Nome ou endereço IP do servidor, digite o nome ou o endereço IP do servidor. 7. Clique no protocolo que você deseja usar para conectar. Para configurar a conectividade manualmente 1. Abra o Windows Messenger. 2. No menu Ferramentas, clique em Opções. 3. Clique na guia Contas. 4. Clique em Avançado. 5. Clique em Definir Configurações. 6. Em Nome ou endereço IP do servidor, digite o nome ou o endereço IP do servidor. 7. Clique no protocolo que você deseja usar para conectar. 42 Guia de Implantação do Live Communications Server 2005 Enterprise Edition Criando e configurando usuários no Active Directory Depois de implantar o pool e executar a configuração necessária, crie ou habilite as contas de usuário no Active Directory, que utilizarão os serviços do Live Communications Server. Os procedimentos a seguir são necessários para adicionar usuários aos respectivos Live Communications Servers. Os Live Communications Servers solicitam e armazenam periodicamente as informações de usuário do Active Directory. Criando contas de usuário Crie as contas de usuário no Active Directory para usar os serviços do Live Communications Server. Para criar contas de usuário 1. Abra o snap-in Usuários e Computadores do Active Directory. 2. Crie uma unidade organizacional que contenha todos os usuários que você deseja criar para os serviços do Live Communications Server, ou então, você pode criar usuários clicando com o botão direito do mouse no contêiner Usuários, clicando em Novo e em Usuário. 3. Conclua o Assistente de Novo Objeto - Usuário. Configurando contas de usuário para o Live Communications Server Você pode configurar contas de usuário para os Live Communications Servers em um destes dois ambientes: Configure contas de usuário habilitadas para email e habilitadas para caixa de correio. Configure contas de usuário não habilitadas para email nem para caixa de correio. Para configurar contas de usuário habilitadas para email ou para caixa de correio para o Live Communications Server 1. Faça logon em um Live Communications Server ou em um computador com as ferramentas de Administração do Live Communications Server instaladas e unido a um domínio do Active Directory com uma conta que tenha permissões RTCDomainUserAdmins. 2. Abra Usuários e Computadores do Active Directory. Clique em Iniciar, clique em Executar, digite dsa.msc e clique em OK 3. Clique com o botão direito do mouse em um ou mais usuários que você queira habilitar e clique em Habilitar usuários para Live Communications. 4. Na página Bem-vindo ao Assistente para Habilitação de Usuários, clique em Avançar. 5. Em Selecionar um Pool, selecione o pool que hospedará esses usuários e clique em Avançar. 6. Clique em Concluir. O SIP URI desses usuários é preenchido automaticamente com o endereço de email padrão do usuário. Configurando os clientes para reconhecimento de certificados 43 Para configurar uma conta de usuário para o Live Communications Server que não seja habilitada para email ou para caixa de correio 1. Faça logon em um Live Communications Server ou em um computador com as ferramentas de Administração do Live Communications Server instaladas e unido a um domínio do Active Directory com uma conta que tenha permissões RTCDomainUserAdmins. 2. Abra Usuários e Computadores do Active Directory. Clique em Iniciar, clique em Executar, digite dsa.msc e clique em OK 3. Clique com o botão direito do mouse na conta de usuário que você deseja habilitar para o Live Communications Server e, em seguida, clique em Propriedades. 4. Clique na guia Live Communications e clique em Habilitar Live Communications para este usuário. Dica A guia Live Communications só está disponível em um Live Communications Server ou em um servidor com as Ferramentas de Administração do Live Communications Server instaladas. 5. No campo SIP URI, digite: sip:nomedousuáriodns root domain.com. Este exemplo usa sip:usuário1woodgrovebank.com. 6. Clique na seta suspensa no campo Servidor ou pool e clique no pool ao qual você deseja atribuir essa conta de usuário, lembrando que deve ser feito um planejamento cuidadoso para determinar o número de usuários por servidor. 7. Clique em OK. Importante Verifique se a parte de domínio do SIP URI usado na etapa 4 é um domínio com suporte. Os domínios com suporte estão listados na guia Geral da página Propriedades de Configuração Global do Live Communications do nó da floresta. Configurando os clientes para reconhecimento de certificados Para usar TLS nos clientes, o computador cliente deve confiar na autoridade de certificação e na cadeia de certificados. A menos que você use uma autoridade de certificação que seja uma das autoridades padrão confiáveis em um sistema operacional Windows, você deverá configurar manualmente os clientes para reconhecimento do certificado emitido pela autoridade de certificação e usado pelo Live Communications Server. Para configurar o cliente para confiar na autoridade de certificação e na cadeia de certificados 1. Faça logon no computador cliente com direitos de administrador local. 2. Clique em Iniciar, clique em Executar, digite http://<nome da sua autoridade de certificação>/certsrv na caixa Abrir e clique em OK. 3. Clique em Download de um certificado de autoridade de certificação, cadeia de certificados ou lista de certificados revogados. 44 Guia de Implantação do Live Communications Server 2005 Enterprise Edition 4. Clique em Instalar esta cadeia da autoridade de certificação. 5. Na caixa de diálogo Possível Violação de Script, clique em Sim. 6. Após o certificado ser instalado com êxito, clique em Voltar. 7. Em Certificados de Autoridade de Certificação, selecione o certificado. 8. Clique em Baixar um certificado. 9. Clique em Salvar e salve o certificado em uma unidade local no seu computador. 10. Clique em Iniciar, clique em Executar, digite mmc e clique em OK. 11. No menu Arquivo, clique em Adicionar/Remover Snap-in. 12. Clique em Adicionar. 13. Selecione Certificados. 14. Em Snap-in de Certificados, clique em Conta de computador. 15. Clique em Avançar. 16. Em Selecionar Computador, verifique se a opção Computador local (o computador onde este console está sendo executado) está selecionada. 17. Clique em Concluir. 18. Clique em Fechar e em OK. 19. No MMC, expanda Certificados, expanda Autoridades de Certificação Raiz Confiáveis. 20. Clique com o botão direito do mouse em Certificados e em Importar. 21. No Assistente para Importação de Certificados, clique em Avançar. 22. Na página Arquivo a Ser Importado, clique em Procurar. 23. Na caixa de diálogo Abrir, clique em Arquivos do tipo e selecione Todos os Arquivos (*.*). 24. Procure o certificado e clique em Abrir. 25. Conclua o assistente com as seleções padrão. Definir domínios SIP URI e outras configurações globais O Live Communications Server 2005 armazena configurações globais no domínio raiz da floresta sob o contêiner Microsoft (CN=Contêiner Global,CN=Microsoft,CN=Serviço RTC,CN=Sistemas, DC=domínio…). Essas configurações globais são usadas pela implantação inteira do Live Communications Server na organização. Elas contêm: A lista de domínios SIP URI com suporte na organização. Configurações para registro de usuário final e pesquisa de usuário. Configurando os clientes para reconhecimento de certificados 45 Configurações globais para habilitar o usuário externo e de acesso remoto na organização. Para obter mais informações sobre como habilitar o usuário externos e de acesso remoto, consulte o guia Live Communications Server 2005 Deploying Access Proxy and Director em http://office.microsoft.com/en-us/FX011450741033.aspx. Padrões de configuração global para arquivamento do usuário. Para obter mais informações sobre configurações globais, consulte Arquivamento de Implantação do Live Communications Server 2005 em http://office.microsoft.com/en-us/FX011450741033.aspx. O procedimento a seguir é necessário para permitir que o Live Communications Server reconheça e valide o componente de domínios URI do usuário da implantação do Live Communications Server 2005. Execute este procedimento inicialmente para adicionar domínios que fazem parte do namespace SIP URI. Além disso, lembre-se de executá-lo novamente se você adicionar outros domínios SIP URI à implantação do Live Communications Server 2005 posteriormente. Por padrão, o domínio raiz da floresta será adicionado a essa lista. Se o namespace SIP URI for simples e baseado na raiz da floresta, não será necessário executar essa tarefa. Como exemplo, suponha que a sua organização use os seguintes SIP URIs <usuário>sales.contoso.com, <usuário>corp.contoso.com e <usuário>support.contoso.com. Neste exemplo, você deve adicionar corp.contoso.com, sales.contoso.com e supoort.contoso.com à lista de domínios SIP URI. No entanto, se você estiver apenas oferecendo suporte a SIP URIs de usuário do namespace contoso.com, só precisará adicionar contoso.com à lista de domínios SIP URI. Além disso, se contoso.com for o domínio raiz da floresta, ele será adicionado por padrão à lista de domínios SIP URI. Para configurar a lista de domínios SIP URI que fazem parte da implantação do Live Communications Server 2005 1. Clique em Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e clique em Live Communications Server 2005. 2. Na árvore do console, clique com o botão direito do mouse no nó Floresta. 3. Clique em Propriedades. 4. Clique na guia Geral para exibir a lista de domínios. 5. Clique em Adicionar e digite o domínio que você deseja incluir no ambiente Live Communications Server. Agrupando o back-end do Live Communications Server 2005 Para melhorar a disponibilidade, considere o agrupamento do banco de dados back-end do pool. Antes de configurar o cluster, determine o número de servidores do pool necessários no ambiente. Para obter mais informações sobre como planejar para obter alta disponibilidade, consulte o Microsoft Office Live Communications Server 2005 Planning Guide em http://office.microsoft.com/en-us/FX011450741033.aspx 46 Guia de Implantação do Live Communications Server 2005 Enterprise Edition Uma implantação de alta disponibilidade requer o seguinte: 1. Determine as necessidades de hardware e o número de servidores do pool necessários para atender à demanda dos negócios e de disponibilidade. 2. Implante cada servidor no pool com capacidade suficiente, ou seja, espaço em disco disponível e um processador de alta velocidade. 3. Agrupe o banco de dados back-end SQL para fornecer failover e eliminar um único ponto de falha do banco de dados. O Live Communications Server 2005 oferece suporte para um cluster de dois nós ativo-passivo do Windows Server 2003. 4. a. Instale o Windows Server 2003 R2, Enterprise Edition ou posterior, ou o Windows Server 2003 Enterprise Edition, em um cluster de dois nós ativo-passivo. b. Instale o SQL Server 2005 SP1 ou posterior, ou o SQL Server 2000 SP3a ou posterior, Enterprise Edition, como um servidor virtual no cluster. Ao criar um pool Enterprise, verifique se os logs de transação e os arquivos de banco de dados apontam para a unidade compartilhada. Para obter mais informações sobre clusters do Windows Server 2003, consulte a documentação do Windows Server 2003 e do SQL Server. Operações adicionais Esta seção explica algumas tarefas de manutenção geral e outros procedimentos que podem ser necessários após a implantação. Conteúdo: 1. Alterando o banco de dados usado por um pool 2. Operações de backup e restauração do Live Communications Server 3. Removendo o Live Communications Server 2005 Alterando o banco de dados usado por um pool Se necessário, você poderá alterar os bancos de dados usados por um pool. Dois bancos de dados são usados pelo Live Communications Server: O banco de dados RTC contém dados do usuário, inclusive os contatos do usuário, além de listas de permissões e de bloqueio. RTCConfig contém configurações no nível de pool, como arquivamento e federação. Ao alterar um banco de dados, você deve exportá-lo do banco de dados existente para manter essas configurações e importá-las para os novos bancos de dados. A alteração de bancos de dados usados pelo pool envolve as seguintes etapas: 1. Exportar os dados de bancos de dados existentes, RTC e RTCConfig. 2. Criar novos bancos de dados, RTC e RTCConfig. 3. Atualizar os bancos de dados no Active Directory e no WMI. Alterando o banco de dados usado por um pool 47 4. Importar os dados de configuração existentes para o banco de dados RTCConfig. 5. Reiniciar o serviço do Live Communications Server (RTCsrv) em cada Enterprise Edition Server. 6. Verificar se o Replicador de Usuário foi concluído. 7. Importe o banco de dados de usuários existente para o banco de dados RTC. Etapa 1 Exportar dados dos bancos de dados existentes, RTC ed RTCConfig Antes de alterar o banco de dados usado pelo pool, é necessário exportar os dados existentes do banco de dados de usuários e do banco de dados de configuração (RTC e RTCConfig, respectivamente). O banco de dados RTC contém as listas de contatos dos usuários e as listas de permissões e de bloqueios; e o banco de dados RTCConfig contém a configuração do pool. O Live Communications Server 2005 fornece ferramentas de linha de comando para exportar dados desses bancos de dados: Dbimpexp.exe para exportar os dados do banco de dados RTC. LcsCmd.exe para exportar dados do banco de dados RTCConfig. Para exportar dados de um banco de dados RTC existente 1. Faça logon no computador a partir do qual os dados serão exportados usando as credenciais RTCDomainUserAdmins. Você pode usar qualquer Live Communications Server do pool. 2. Pare o serviço do Live Communications Server (RtcSrv). 3. Nesse mesmo computador, vá para o diretório no qual Dbimpexp.exe está instalado. O local padrão é a pasta <letra da unidade>:\Arquivos de Programas\Microsoft LC 2005\Server\Support. A ferramenta Dbimpexp deve ser executada a partir de um diretório local. 4. Digite o seguinte: dbimpexp.exe /hrxmlfile:“<unidade>:\<nomedoarquivo.xml>” 5. Coloque o arquivo xml em um local seguro. Para exportar dados de um banco de dados RTCConfig existente 1. Faça logon no computador a partir do qual os dados serão exportados usando as credenciais RTCDomainServerAdmins. Você pode usar qualquer Live Communications Server do pool. 2. Pare o serviço do Live Communications Server (RtcSrv). 3. Para exportar os dados do banco de dados de configuração do pool, digite o seguinte comando: Lcscmd /forest[:<FQDN da floresta>] /action:ExportPoolConfig /poolname:<Nome do Pool> /poolbe:<nome do Back-end do Pool\sql nome da instância> /configFile:<nome do arquivo> 48 Guia de Implantação do Live Communications Server 2005 Enterprise Edition Etapa 2 Criar novos bancos de dados, RTC e RTCConfig No computador em que você deseja instalar o banco de dados, confirme o que segue: O computador está executando o Windows Server 2003 R2 ou o Windows Server 2003 ou o Windows 2000 Server. O SQL 2005 SP1 ou posterior, ou o SQL 2000 SP3a ou posterior está instalado. A instância padrão do SQL ou uma instância nomeada do SQL foi criada. Para configurar o novo banco de dados de usuários e de configuração 1. No novo servidor SQL que está hospedando o banco de dados, faça logon usando as credenciais RTCDomainServerAdmins. 2. Vá para um prompt de comando. 3. Para criar um novo banco de dados RTC, execute: cscript.exe dbsetup.wsf /sqlserver:nome_do_servidor\[nome da instância] /sqlfilepath:"caminho para o arquivo dbsetup.wsf" /dbpath:"a pasta de banco de dados na caixa SQL para o banco de dados do Live Communications Server" /logpath:"a pasta do log de transações do banco de dados" /serveracct:Nome do Domínio\RTCHSDomainServices /adminacct: Nome do domínio\RTCDomainServerAdmins Se desejar usar a instância padrão do SQL, você não precisará especificar um nome de instância no parâmetro /sqlserver. 4. Para criar um novo banco de dados RTCConfig, execute: cscript.exe PoolCfgDbSetup.wsf /sqlserver:nome_do_servidor\[nome da instância] /sqlfilepath:"caminho para o arquivo PoolCfgDbSetup.wsf" /dbpath:"a pasta de banco de dados na caixa SQL para o banco de dados de configuração do Live Communications Server" /logpath:"a pasta do log de transações do banco de dados" /lcsvcgroup:Nome do Domínio\RTCHSDomainServices /srvadmingrp:Nome do domínio\RTCDomainServerAdmins /usradmingrp:Nome do domínio\RTCDomainUserAdmins /serverrole:FE Se desejar usar a instância padrão do SQL, você não precisará especificar um nome de instância no parâmetro /sqlserver. Etapa 3 Atualizar os bancos de dados no Active Directory e no WMI Após você criar os novos bancos de dados SQL, atualize o Active Directory e o WMI com as novas informações de banco de dados. Para atualizar o banco de dados do pool e a sua configuração nas classes Active Directory e WMI 1. Faça logon no servidor em que você criou o banco de dados back-end usando as credenciais de administrador local e RTCDomainServerAdmins. 2. Na pasta de instalação ou no CD do Live Communications Server, execute: Alterando o banco de dados usado por um pool 49 LcsCmd.exe /forest /action:UpdatePoolBackend /poolname:”nome do pool antigo” /poolbe:”nome da nova instância do sql para o pool – máquina\nome da instância“ O valor especificado para o nome do pool em /poolname deve coincidir com o nome original do pool. Etapa 4 Importar os dados de configuração existentes para o banco de dados RTCConfig Após atualizar as configurações do Active Directory e do WMI, importe os dados do banco de dados RTCConfig antigo para o novo banco de dados RTCConfig. Se essa etapa não for executada, todas as configurações no nível de pool serão revertidas para as configurações padrão; todas as alterações de configuração que você tiver feito no nível de pool serão perdidas. Para importar dados para o banco de dados RTCConfig 1. Em um Enterprise Edition Server do pool, ou um servidor no qual as ferramentas de administração do Live Communications Server 2005 estejam instaladas, faça logon usando as credenciais RTCDomainServerAdmins. 2. Vá para o diretório <letra da unidade>:\Arquivos de Programas\Arquivos Comuns\LC 2005. 3. Abra uma janela de comando. 4. Digite o seguinte comando: Lcscmd /forest /action:ImportPoolConfig /poolname:<Nome do Pool> /configFile:<nome do arquivo> Etapa 5 Reiniciar o serviço do Live Communications Server (RTCsrv) em cada Enterprise Edition Server Após recriar os bancos de dados RTC e RTCConfig, você deve reiniciar o Live Communications Server. Reinicie o serviço do Live Communications Server (rtcsrv) em cada Enterprise Edition Server em execução seguindo um destes procedimentos: 1. Na linha de comando, digite: Net stop rtcsrv Net start rtcsrv 2. Em Serviços, clique com o botão direito do mouse em rtcsrv, clique em Parar e, em seguida, clique em Iniciar. Etapa 6 Verificar se o Replicador de Usuário foi concluído Verifique se o Replicador de Usuário foi concluído: a tarefa de replicação de usuário é atribuída a apenas um servidor do pool. Para determinar qual servidor do pool executa o replicador de usuário: 50 Guia de Implantação do Live Communications Server 2005 Enterprise Edition 1. Faça logon no Banco de Dados Back-end do Live Communications Server 2005 usando as credenciais RTCDomainUserAdmins. 2. Execute a ferramenta Dbanalyze. (Essa ferramenta está disponível no Live Communications Server 2005 Resource Kit.) Digite Dbanalyze.exe /report:diag /poolfqdn:<fqdn do pool>. O relatório mostra qual servidor do pool tem a atribuição de replicador de usuário. No exemplo a seguir, a tarefa de replicação de usuário é atribuída ao server03: Nome da Tarefa ----------------Expiração de Ponto de Extremidade Fqdn -----server01.contoso.com Expiração de Assinatura server02.contoso.com Replicação de Usuário server03.contoso.com Manutenção Noturna server04.contoso.com 3. No servidor ao qual foi atribuído o replicador de usuário, abra o recurso Visualizar Eventos. Clique em Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e clique em Visualizar Eventos. 4. Clique em Logs de Aplicativos e clique na coluna Origem para classificar por origem. 5. Procure Replicador de Usuário do Live Communications como a origem, com a identificação de evento 30024. O evento mostra o seguinte texto: O Replicador de Usuário concluiu a sincronização inicial do domínio <nome do domínio> (DN: <nome distinto>) e do banco de dados. A futura sincronização desse domínio ocorrerá à medida que forem feitas alterações no Active Directory. Verifique esse evento para todos os domínios que tenham usuários habilitados para o Live Communications Server. Etapa 7 Importar os dados de usuários existentes para o banco de dados RTC Use o procedimento a seguir para importar dados para o banco de dados RTC. Para importar os dados de usuários existentes 1. Faça logon no Live Communications Server para o qual os dados serão exportados usando as credenciais RTCDomainUserAdmins. 2. Pare o serviço do Live Communications Server. 3. Nesse mesmo computador, vá para a pasta Arquivos de Programas\Microsoft LC 2005\Server\Support. 4. Para importar os dados do banco de dados de usuários existentes, digite o seguinte: Operações de backup e restauração para o Live Communications Server 2005 Enterprise Edition 51 dbimpexp.exe /import /hrxmlfile:<caminho do arquivo XML de dados de usuários exportado anteriormente> /sqlserver:<nome do servidor back-end do pool EE\instância_do_sql> Operações de backup e restauração para o Live Communications Server 2005 Enterprise Edition Para fazer backup e restaurar Clusters SQL, o Live Communications Server 2005 oferecerá suporte para apenas um backup simples. Os contatos e as transações criados desde a última operação de backup serão perdidos e precisarão ser refeitos manualmente. Você deve fazer backups completos a cada 24 horas. Caso ocorra uma falha de disco, falha do computador ou corrupção do banco de dados, restaure o banco de dados da cópia de backup. Com o modelo de recuperação simples, o banco de dados pode ser recuperado até o ponto do último backup. No entanto, você não pode restaurar o banco de dados até o ponto da falha ou até um ponto específico no tempo. Importante Use a mesma conta de serviço para fazer backup e restaurar o banco de dados SQL. Fazendo backup de um banco de dados Use o procedimento a seguir para fazer backup de um banco de dados SQL. O Live Communications Server usa dois bancos de dados SQL: RTC e RTCConfig. Para executar um backup simples 1. Faça logon no SQL Server e abra o Enterprise Manager. 2. Expanda um grupo de servidores e, em seguida, expanda um servidor. 3. Expanda Bancos de Dados, clique com o botão direito do mouse no banco de dados, aponte para Todas as Tarefas e clique em Backup de Banco de Dados. 4. Na caixa Nome, digite o nome do conjunto de backup. Como opção, em Descrição, digite uma descrição do conjunto de backup. 5. Em Backup, clique em Banco de Dados – completo. 6. Em Destino, clique em Fita ou Disco e especifique um destino de backup. 7. Se nenhum destino de backup aparecer, clique em Adicionar para incluir um destino existente ou criar um novo. 52 Guia de Implantação do Live Communications Server 2005 Enterprise Edition 8. 9. Em Substituir, siga um destes procedimentos: a. Clique em Acrescentar à mídia para acrescentar o backup aos backups existentes no dispositivo de backup. b. Clique em Substituir mídia existente para substituir backups existentes no dispositivo de backup. Como opção, clique na caixa de seleção Agendar para agendar a operação de backup para ser executada mais tarde ou periodicamente. 10. Como opção, clique na guia Opções e siga um ou mais destes procedimentos: a. Clique na caixa de seleção Verificar backup após a conclusão para verificar o backup. b. Clique na caixa de seleção Ejetar fita após backup para ejetar a fita quando a operação de backup for concluída. Essa opção só está disponível em dispositivos de fita. c. Clique na caixa de seleção Verificar nome do conjunto de mídia e expiração do conjunto de backup para evitar substituições acidentais. Em Nome do conjunto de mídias, digite o nome da mídia a ser usada na operação de backup. Deixe em branco ao especificar somente a expiração do conjunto de backup. d. Se esta é a primeira vez que a mídia de backup é utilizada, ou se você desejar alterar o rótulo da mídia existente, em Rótulos do conjunto de mídias, clique na caixa de seleção Inicializar e rotular mídia e digite o nome do conjunto de mídias e a sua descrição. A mídia só pode ser inicializada e rotulada quando for substituída. Restaurando um banco de dados As etapas a seguir orientam você na restauração de um banco de dados. Para restaurar o banco de dados 1. Faça logon no SQL Server 2. Em Administrador do Enterprise, expanda um grupo de servidores e, em seguida, expanda um servidor. 3. Expanda Bancos de Dados, clique com o botão direito do mouse no banco de dados, aponte para Todas as Tarefas e clique em Restaurar Banco de Dados. 4. Na caixa Restaurar como banco de dados, digite ou selecione o nome do banco de dados a ser restaurado, se for diferente do padrão. Para restaurar o banco de dados com um novo nome, digite o novo nome. 5. Clique em Banco de Dados. 6. Na lista Primeiro backup a restaurar, clique no conjunto de backup a ser restaurado. 7. Na lista Restaurar, clique no backup de banco de dados a ser restaurado. Removendo o Live Communications Server 2005 Enterprise Edition 53 8. Como opção, clique na guia Opções e siga este procedimento: Em Restaurar como, digite o novo nome ou o local de cada arquivo de banco de dados que compõe o backup do banco de dados. A especificação de um novo nome para o banco de dados determina automaticamente os novos nomes dos arquivos de banco de dados restaurados a partir do backup do banco de dados. Clique em Deixar o banco de dados operacional. Nenhum log de transações adicional poderá ser restaurado se nenhum outro backup de log de transações ou de banco de dados diferencial for aplicado. Clique em Deixar o banco de dados não operacional, mas capaz de restaurar logs de transações adicionais se outro backup de log de transações ou banco de dados diferencial for aplicado. Recuperando um domínio do Active Directory O banco de dados de usuários (RTC) no Banco de Dados Back-end do Live Communications Server 2005 retém um mapeamento de GUIDs (identificadores globais exclusivos) e SIDs (identificadores de segurança) de usuário do Active Directory para o usuário e o SIP URI. Como resultado, os backups do banco de dados SQL contêm esses mapeamentos. Se o Active Directory teve um problema e não foi restaurado como parte do procedimento de recuperação de desastres, uma restauração do banco de dados RTC poderá restaurar o Live Communications Server 2005. Se você precisar restaurar o domínio do Active Directory, esses mapeamentos serão alterados e você precisará exportar dados de usuários usando o banco de dados (RTC) do Live Communications Server, reconstruir o domínio do Active Directory e importar os dados de usuários de volta para o banco de dados. Se você recriar um domínio, não poderá simplesmente restaurar o backup do banco de dados, porque ele agora contém mapeamentos obsoletos para o domínio anterior. Consulte a Etapa 2 e a Etapa 5 na seção “Alterando o banco de dados usado por um pool” anteriormente neste documento. Removendo o Live Communications Server 2005 Enterprise Edition Use o procedimento a seguir para remover um pool Live Communications Server 2005 Enterprise. Para minimizar o tempo de inatividade para manutenção, você deve primeiro remover os usuários desse servidor para outro pool antes de desativar e desinstalar o último servidor do pool. Isso envolve vários procedimentos: para cada servidor do pool, você deve desativar e, em seguida, desinstalar os arquivos. Quando todos os servidores e usuários do pool tiverem sido removidos, você poderá remover o pool do Active Directory. Importante Se você não desativar o servidor antes de desinstalar o Live Communications Server, o Active Directory não será atualizado e poderão ocorrer problemas. 54 Guia de Implantação do Live Communications Server 2005 Enterprise Edition Para desativar cada servidor do pool 1. Faça logon em um computador como usuário com as credenciais de Administradores de Domínio, no domínio em que o pool foi implantado. Se o domínio for um domínio filho, o usuário também precisará ter as credenciais RTCDomainServerAdmins. O computador pode estar em qualquer local da empresa, contanto que esteja unido a um domínio e o usuário tenha as credenciais necessárias. 2. Abra o snap-in administrativo do Live Communications Server 2005: clique em Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e clique em Live Communications Server 2005. 3. Na árvore do console, expanda Live Communications Server 2005. 4. Expanda o nó da floresta. 5. Expanda os nós subseqüentes sob o nó Domínios até atingir o domínio em que o servidor ou o pool reside. 6. Expanda o nó Servidores e pools do Live Communications. 7. Clique com o botão direito do mouse no FQDN do servidor e clique em Desativar. Para desinstalar os arquivos em todos os servidores do pool, exceto o último 1. Faça logon no Live Communications Server usando as credenciais de administrador local. 2. Clique em Iniciar, aponte para Painel de Controle e clique em Adicionar ou Remover Programas. 3. Em Adicionar ou Remover Programas, clique em Live Communications Server 2005 e clique em Alterar. 4. No Assistente para Instalação, clique em Avançar. 5. Na página Manutenção do Programa, confirme se a ação está definida como Remover e clique em Avançar. Para remover um pool Este é o último procedimento que você pode executar somente após desativar e desinstalar os arquivos de todos os servidores do pool, exceto o último. Importante Não remova um pool, a não ser que você tenha certeza de que ele não é mais usado por nenhum servidor ou usuário. Antes de remover o pool, desinstale e desative todos os servidores do pool, exceto um. Após remover esse pool, você deverá excluir a sua configuração do balanceador de carga. 1. Faça logon em um computador usando as credenciais RTCDomainServerAdmins do domínio em que o pool está implantado. O computador pode estar em qualquer local da empresa, contanto que esteja unido a um domínio e o usuário tenha as credenciais necessárias. 2. Abra o snap-in administrativo do Live Communications Server 2005: clique em Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e clique em Live Communications Server 2005. Removendo o Live Communications Server 2005 Enterprise Edition 55 3. Na árvore do console, expanda Live Communications Server 2005. 4. Expanda o nó da floresta. 5. Expanda os nós subseqüentes sob o nó Domínios até atingir o domínio em que o servidor ou o pool reside. 6. Expanda o nó Servidores e pools do Live Communications. 7. Clique com o botão direito do mouse no pool e, em seguida, clique em Remover pool. 8. Abra o arquivo de log e certifique-se de que não há usuários remanescentes atribuídos a esse pool. Clique com o botão direito do mouse no pool e, em seguida, clique em Remover pool. 9. Agora você pode continuar a desinstalação do Live Communications Server desse servidor, que é o último a ser desinstalado. Remover a conta de serviço usada pelo pool Os procedimentos acima (desativação, desinstalação e remoção do pool) não removem a conta de serviço porque esses procedimentos não podem determinar se a conta existente foi criada antes da criação do pool. Se você permitiu que a ativação criasse uma nova conta de serviço, e não planeja recriar o pool, você deve remover a conta de serviço para evitar a possibilidade de ela ser acessada por um usuário não autorizado. Se você usou uma conta existente durante a ativação, deverá decidir se essa conta de serviço deve ser retida após a remoção do pool. Em caso negativo, exclua a conta de serviço após remover o pool. Verificando usuários não atribuídos Se você forçar a remoção de um pool com usuários ainda atribuídos a ele, esses usuários ainda existirão no Active Directory como usuários habilitados para SIP. No entanto, os atributos msRTCSIP-PrimaryHomeServer que apontam para o servidor ou o pool que hospeda o usuário são limpos, portanto o usuário não é mais atribuído a um pool. Se ocorrer um erro, o usuário poderá continuar atribuído a um pool removido. Se isso acontecer, você não poderá mover esse usuário para outro pool ou servidor enquanto não limpar manualmente o atributo msRTCSIPPrimaryHomeServer que aponta para o pool removido. Após remover o pool, verifique o arquivo de log dos usuários que continuarem atribuídos ao pool removido. Limpe manualmente o atributo msRTCSIP-PrimaryHomeServer desses usuários. P Live Communications Server 2005 Resource Kit fornece uma ferramenta, Lcsclean, que você pode usar para limpar esse atributo. Apêndice A Requisitos e pré-requisitos do balanceador de carga A seção a seguir explica os requisitos e a configuração básicos de um balanceador de carga. Para obter informações sobre o balanceamento de carga e o Live Communications Server 2005, consulte o Microsoft Office Live Communications Server 2005 Planning Guide em http://office.microsoft.com/en-us/FX011450741033.aspx. Para obter as etapas detalhadas sobre configuração de um balanceador de carga específico, consulte a documentação do parceiro em http://directory.partners.extranet.microsoft.com/advsearchresults.aspx?productscsv=25. Importante Antes de configurar o balanceador de carga, para cada servidor do pool, verifique se nenhum aplicativo está usando as portas 5060 e 5061. Elas são usadas para enviar comunicações SIP. A porta 135 também deve ser configurada em balanceadores de carga para habilitar o bloqueio do servidor e permitir a funcionalidade para usuários, e mover cenários de usuários para pools por meio de DCOM; por exemplo, executando operações remotas de banco de dados baseadas em DCOM. No mínimo, configure o balanceador de carga para oferecer suporte à porta 5061 para TLS e à porta 135 para DCOM. Requisitos do balanceador de carga O balanceador de carga do pool Live Communications Server 2005 deve atender aos requisitos a seguir. Deve expor um Endereço VIP por meio do protocolo ARP. O VIP deve ter uma única entrada DNS, chamada FQDN do pool. O VIP deve ser um endereço IP estático.. Deve permitir que várias portas sejam abertas no mesmo VIP. Especificamente, deve expor as portas 5060, 5061 e 135. O balanceador de carga deve fornecer afinidade no nível de TCP. Isso significa que o balanceador de carga deve assegurar que as conexões TCP possam ser estabelecidas com um Live Communications Server no pool, e todo o tráfego dessa conexão será destinado a esse mesmo Live Communications Server. O balanceador de carga deve fornecer um intervalo de tempo limite de ociosidade do TCP com um valor máximo maior ou igual ao intervalo mínimo de REGISTER refresh / SIP Keep-Alive. 58 Guia de Implantação do Live Communications Server 2005 Enterprise Edition O balanceador de carga deve oferecer suporte a um conjunto abrangente de medições (rodízio, servidor com menos conexões, seqüencial com pesos etc.). O mecanismo de balanceamento de carga baseado em servidor com menos conexões, com pesos é recomendado para o balanceador de carga. Isso significa que o balanceador de carga classificará todos os Live Communications Servers com base no peso atribuído a eles e no número de conexões pendentes. Essa classificação será usada para escolher o Live Communications Server a ser usado para na próxima solicitação de conexão. O balanceador de carga deve ser capaz de detectar a disponibilidade do Live Communications Server estabelecendo conexões TCP com as portas 5060, 5061 ou ambas (conhecido geralmente como ‘pulsação’ ou ‘monitor’). O intervalo de pool deve ser configurável e ter um valor mínimo de, pelo menos, cinco segundos. O balanceador de carga não deve selecionar um Live Communications Server que é desligado até que uma conexão TCP bem sucedida (pulsação) possa ser estabelecida novamente. Todo Live Communications Server deve ter exatamente um adaptador de rede. Não há suporte para hospedagem múltipla de um Live Communications Server. Se um adaptador de rede 10/100 não atender às restrições de largura de banda necessárias, deve ser usado um adaptador de rede de gigabit. O adaptador de rede deve ter pelo menos um endereço IP estático. Esse endereço IP será usado para o tráfego de carga balanceada de entrada. O computador deve ter um FQDN registrado. O endereço IP registrado para esse FQDN deve ser publicamente acessível na empresa. Capacidade de menos de um gigabit para até 50.000 conexões de cliente simultâneas. É necessária capacidade de um gigabit para oferecer suporte a mais de 50.000 conexões de clientes simultâneas. O balanceador de carga deve permitir a inclusão e a remoção de servidores no pool sem ser desligado. Capacidade para NAT (conversão de endereço de rede). Suporte para encaminhamento IP. Pré-requisitos para conexão de um balanceador de carga com um pool Antes de configurar um balanceador de carga para conexão com o Live Communications Server 2005 Enterprise, é necessário configurar o seguinte: Um endereço IP estático para servidores do pool. Para cada servidor do pool, um certificado para autenticação de usuário e servidor, emitido por uma autoridade de certificação no domínio local do pool. Um endereço VIP e um registro DNS para o balanceador de carga. Testar os usuários criados e habilitados para SIP no pool. Instalar certificado raiz da autoridade de certificação no domínio (ou autoridade de certificação confiável) nos computadores clientes. Pré-requisitos para conexão de um balanceador de carga com um pool 59 Fazer logon em todos os servidores do pool usando TLS para garantir que os certificados de servidor e de cliente estejam funcionando. A porta 135 também deve ser configurada em balanceadores de carga para habilitar o bloqueio do servidor e permitir a funcionalidade para usuários, e mover cenários de usuários para pools por meio de DCOM; por exemplo, executando operações remotas de banco de dados baseadas em DCOM. É recomendável, no mínimo, configurar: Pool TLS na porta 5061 Pool DCON na porta 135 Como opção, o pool TCP na porta 5060 pode ser configurado para que os clientes se conectem ao balanceador de carga por meio de TCP. Dependendo da configuração da rede, o encaminhamento IP pode ser necessário para fornecer conectividade direta entre servidores do pool e servidores ou computadores fora do pool. Apêndice B Permitindo a ativação sem usar credenciais de administradores de domínio A ativação do Standard Edition Server ou do Enterprise Edition Server em um pool requer privilégios de Administradores de Domínio ou equivalentes. Você pode permitir que um administrador que não seja membro do grupo Administradores de Domínio ative um servidor definindo ACEs em objetos específicos antes de instalar o servidor e concedendo a essa conta de administrador os direitos para instalar o servidor. As seguintes permissões são necessárias para executar a ativação: Permissões no computador local, concedidas com credenciais de administrador local. Permissões em objetos do Active Directory do Live Communications Server. Isso requer as credenciais RTCDomainServerAdmins. Permissões na conta de serviço do domínio. Permissões no objeto Computador. Permissões para modificar a associação no grupo RTCHSDomainServices. Permissões para modificar a associação no grupo Usuários do Domínio. Para conceder essas permissões a um usuário, execute estas tarefas: 1. Adicionar a conta do usuário aos grupos RTCDomainServerAdmins. 2. Conceder à conta do usuário permissão para a conta de serviço. 3. Conceder à conta do usuário direitos sobre o objeto Computador. 4. Conceder ao usuário direitos para modificar a associação no grupo RTCHSDomainsServices. Etapa 1 Adicionar a conta do usuário aos grupos RTCDomainServerAdmins A associação ao grupo RTCDomainServerAdmins permite que um usuário crie objetos do Active Directory para o Live Communications Server no domínio atual e na raiz da floresta durante a ativação. A associação a esse grupo também concede ao usuário a permissão para executar Prep Domain e Domain Add nesse domínio. Para adicionar uma conta ao grupo de segurança RTCDomainServerAdmins 1. Faça logon em um computador usando as credenciais Administradores de Domínio ou Operadores de Conta do domínio em que você implantará o Live Communications Server 2005. 2. Abra Usuários e Computadores do Active Directory. Clique em Iniciar, clique em Programas, clique em Ferramentas Administrativas e, em seguida, clique em Usuários e Computadores do Active Directory. 62 Guia de Implantação do Live Communications Server 2005 Enterprise Edition 3. No nó do domínio da árvore do console, clique na pasta Usuários, clique com o botão direito do mouse em RTCDomainServerAdmins, clique em Propriedades e, em seguida, clique em Membros. 4. Clique em Adicionar, na caixa Digite os nomes de objeto a serem selecionados digite o nome do usuário que instalará o Live Communications Server 2005. 5. Clique duas vezes em OK. 6. Se o usuário que instalará o Live Communications Server for o usuário conectado no momento, faça logoff e faça logon novamente para atualizar o token de acesso. Etapa 2 Conceder ao usuário permissões para editar uma conta de serviço Este procedimento considera que você usará uma conta de serviço existente, em vez de criar uma nova conta durante a ativação. É necessário acesso para gravação na conta de serviço SPN validada usada pelo servidor. Durante a instalação do software em um Standard Edition Server ou Enterprise Edition Server, o servidor registra seu SPN no Active Directory. Isso é necessário para que a autenticação do protocolo Kerberos funcione. Para conceder acesso para gravação na conta de serviço SPN validada 1. No domínio raiz, abra uma janela de comando. 2. Use a ferramenta Checkspn.vbs, disponível no Live Communications Server 2005 Resource Kit, e digite: cscript checkspn.vbs /setace. Essa etapa permite que você defina o SPN usando o Console de Gerenciamento Microsoft (MMC) de segurança do Active Directory na etapa seguinte. 3. No domínio em que o Live Communications Server será instalado, abra ADSIEdit. 4. No ADSIEdit, expanda Domínio, expanda DC e expanda Usuários ou o contêiner onde se encontra a conta de serviço. 5. Clique com o botão direito do mouse na conta de serviço e clique em Propriedades. 6. Clique na guia Segurança. 7. Clique em Avançado. 8. Clique em Adicionar. 9. Digite o nome do grupo ou da conta do administrador que instalará o Live Communications Server 2005 e clique em OK. 10. Na caixa de diálogo Permissão, ao lado de Grav. Validada no Nome Princ. do Serviço, clique na caixa de seleção Permitir. Etapa 3 Conceder direitos no objeto Computador 63 11. Em Aplicar em, selecione Somente este objeto. 12. Clique na guia Propriedades. 13. Na caixa de diálogo Permissão, ao lado de Gravar servicePrincipalName, clique na caixa de seleção Permitir. 14. Em Aplicar em, selecione Somente este objeto e clique três vezes em OK. Etapa 3 Conceder direitos no objeto Computador Os direitos no objeto Computador são necessários para criar o objeto do Live Communications Server sob o objeto Computador. As permissões a seguir geralmente são necessárias. Se você tiver problemas após conceder estas permissões, uma solução é conceder controle total do objeto computador: Listar Conteúdo Ler Todas as Propriedades Gravar Todas as Propriedades Criar Todos os Objetos Filho Para conceder direitos no objeto computador 1. Em ADSIEdit, no domínio em que o Live Communications Server será instalado, expanda Domínio, expanda DC e expanda CN=Computadores. 2. Clique com o botão direito do mouse no computador de destino do Live Communications Server e clique em Propriedades. 3. Clique na guia Segurança. 4. Clique em Avançado. 5. Clique em Adicionar. 6. Digite o nome da conta ou do grupo do administrador que instalará o Live Communications Server. Clique em OK. 7. Na caixa de diálogo Entrada de Permissões, ao lado de Listar Conteúdo, Ler Todas as Propriedades, Gravar Todas as Propriedades e Criar Todos os Objetos Filho, clique na caixa de seleção Permitir. 8. Clique três vezes em OK. 64 Guia de Implantação do Live Communications Server 2005 Enterprise Edition Etapa 4 Conceder ao usuário direitos para modificar a associação no grupo RTCHSDomainsServices A capacidade de modificar a associação no grupo RTCHSDomainServices é necessária durante a ativação, para que a conta de serviço possa ser adicionada ao grupo RTCHSDomainServices. Para conceder direitos para modificar a associação no grupo RTCHSDomainServices 1. No ADSIEdit, expanda Domínio, expanda DC e expanda CN=Usuários ou o contêiner onde se encontra o grupo RTCHSDomainServices. 2. Clique com o botão direito do mouse em RTCHSDomainServices e clique em Propriedades. 3. Clique na guia Segurança. 4. Clique em Avançado. 5. Clique em Adicionar. 6. Digite o nome da conta ou do grupo do administrador que instalará o Live Communications Server. Clique em OK. 7. Na caixa de diálogo Entrada de Permissões, clique na guia Propriedades. 8. Na guia Propriedades, clique na caixa de seleção Permitir para Ler Membros e Gravar Membros. 9. Clique três vezes em OK. Observação A ativação também tenta remover a conta de serviço provisionada de sua associação no grupo Usuários do Domínio. Essa ação é executada por motivo de segurança, para evitar que a conta de serviço do domínio receba privilégios de logon remoto que ela receberia por fazer parte do grupo Usuários do Domínio. Essa etapa só será executada se o usuário tiver permissão para ler e gravar membros no grupo Usuários do Domínio. Caso contrário, ela será ignorada. Isso pode ser abordado na ativação nãoAdministradores de Domínio, fornecendo a esse administrador permissões temporárias para modificar a associação no grupo Usuários do Domínio, ou para notificar um usuário que tenha credenciais de Administradores de Domínio para fazer isso offline. Apêndice C Recursos adicionais Para obter mais informações sobre como implantar o Live Communications Server Enterprise Edition, consulte os seguintes recursos: Documentação do Live Communications Server 2005 Os seguintes documentos do Live Communications Server são referenciados neste documento e estão disponíveis (em inglês) em http://office.microsoft.com/en-us/FX011450741033.aspx. Guia Microsoft Office Live Communications Server 2005 Planning Guia Live Communications Server 2005 Active Directory Preparation Guia Live Communications Server 2005 Deploying Access Proxy and Director Guia Live Communications Server 2005 Command-Line Reference Guia Live Communications Server 2005 Deploying Archiving Guia Live Communications Server 2005 Configuring Certificates Certificados Práticas recomendadas http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/w s3pkibp.mspx Microsoft Systems Architecture http://www.microsoft.com/resources/documentation/msa/2/all/solution/enus/msa20rak/vmhtm122.mspx Implementing and Administering Certificate Templates in Windows Server 2003 http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/w s03crtm.mspx Key Archival and Management in Windows Server 2003 http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ky acws03.mspx Windows Server 2003 PKI Operations Guide http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/w s03pkog.mspx Managing a Windows Server 2003 Public Key Infrastructure http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/m ngpki.mspx Advanced Certificate Enrollment and Management http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ad vcert.mspx 66 Guia de Implantação do Live Communications Server 2005 Enterprise Edition Cluster do Windows Serviços de cluster do Microsoft Windows Server System™ (em inglês) http://www.microsoft.com/windowsserver2003/technologies/clustering/default.mspx Serviços de cluster no Windows Server 2003 (em inglês) http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/clustering/ default.mspx Guia para criar e configurar um cluster do Windows Server 2003 (em inglês) http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/clustering/ confclus.mspx Comunidade de tecnologias de cluster (em inglês) http://www.microsoft.com/windowsserver2003/community/centers/clustering/default.mspx Centro de tecnologia de serviços de cluster do Windows Server 2003 (em inglês) http://support.microsoft.com/default.aspx?scid=fh;EN-US;winsvr2003clust
