Servidores da Microsoft na AWSGuia de implantação de

referência do Início rápido

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Servidores da Microsoft na AWS: Guia de implantação de referência doInício rápidoCopyright © 2018 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any mannerthat is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks notowned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored byAmazon.

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Table of ContentsInício ................................................................................................................................................ 1

Sobre os Inícios rápidos .............................................................................................................. 1Visão geral ........................................................................................................................................ 3

Vantagens da execução de servidores da Microsoft na AWS ............................................................. 3Serviços principais de DaaS e soluções propostas .......................................................................... 4recurso ...................................................................................................................................... 5Custo e licenças ......................................................................................................................... 6Serviços da AWS ....................................................................................................................... 7

Arquitetura ......................................................................................................................................... 8AD DS .................................................................................................................................... 10SQL Server 2014 ...................................................................................................................... 10SharePoint Server 2016 ............................................................................................................. 11Exchange Server 2013 .............................................................................................................. 14Lync Server 2013 ..................................................................................................................... 14Proxy de aplicativo web e AD FS ................................................................................................ 14

Etapas da implantação ...................................................................................................................... 15Etapa 1. Preparação da conta da AWS ........................................................................................ 15Etapa 2. Execute o Início rápido ................................................................................................. 19Etapa 3. Tarefas pós-implantação ............................................................................................... 21

Solução de problemas ....................................................................................................................... 23Recursos adicionais .......................................................................................................................... 25Apêndice A: Parâmetros do AWS CloudFormation ................................................................................. 27Apêndice B: Melhores práticas ............................................................................................................ 35

Redes e segurança ................................................................................................................... 35Amazon VPC ................................................................................................................... 35Security groups e ACLs de rede ......................................................................................... 35VPC Flow Logs ................................................................................................................ 36Administração remota ........................................................................................................ 36Princípio do privilégio mínimo ............................................................................................. 38

Considerações sobre a arquitetura do Windows na AWS ................................................................ 39Regiões e Zonas de disponibilidade .................................................................................... 39Instalar cargas de trabalho críticas em pelo menos duas zonas de disponibilidade ....................... 39Colocar servidores de aplicativos em sub-redes privadas ........................................................ 40

Implantações híbridas do Active Directory ..................................................................................... 40Gerenciar e monitorar instâncias e aplicativos do Windows ............................................................. 42

Gerenciar aplicativos no SCOM .......................................................................................... 42Feedback ......................................................................................................................................... 43Revisões do documento ..................................................................................................................... 44

.............................................................................................................................................. 44

iii

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Sobre os Inícios rápidos

Servidores da Microsoft na NuvemAWS: implantação de referência doQuick Start

Guia de implantação

AWS Enterprise Accelerator – Oferta

Bill Jacobi e Santiago Cardenas — arquitetos de soluções, Amazon Web Services

Junho de 2016 (última atualização (p. 44): novembro de 2016)

Este guia de implantação de referência do Quick Start discute as considerações de arquitetura e asetapas para implantar os servidores do Microsoft Business Productivity (SharePoint Server, SQL Server,Exchange Server, Lync Server, Proxy de aplicativo web e AD FS) na Nuvem Amazon Web Services(AWS). Ele também inclui links para visualização e ativação de um modelo do AWS CloudFormation queautomatiza a implantação.

O guia é para arquitetos de infraestrutura de TI, administradores e profissionais de DevOps que planejamimplementar ou estender suas cargas de trabalho da Microsoft na Nuvem AWS.

Este Quick Start faz parte de um conjunto de ofertas do AWS Enterprise Accelerator, que ajudam osclientes corporativos a desenvolverem rapidamente recursos chave para projetos na nuvem.

Os links a seguir são para a sua conveniência. Antes de executar o Início rápido, revise a arquitetura, aconfiguração e outras considerações discutidas neste guia.

• Se você tiver uma conta da AWS e já estiver familiarizado com os serviços da AWS e os servidores doMicrosoft Business Productivity, você poderá iniciar o Quick Start para criar a arquitetura mostrada naFigura 1 (p. 8) em uma nova Amazon Virtual Private Cloud (Amazon VPC). A implantação demorade 3 a 4 horas. Se você é novo na AWS ou no Início rápido do , confira os detalhes da implantação esiga as instruções detalhadas (p. 15) fornecidas posteriormente neste guia.

• Se quiser ter uma visão dos bastidores, visualize o modelo do AWS CloudFormation que automatiza aimplantação.

Sobre os Inícios rápidosOs Inícios rápidos são implantações de referência automatizadas para as principais cargas de trabalhona Nuvem AWS. Cada Início rápido inicia, configura e executa a computação, a rede e o armazenamento

1

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Sobre os Inícios rápidos

da AWS, além de outros serviços necessários para implantar uma carga de trabalho específica na AWS,usando as melhores práticas da AWS para segurança e disponibilidade.

2

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Vantagens da execução de servidores da Microsoft na AWS

Visão geralEste guia fornece informações sobre a infraestrutura e a configuração para planejamento e implantaçãode cargas de trabalho do Microsoft Windows na Nuvem AWS, com foco em implementações de área detrabalho como um serviço (DaaS). Ele cria a infraestrutura da AWS e implanta os servidores do MicrosoftBusiness Productivity, como o SharePoint Server, o SQL Server, o Exchange Server e o Lync Server, parafornecer uma solução de DaaS para clientes empresariais.

Vantagens da execução de servidores da Microsoftna AWS

A Nuvem AWS fornece um conjunto de serviços de infraestrutura que permitem que você implante cargasde trabalho da Microsoft de uma maneira altamente disponível, tolerante a falhas e acessível. Ao implantarservidores do Microsoft Business Productivity na Nuvem AWS, você pode aproveitar os recursos de e-mail, colaboração, comunicação e diretórios fornecidos por esses servidores junto com a flexibilidade e asegurança da AWS. Estas são algumas das vantagens de execução de servidores da Microsoft na AWS:

• Compatibilidade complementar. Como a AWS fornece uma plataforma de infraestrutura como um serviço(IaaS), os complementos desenvolvidos de forma personalizada e de parceiros que são executados nolocal geralmente são compatíveis com os servidores da Microsoft implantados na AWS. Isso permiteque a AWS seja uma plataforma que substitui as implantações no local sem perder complementos epersonalizações.

• Escalabilidade. Na AWS, é fácil monitorar uma implantação da Microsoft e dimensionar horizontal ouverticalmente conforme exigido pelas demandas de carga de trabalho.

• Agilidade. Na AWS, a escalabilidade horizontal e vertical pode ocorrer em minutos em vez do tempoexigido por compras corporativas típicas e por implantações bare-metal. A AWS fornece váriasferramentas e recursos de DevOps que oferecem suporte à agilidade rápida e facilitam os testes.

• Custos. Com a AWS, você paga apenas pelo que usar e pode desativar recursos de maneira elásticade acordo com a demanda ou as programações para reduzir custos. E, geralmente, você pode trazersuas licenças de software existentes para a nuvem sem a necessidade de adquirir novas licenças desoftware.

• Otimização. Com a AWS, você pode aumentar ou reduzir facilmente recursos individuais que afetama experiência do usuário. A TI pode escolher entre várias opções para aumentar o desempenho dasimplantações existentes, incluindo a escolha de armazenamento mais rápido, mais processadores,processadores mais rápidos ou uma maior taxa de transferência de rede, em vez de comprar novosservidores.

• Confiabilidade. Com as ferramentas de DevOps na AWS, você pode automatizar a criação e aimplantação de aplicativos de n camadas da Microsoft com farms do SharePoint Server controladospor versão, implantações do Exchange Server etc., e gerenciar a infraestrutura de servidor da Microsoftcomo código.

• Alta disponibilidade. Os grupos de disponibilidade do Microsoft SQL Server AlwaysOn permitem quevocê distribua os bancos de dados em várias instâncias de servidor e volumes de armazenamento.Mas normalmente é complexo e caro garantir que essas instâncias sejam colocadas em instalaçõesseparadas com grades de alimentação separadas, planícies de inundação e backbones de Internet. Azonas de disponibilidade da AWS facilitam isso.

Este guia requer familiaridade básica com a arquitetura e o gerenciamento de servidores da Microsoft.Para obter mais informações sobre os produtos da Microsoft, incluindo orientações gerais e melhorespráticas, consulte a documentação do produto da Microsoft.

3

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Serviços principais de DaaS e soluções propostas

Serviços principais de DaaS e soluções propostasA tabela a seguir mostra o alinhamento entre os serviços principais de DaaS e soluções baseadas noWindows que podem ser executados na AWS.

Serviço principal de DaaS Solução proposta

E-mail Microsoft Exchange Server 2013

colaboração Microsoft SharePoint Server 2016

Comunicação unificada Microsoft Lync Server 2013

Automação do Office Microsoft Office*

Área de trabalho virtual Amazon WorkSpaces*

Diretório Microsoft Active Directory

Monitoramento e automação Amazon CloudWatch Logs

Logs de fluxo da Amazon VPC

AWS Config

AWS CloudTrail

AWS CloudFormation

Pacote do Microsoft System Center

* O Amazon WorkSpaces inclui o cliente Windows e os produtos do Microsoft Office, mas ele não éincluído nesta versão do Quick Start

A tabela a seguir mostra os serviços na Nuvem AWS que são necessários para oferecer suporte a cargasde trabalho de DaaS.

Categoria Serviços na Nuvem AWS

Computação Amazon Elastic Compute Cloud (Amazon EC2)

Redes, sub-redes, gateways, redesvirtuais privadas (VPNs)

Amazon Virtual Private Cloud (Amazon VPC)

Rede privada dedicada AWS Direct Connect

Instância de firewalls de sub-rede Security groups e listas de controle de acesso (ACLs)

Armazenamento de volumes Amazon Elastic Block Store(Amazon EBS)

Armazenamento de snapshot (backup) Amazon Simple Storage Service (Amazon S3)

Criação e automação de recursos combase em modelos

AWS CloudFormation

Recurso e monitoramento personalizado Amazon CloudWatch

Usuário e controle de acesso AWS Identity and Access Management (IAM)

4

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

recurso

Categoria Serviços na Nuvem AWS

Loja de aplicativos interna AWS Service Catalog

Para obter informações detalhadas sobre esses serviços, consulte a seção AWS Services (p. 7).

Modelos incluídos com este Quick StartO AWS CloudFormation é um serviço de implantação de DevOps automatizado para criar aplicativos einfraestrutura de n camadas a partir de modelos. Esses modelos provisionam recursos da AWS, comoredes, sub-redes, roteamento, firewalls, instâncias de máquinas virtuais e gateways, e oferecem suporteà inclusão de scripts do Windows PowerShell para instalar e configurar os servidores da Microsoft nainfraestrutura da AWS.

Este Quick Start consiste em um modelo principal, que integra a implantação de seis modelos aninhados.Cada modelo aninhado implanta uma solução de servidor da Microsoft na AWS de acordo com asmelhores práticas da AWS. A tabela a seguir descreve cada modelo e suas dependências.

Modelo Descrição Dependências

(Modelo principal) O arquivo principal do modelo que implanta os seismodelos aninhados para soluções de servidor daMicrosoft.

Os modelos aninhadoslistados abaixo

Serviços de Domínio doActive Directory

Implanta o Active Directory Domain Services (ADDS) e o Domain Name Server (DNS) na AWS parafornecer serviços de diretório para as soluções deservidor da Microsoft automatizados por este QuickStart.

Para obter mais informações sobre esse modeloe o ambiente que ele cria, consulte o Guia deimplantação do Quick Start para AD DS.

Nenhum

SQL Server 2012 e2014 com o Cluster deFailover do WindowsServer (WSFC)

Implanta instâncias do SQL Server 2012 ou2014 configuradas em um Cluster de Failover doWindows Server (WSFC).

Para obter mais informações sobre esse modeloe o ambiente que ele cria, consulte o Guia deimplantação do Quick Start para SQL Server.

AD DS

Lync Server 2013 Implementa um ambiente do Lync Servercom grupos emparelhados do Lync Server2013 Standard Edition em duas zonas dedisponibilidade.

Para obter mais informações sobre esse modeloe o ambiente que ele cria, consulte o Guia deimplantação do Quick Start para Lync Server.

AD DS

Exchange Server 2013 Implanta um pequeno ambiente do ExchangeServer 2013 que oferece suporte a 250 caixas decorreio.

AD DS

5

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Custo e licenças

Modelo Descrição DependênciasPara obter mais informações sobre esse modeloe o ambiente que ele cria, consulte o Guia deimplantação do Quick Start para Exchange Server.

SharePoint Server 2016 Implanta um farm do SharePoint Server 2016 combase em uma topologia simplificada ou tradicional.

Para obter mais informações sobre esse modeloe o ambiente que ele cria, consulte o Guia deimplantação do Quick Start para SharePointServer.

AD DS, SQL Server

Proxy de aplicativo webe AD FS

Implanta um Proxy de aplicativo web e o ambientedo Active Directory Federation Services (AD FS).

Para obter mais informações sobre esse modeloe o ambiente que ele cria, consulte o Guiade implantação do Quick Start para Proxy deaplicativo web.

AD DS

Note

Este Quick Start não inclui o Windows PowerShell DSC. Para obter mais informações sobre aimplantação dessa plataforma de configuração na AWS, consulte o PowerShell DSC no AWSQuick Start.

Para implantar a infraestrutura da AWS e a soluções de servidor da Microsoft listadas na tabela, use omodelo principal ao iniciar as pilhas. Também é possível editar o modelo principal para personalizar ouomitir as pilhas a serem implantadas ou para implantar cada pilha de forma independente.

Custo e licençasVocê é responsável pelo custo dos serviços da AWS usados durante a execução dessa implantação dereferência de Início rápido. Não há custo adicional para usar o Início rápido.

Os modelos do AWS CloudFormation fornecidos com o Quick Start incluem os parâmetros de configuraçãoque você pode personalizar, e algumas configurações, como os tipos de instância e o número deinstâncias, podem afetar muito o custo da implantação.

O Quick Start inicia a Imagem de máquina da Amazon (AMI) para Windows Server 2012 R2 e inclui alicença do sistema operacional Windows Server 2012 R2.

Por padrão, o Quick Start instala as versões de avaliação gratuitas dos servidores do Microsoft BusinessProductivity. Para usar esses servidores além do período de avaliação, você deve obter licenças daMicrosoft. Para ambientes de produção, é possível licenciar os produtos de servidor da Microsoft por meiodo programa Mobilidade de Licença da Microsoft através do Software Assurance e fornecer sua própriachave do produto depois da implantação. Para ambientes de desenvolvimento e teste, você pode utilizarsuas licenças existentes da MSDN usando hosts dedicados do Amazon EC2 ou instâncias dedicadas. Paradetalhes, consulte a página MSDN na AWS.

6

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Serviços da AWS

Serviços da AWSOs principais componentes da AWS usados por este Início rápido incluem os seguintes serviços da AWS.(Se você é novo na AWS, consulte a seção Conceitos básicos da documentação da AWS.)

• AWS CloudFormation – O AWS CloudFormation fornece uma maneira fácil de criar e gerenciar umacoleção de recursos relacionados da AWS, provisionando e atualizando-os de forma organizada eprevisível. Você usa um modelo para descrever todos os recursos da AWS (por exemplo, instânciasAmazon EC2) que você deseja. Não é preciso criar e configurar individualmente os recursos oudescobrir dependências - o AWS CloudFormation cuida de tudo isso.

• Amazon VPC - o serviço Amazon Virtual Private Cloud (Amazon VPC) permite provisionar uma seçãoisolada e privada da Nuvem AWS onde é possível executar serviços da AWS e outros recursos emuma rede virtual que você mesmo define. Você tem controle total sobre seu ambiente de rede virtual,incluindo a seleção do seu próprio intervalo de endereços IP, criação de subnets e configuração detabelas de roteamento e gateways de rede.

• Amazon EC2 - O serviço Amazon Elastic Compute Cloud (Amazon EC2) permite executar instâncias demáquinas virtuais com uma variedade de sistemas operacionais. É possível escolher uma Imagem demáquina da Amazon (AMI) existente ou importar imagens da sua própria máquina virtual.

• NAT Gateway – NAT Gateway é um serviço gerenciado da AWS que controla os recursos do NATgateway. Um NAT gateway é um tipo de dispositivo de conversão de endereços de rede (NAT) quepermite que instâncias em uma sub-rede privada se conectem à internet ou a outros serviços da AWS,mas evita que a internet inicie uma conexão com essas instâncias.

• IAM - O AWS Identity and Access Management (IAM) permite que você controle com segurança oacesso aos serviços e recursos da AWS para seus usuários. Com IAM, você pode gerenciar usuários,credenciais de segurança como chaves de acesso e as permissões que controlam quais recursos daAWS os usuários podem acessar a partir de uma localização central.

• Amazon EBS - O Amazon Elastic Block Store (Amazon EBS) fornece volumes de armazenamento denível de bloco persistentes para uso com instâncias do Amazon EC2 na nuvem AWS. Cada volume doAmazon EBS é replicado automaticamente na respectiva zona de disponibilidade para proteger vocêcontra falhas de componente, oferecendo alta disponibilidade e durabilidade. Os volumes do AmazonEBS oferecem desempenho consistente e de baixa latência necessário para executar suas cargas detrabalho.

• Amazon S3 – o Amazon Simple Storage Service (Amazon S3) fornece um armazenamento na nuvemseguro, durável e altamente escalável. Você pode utilizar o Amazon S3 para armazenar e recuperarqualquer volume de dados, a qualquer momento, de qualquer lugar na web.

7

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

ArquiteturaA Figura 1 representa a arquitetura do Quick Start de servidores do Windows na AWS. O aspecto maisnotável dessa arquitetura é que, por meio da Amazon VPC a arquitetura reflete os mesmos padrõesde arquitetura e práticas recomendadas pela Microsoft para implementações no local. Isso não é umasurpresa, porque a Microsoft fornece as mesmas recomendações de arquitetura para ambientes locais evirtualizados.

Note

A Microsoft faz abatimentos em suas calculadoras de servidor para ambientes físicos versusvirtuais, mas isso não altera as arquiteturas básicas tanto quanto reflete a sobrecarga davirtualização. Todas as arquiteturas de referência automatizadas por este Quick Start adotamas diretrizes do Microsoft TechNet e atendem aos requisitos mínimos dos recursos. Asimplementações do Quick Start são implementações de referência, e o dimensionamento realexigirá testes de desempenho e de aceitação.

8

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

9

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

AD DS

Figura 1: Arquitetura do Quick Start para servidores da Microsoft na AWS

O ambiente do Quick Start combina os recursos que são implantados como parte dos Quick Starts do ADDS, do SQL Server, do SharePoint Server, do Exchange Server, do Lync Server e do Proxy de aplicativoweb e do AD FS. Todos esses Quick Starts fornecem uma arquitetura de Multi-AZ de alta disponibilidade.

• O Quick Start para AD DS implanta os bastion hosts dos controladores de domínio e do gateway de áreade trabalho remota.

• O Quick Start para SQL Server implanta duas instâncias do SQL Server em um cluster de failoverusando a testemunha de compartilhamento de arquivos.

• O Quick Start para SharePoint Server implanta dois servidores de front-end da web e dois servidores deaplicativo selecionando a topologia tradicional.

• O Quick Start para Exchange Server implanta dois servidores multifunção com funções de servidorde caixa de correio e de acesso do cliente (CAS). Opcionalmente, ele também pode implantar doisservidores de transporte de borda.

• O Quick Start para Lync Server implanta dois servidores de front-end. Opcionalmente, ele também podeimplantar dois servidores de borda.

• O Quick Start para Proxy de aplicativo web e do AD FS implanta dois servidores.

As seções a seguir oferecem mais informações sobre esses componentes de servidor da arquiteturado Quick Start. Para obter uma discussão detalhada sobre as melhores práticas para administraçãoremota e de redes, as considerações sobre a arquitetura do Windows na AWS e o gerenciamento e omonitoramento de aplicativos e instâncias do Windows, consulte o Apêndice B (p. 35).

Serviços de Domínio do Active DirectoryO Active Directory Domain Services (AD DS) e o Domain Name Server (DNS) são serviços essenciaisdo Windows que fornecem a base para muitas soluções de classe empresarial baseadas na Microsoft,incluindo os servidores do Microsoft Business Productivity implantados por este Quick Start.

Este Quick Start fornece uma nova instalação do AD DS na Nuvem AWS, que é discutida em detalhes noGuia de implantação do Quick Start para AD DS (cenário 1).

SQL Server 2014O SQL Server hospeda o banco de dados de configuração do SharePoint Server e o armazenamento doconteúdo, e é necessário para o SharePoint Server 2016. Em uma configuração empresarial, o SQL Serveré usado para alta disponibilidade do conteúdo em uma farm do SharePoint Server. O SQL Server usa osGrupos de Disponibilidade AlwaysOn sobrepostos sobre o Cluster de Failover do Windows Server (WSFC)para fornecer bancos de dados redundantes junto com um servidor de testemunha para garantir que umquórum possa votar no nó a ser promovido para mestre. Na AWS, a arquitetura (mostrada na Figura 2)espelha uma arquitetura local de duas instâncias do SQL Server abrangendo duas sub-redes colocadasem duas zonas de disponibilidade diferentes.

10

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

SharePoint Server 2016

Figura 2: Os Grupos de Disponibilidade AlwaysOn do SQL Server oferecem suporte a failover automático

Para obter informações detalhadas sobre os componentes do SQL Server e do WSFC dessa implantaçãodo Quick Start, consulte o Guia de implantação do Quick Start para SQL Server com WSFC.

SharePoint Server 2016Existe uma série de maneiras de projetar a topologia de uma farm do SharePoint Server de acordo comsuas necessidades. A Microsoft fornece orientação para duas abordagens de arquitetura distintas para o

11

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

SharePoint Server 2016

SharePoint Server 2016: topologia tradicional e topologia simplificada. O modelo do AWS CloudFormationfornecido por este guia é construído para proporcionar flexibilidade e permite que você escolha qualqueruma das topologias para sua farm do SharePoint Server.

Por padrão, o modelo cria a farm do SharePoint Server de alta disponibilidade ilustrada na Figura 3. Issoé baseado na topologia tradicional, que inclui servidores web, servidores de aplicativos e servidores debanco de dados.

12

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

SharePoint Server 2016

Figura 3: Arquitetura padrão do Quick Start para a farm do SharePoint (topologia tradicional)

13

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Exchange Server 2013

Para obter mais informações sobre as topologias simplificada e tradicional e outros detalhes para a partedo SharePoint Server desta implantação do Quick Start, consulte o Quick Start para SharePoint Server2016.

Exchange Server 2013Na arquitetura do Quick Start para Exchange Server 2013, as cargas de trabalho críticas, como asinstâncias do Exchange Server e os servidores de transporte de borda do Exchange, são colocadas emduas ou mais zonas de disponibilidade. As instâncias do gateway de área de trabalho remota permanecemna sub-rede de gerenciamento. Semelhante à arquitetura do SQL Server AlwaysOn, o Exchange Serveremprega uma arquitetura de Grupo de Disponibilidade de Banco de Dados (DAG) que é criada na funçãode caixa de correio. Essas funções são implantadas em duas zonas de disponibilidade para aumentar adisponibilidade.

Este Quick Start cria a quantidade mínima de infraestrutura para fornecer ao Exchange Server altadisponibilidade para 250 caixas de correio. Além de fornecer a quantidade mínima de infraestruturapara alta disponibilidade, você pode considerar a arquitetura preferencial da Microsoft para o ExchangeServer 2013 (Exchange PA). Embora o Exchange PA exija a execução do Exchange em servidoresfísicos dedicados, ele também inclui muitos aspectos de projeto que podem ser vantajosos em qualquerambiente. Para obter detalhes sobre o Exchange PA e as diretrizes de projetar para desempenho e altadisponibilidade, consulte o Guia de implantação do Quick Start para Exchange Server.

Lync Server 2013O Lync Server emprega uma arquitetura de alta disponibilidade para a função de front-end do Lync. Essasfunções são implantadas em duas zonas de disponibilidade para aumentar a disponibilidade.

A configuração padrão implanta dois grupos do Lync Server Standard Edition em duas zonas dedisponibilidade para oferecer suporte à recuperação de desastres e ao failover de grupo. Você podeacomodar 50% dos usuários no primeiro grupo e os 50% restantes no segundo grupo. Isso fornecerá umtipo de implantação ativa-ativa, em que os servidores nas duas zonas de disponibilidade atendem aosusuários. Em caso de desastre, o failover do grupo pode ser feito na outra zona de disponibilidade.

Você também pode personalizar o modelo para, opcionalmente, implantar servidores de borda do Lync.Para obter mais informações sobre a implantação do Lync Server e instruções sobre personalização,consulte o Guia de implantação do Quick Start para Lync Server.

Proxy de aplicativo web e AD FSO Microsoft Active Directory Federation Services (AD FS) é uma função do Windows Server que fornecerecursos de federação de identidades e logon único (SSO) para os usuários que acessam aplicativos emum ambiente do AD FS protegido ou com organizações de parceiros federados. O AD FS autentica osusuários e fornece tokens de segurança para aplicativos ou aplicativos de parceiros federados que confiamno AD FS. Para tornar o AD FS acessível para usuários externos, você pode implantar a função de Proxyde aplicativo web no Windows Server 2012 R2. O servidor de Proxy de aplicativo web pode usar um proxypara solicitações à infraestrutura do AD FS para usuários que estão se conectando de um local externo,sem necessidade de conectividade com a VPN.

A configuração padrão implanta dois servidores de Proxy de aplicativo web e de AD FS entre duas zonasde disponibilidade. Para obter mais informações sobre esses servidores, consulte o Guia de implantaçãodo Quick Start para Proxy de aplicativo web e AD FS.

14

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Etapa 1. Preparação da conta da AWS

Etapas da implantaçãoO modelo do AWS CloudFormation fornecido com este Quick Start inicializa a infraestrutura da AWS eautomatiza a implantação de servidores da Microsoft na Nuvem AWS. Siga as instruções detalhadas nestaseção para fazer configurar sua conta da AWS, personalizar o modelo e implantar o software na sua conta.O procedimento de implantação consiste nas seguintes etapas. Para obter instruções detalhadas, siga oslinks para cada etapa.

• Etapa 1. Preparar uma conta da AWS (p. 15)• Cadastre-se para uma conta da AWS caso você ainda não tenha uma.• Selecione a região onde você deseja implantar a stack na AWS.• Crie um par de chaves na região.• Revise os limites de conta de instâncias do Amazon EC2 e solicite um aumento de limite, se

necessário.• Etapa 2. Execute o Início rápido (p. 19)

• Inicie o modelo do AWS CloudFormation em sua conta da AWS.• Informe os valores dos parâmetros necessários.• Analise os outros parâmetros do modelo e, se necessário, personalize seus valores.

• Etapa 3. Tarefas pós-implantação (p. 21)• Adicionar usuários ao Active Directory.• Habilitar esses usuários para o Exchange no Centro de Administração do Exchange.• Habilitar esses usuários para o Lync no Painel de controle do Lync Server.• Testar a alta disponibilidade e o failover automático e configurar um ou dois modelos empresariais no

SharePoint.

Etapa 1. Preparar uma conta da AWS1. Se você ainda não tem uma conta da AWS, crie uma em http://aws.amazon.com seguindo as

instruções na tela. Parte do processo de cadastro envolve uma chamada de telefone e a digitação deum PIN usando o teclado do telefone.

2. Use o seletor de região na barra de navegação para escolher a região da AWS onde deseja implantaros servidores da Microsoft na AWS.

15

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Etapa 1. Preparação da conta da AWS

Figura 4: Escolher uma região da AWS

Considere escolher uma região mais próxima de seu datacenter ou da rede corporativa para reduzira latência de rede entre os sistemas em execução na AWS e os sistemas e usuários na redecorporativa.

Note

Este Quick Start usa instâncias M4, R3 e C4 para implantações de servidor e gateways NATpara acesso de saída à Internet. No momento da redação deste documento, alguns dessesrecursos não estão disponíveis nas regiões China (Pequim), América do Sul (São Paulo) ouÁsia-Pacífico (Seul).

3. Crie um par de chaves em sua região preferida. Para fazer isso, no painel de navegação do consoledo Amazon EC2, selecione Pares de chaves, Criar par de chaves, digite um nome e selecione Criar.

16

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Etapa 1. Preparação da conta da AWS

Figura 5: Criar um par de chaves

O Amazon EC2 usa a criptografia de chave pública para criptografar e descriptografar informaçõesde login. Para poder fazer login em suas instâncias, você deve criar um par de chaves. Em instânciasdo Windows, usamos o par de chaves para obter a senha de administrador através do console doAmazon EC2 e, em seguida, efetuamos o login usando o Remote Desktop Protocol (RDP), conformeexplicado nas instruções passo a passo no Guia do usuário do Amazon Elastic Compute Cloud.

4. Se necessário, solicite um aumento no limite de serviço para os tipos de instância usados no QuickStart. Para fazer isso, no AWS Support Center, selecione Criar caso, Aumento de limite de serviço,Instâncias EC2 e preencha os campos no formulário de aumento de limite.

Talvez seja necessário solicitar um aumento se você já tiver uma implantação que use esses tiposde instância cujo limite padrão possa ser excedido com essa implantação de referência. Pode levaralguns dias para que o novo Service Limits entre em vigor. Para obter mais informações, consulteService Limits do Amazon EC2 na documentação da AWS.

17

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Etapa 1. Preparação da conta da AWS

Figura 6: Solicitar um aumento de limite de serviço

18

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Etapa 2. Execute o Início rápido

Etapa 2. Executar o Início rápido1. Inicie o modelo do AWS CloudFormation em sua conta da AWS.

O modelo é executado na região Oeste dos EUA (Oregon) por padrão. É possível alterar a regiãousando o seletor de região na barra de navegação.

A pilha leva três a quatro horas para ser criada.

Note

Você é responsável pelo custo dos serviços da AWS usados durante a execução dessaimplantação de referência de Início rápido. Não há custo adicional para usar este Iníciorápido. Consulte as páginas de definição de preço de cada serviço da AWS que você usaráneste Quick Start e a Calculadora Mensal da AWS para obter detalhes.

2. Na página Selecionar modelo, mantenha a configuração padrão para o URL do modelo e selecionePróximo.

3. Na página Especificar detalhes, revise os parâmetros para o modelo. Forneça valores para osseguintes parâmetros necessários.

Configuração do Amazon EC2

Rótulo do parâmetro Nome do parâmetro Padrão Description

Nome do par dechaves

KeyPairName Requer entrada Par de chavespúblicas/privadasque permite quevocê se conectecom segurança àsua instância depoisque ela for iniciada.Quando você criouuma conta da AWS,este é o par que foicriado na região de suapreferência.

Configuração do Active Directory da Microsoft

Rótulo do parâmetro Nome do parâmetro Padrão Description

Modo de restauraçãode senha

RestoreModePassword Requer entrada Senha para uma contade administradorseparada quando ocontrolador de domínioestá no modo derestauração. Estasenha deve atender

19

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Etapa 2. Execute o Início rápido

aos requisitos padrãode complexidade desenha da Microsoft

Senha doadministrador dedomínio

DomainAdminPassword Requer entrada Senha para o usuárioadministrador dedomínio. Esta senhadeve atender aosrequisitos padrãode complexidade desenha da Microsoft

Configuração do Microsoft SQL Server

Rótulo do parâmetro Nome do parâmetro Padrão Description

Senha da conta deserviço

SQLServiceAccountPasswordRequer entrada Senha para a contade serviço do SQLServer. Esta senhadeve atender aosrequisitos padrãode complexidade desenha da Microsoft

Configuração do Microsoft SharePoint

Rótulo do parâmetro Nome do parâmetro Padrão Description

URI do arquivo deimagem ISO da mídiade instalação

SPISOImageURI Requer entrada O URI do Amazon S3para o bucket do S3que contém o arquivode imagem ISO paraa mídia de instalaçãodo SharePoint Server2016. Você tambémpode especificarum URI HTTP/HTTPS (por exemplo,https://example.com/microsoft/sharepoint/installation-media.img),mas recomendamos ouso de um bucket doS3 para obter o melhordesempenho.

Senha da conta defarm

SPFarmAccountPasswordRequer entrada Senha para aconta de farm doSharePoint. Estasenha deve atenderaos requisitos padrãode complexidade desenha da Microsoft

20

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Etapa 3. Tarefas pós-implantação

Configuração do Microsoft Lync

Rótulo do parâmetro Nome do parâmetro Padrão Description

URI do arquivo deimagem ISO da mídiade instalação

LyncISOImageURI Requer entrada URI do Amazon S3para o bucket doS3 que contém oarquivo de imagemISO para a mídia deinstalação do LyncServer 2013 StandardEdition. Você tambémpode especificarum URI HTTP/HTTPS (por exemplo,https://example.com/microsoft/lync/installation-media.img),mas recomendamosusar um bucket do S3para obter o melhordesempenho.

Para todos os outros parâmetros, revise as configurações padrão e personalize-os conformenecessário. (Consulte o Apêndice A (p. 27) para obter uma lista completa de parâmetros.)

Quando terminar de revisar e personalizar os parâmetros, selecione Próximo.

Note

Também é possível fazer download do modelo e editá-lo para criar seus próprios parâmetroscom base em seu cenário de implantação especifico.

4. Na página Opções, você pode especificar tags (pares de chave-valor) para os recursos em sua stacke definir opções adicionais. Quando concluir, selecione Próximo.

5. Na página Revisar, verifique e confirme as configurações do modelo. Em Recursos, marque a caixa deseleção para confirmar que o modelo criará recursos do IAM.

6. Selecione Criar para implantar a stack.7. Monitore o status da stack. Quando o status for CREATE_COMPLETE, o cluster de servidor da

Microsoft estará pronto.

Etapa 3. Tarefas pós-implantaçãoApós a conclusão da implantação Quick Start, você pode testar os servidores de produtividade daMicrosoft na AWS e criar usuários e conteúdo:

1. Adicionar usuários ao Active Directory. Use o Active Directory Users and Computers ou PowerShellpara criar usuários com permissões de usuário de domínio no Active Directory. Recomendamos quevocê inclua a maioria dos campos padrão, tais como nome, sobrenome, nome principal do usuário e e-mail.

21

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Etapa 3. Tarefas pós-implantação

2. Habilitar esses usuários para o Exchange no Exchange Administration Center, seguindo as instruçõesna documentação da Microsoft para o Exchange Server. Consulte o Guia de implantação do QuickStart para Exchange Server para obter alguns links úteis pós-configuração.

3. Habilitar esses usuários para o Lync no Lync Server Control Panel ou no PowerShell. Para obterinstruções, consulte a etapa 3 no Guia de implantação do Quick Start para Lync Server.

4. Testar a alta disponibilidade e o failover automático dos servidores do SharePoint, seguindo as etapasno Guia de implantação do Quick Start para SharePoint e, em seguida, configurar um ou dois modelosempresariais no SharePoint. Para obter instruções, consulte a documentação da Microsoft para oSharePoint Server.

22

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Solução de problemasQuando você implantar o Início rápido, se você encontrar um erro CREATE_FAILED em vez do códigode status CREATE_COMPLETE, recomendamos que você reinicie o modelo com Reversão em caso defalha definida como Não. (Essa configuração está em Avançado na página Opções do console do AWSCloudFormation.) Com esta configuração, o estado da stack será retido e a instância permanecerá emexecução para que você possa resolver o problema.

Importante

Ao configurar reversão em caso de falha como Não, você continuará a incorrer em taxas AWSpara este stack. Certifique-se de excluir a stack ao terminar a resolução de problemas.

A tabela a seguir lista mensagens de erro CREATE_FAILED específicas que você pode encontrar.

A mensagem de erro Possível causa O que fazer

API: ec2: RunInstances nãoautorizadas para imagens: ami-ID

O modelo se refere a uma AMIque expirou.

Nós atualizamos AMIsregularmente, mas, às vezes,nossas atualizações se atrasamem relação às alterações AMIda AWS. Se você receber estamensagem de erro, entre emcontato conosco e atualizaremoso modelo com a nova ID de AMI.

Se você quiser consertar omodelo sozinho, faça o downloaddo modelo e atualize a seçãoMappings com a ID da AMI maisrecente para a sua região.

No momento, não temoscapacidade suficiente para tipode instância na zona dedisponibilidade solicitada

Um dos tipos de instância nãoestá disponível no momento.

Alterne para um tipo de instânciaque seja compatível comcapacidade maior, ou preencha oformulário de solicitação no AWSSupport Center para aumentaro limite do Amazon EC2 parao tipo de instância ou região.Os aumentos de limite estãovinculados à região para a qualsão solicitados.

A ID de instância nãoestabilizou

Você excedeu seu IOPS para aregião.

Solicite um aumento de limitepreenchendo o formulário desolicitação no AWS SupportCenter.

A senha do administrador dosistema deve conter pelo menos8 caracteres

A senha mestre contém $ ououtros caracteres especiais.

Verifique os parâmetros desenha antes de reativar o Iníciorápido.

As senhas devem ter pelo menos8 caracteres, consistindo emletras maiúsculas e minúsculas e

23

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

A mensagem de erro Possível causa O que fazernúmeros. Siga as diretrizes parasenhas complexas e evite usarcaracteres especiais, como @ ou$.

Se uma falha é sinalizada ou uma condição de espera ou um sinal de recursos atinge o tempo limite, seránecessário acessar a máquina afetada remotamente e iniciar o Visualizador de eventos. Em Modos deexibição personalizados, Eventos administrativos ou em Registros do Windows, Aplicativo, procure errosAWSQuickStart de origem. Eles indicarão o script com falha, o número de linha e a exceção relatados.

Para mais informações, consulte Solução de problemas do AWS CloudFormation no site da AWS.

24

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Recursos adicionaisServiços da AWS

• AWS CloudFormation• Amazon EBS:

• Guia do usuário• Tipos de volume• Instâncias otimizadas

• Amazon EC2• Amazon VPC

Implantação do software Microsoft na AWS

• Microsoft na AWS• Proteção de aplicativos da Microsoft na AWS• Mobilidade de licenciamento da Microsoft• MSDN na AWS• Centro do desenvolvedor de Windows e .NET na AWS

Serviços de Domínio do Active Directory

• Documentação do Active Directory Domain Services• Sites e Serviços do Active Directory

Microsoft SQL Server e o SharePoint Server

• Configurar grupos de disponibilidade AlwaysOn do SQL Server 2012 para SharePoint 2013• Ouvintes de grupo de disponibilidade, conectividade de cliente e failover de aplicativo (SQL Server)

Microsoft Exchange Server 2013

• Arquitetura preferencial da Microsoft• Opções de configuração de armazenamento• Planejamento de namespace• Grupos de disponibilidade de banco de dados• Balanceamento de carga• Inscrições de borda• Backup, restauração e recuperação de desastres

Microsoft Lync Server 2013

• Conceitos básicos do Lync Server 2013• Planejamento para Lync Server 2013• Implantação do Lync Server 2013• Requisitos de balanceamento de carga para Lync Server 2013

25

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

• Requisitos de DNS para Lync Server 2013• Implantação de acesso de usuários externos no Lync Server 2013• Planejamento de capacidade para o Lync Server 2013

Implantações de referência de Início rápido

• Página inicial do Início rápido da AWS• Guias de implantação de Início rápido• Microsoft Active Directory na AWS• Gateway de área de trabalho remota da Microsoft na AWS• Microsoft SQL Server com WSFC na AWS• Microsoft Exchange Server na AWS• Microsoft SharePoint Server na AWS• Microsoft Lync Server na AWS• Proxy de aplicativo web e AD FS na AWS

26

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Apêndice A: Parâmetros do AWSCloudFormation

As tabelas a seguir fornecem uma lista completa de parâmetros fornecidos no modelo do AWSCloudFormation para este Quick Start, listados por categoria.

Rede de configuração de parâmetros:

Rótulo do parâmetro Nome do parâmetro Padrão Description

CIDR da VPC VPCCIDR 10.0.0.0/16 Bloco CIDR da AmazonVPC.

CIDR da sub-redeprivada 1

PrivateSubnet1CIDR 10.0.0.0/19 Bloco CIDR da camadado servidor do ActiveDirectory localizado nazona de disponibilidade1.

CIDR da sub-redeprivada 2

PrivateSubnet2CIDR 10.0.64.0/19 Bloco CIDR da camadado servidor do ActiveDirectory localizado nazona de disponibilidade2.

CIDR da sub-redepública 1

PublicSubnet1CIDR 10.0.32.0/20 Bloco CIDR da sub-rede pública DMZlocalizada na zona dedisponibilidade 1.

CIDR da sub-redepública 2

PublicSubnet2CIDR 10.0.96.0/20 Bloco CIDR da sub-rede pública DMZlocalizada na zona dedisponibilidade 2.

Parâmetros de configuração do Amazon EC2:

Rótulo do parâmetro Nome do parâmetro Padrão Description

Nome do par de chaves KeyPairName Requer entrada Par de chaves públicas/privadas que permiteque você se conectecom segurança à suainstância depois queela for iniciada. Quandovocê criou uma conta daAWS, este é o par quefoi criado na região desua preferência.

27

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Tipo de instância doservidor de Gateway deárea de trabalho remota

RDGWInstanceType m4.xlarge Tipo de instância doAmazon EC2 para ainstância do Gateway deárea de trabalho remota.

Tipo de instância decontrolador de domínio1

ADServer1InstanceType m4.xlarge Tipo de instânciado Amazon EC2 daprimeira instância doActive Directory.

Nome NetBIOS docontrolador de domínio1

ADServer1NetBIOSName DC1 Nome NetBIOS doprimeiro servidor doActive Directory (até 15caracteres).

Endereço IP privado docontrolador de domínio1

ADServer1PrivateIP 10.0.0.10 IP privado fixo doprimeiro servidor ActiveDirectory localizado nazona de disponibilidade1.

Tipo de instância decontrolador de domínio2

ADServer2InstanceType m4.xlarge Tipo de instânciado Amazon EC2 dasegunda instância doActive Directory.

Nome NetBIOS docontrolador de domínio2

ADServer2NetBIOSName DC2 Nome NetBIOS dosegundo servidor doActive Directory (até 15caracteres).

Endereço IP privado docontrolador de domínio2

ADServer2PrivateIP 10.0.64.10 IP privado fixo dosegundo servidor ActiveDirectory localizado nazona de disponibilidade2.

Tipo de instância deservidor de transportede borda do Exchange

EdgeInstanceType m4.large Tipo de instância doAmazon EC2 paraservidores de transportede borda do ExchangeServer 2013.

Tipo de instância deservidor multifunção doExchange

EXCHInstanceType r3.xlarge Tipo de instância doAmazon EC2 paraservidores multifunçãodo Exchange Server2013.

Endereço IP privado 1do Exchange Server 1

EXCH1PrivateIp 10.0.0.150 IP privado primáriodo primeiro ExchangeServer localizado nazona de disponibilidade1.

28

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Endereço IP privado 2do Exchange Server 1

EXCH1PrivateIp2 10.0.0.151 IP privado secundáriopara o primeiroExchange Serverlocalizado na zona dedisponibilidade 2.

Endereço IP privado 1do Exchange Server 2

EXCH2PrivateIp 10.0.64.150 IP privado primário dosegundo ExchangeServer localizado nazona de disponibilidade1.

Endereço IP privado 2do Exchange Server 2

EXCH2PrivateIp2 10.0.64.151 IP privado secundáriopara o segundoExchange Serverlocalizado na zona dedisponibilidade 2.

Tipo de instância doservidor de front-end doLync

LyncFEInstanceType m4.2xlarge Tipo de instância doAmazon EC2 para osservidores de front-end do Lync StandardEdition

Endereço IP privado doservidor de front-end doLync 1

FE1PrivateIp 10.0.0.160 IP privado primário doprimeiro servidor defront-end do Lync

Endereço IP privado doservidor de front-end doLync 2

FE2PrivateIp 10.0.64.160 IP privado primário dosegundo servidor defront-end do Lync.

Tipo de instância doservidor de borda doLync

LyncEdgeInstanceType m4.xlarge Tipo de instância doAmazon EC2 para osservidores de borda doLync.

Endereço IP privado doservidor de borda doLync 1

LE1PrivateIp 10.0.0.161 IP privado primário doprimeiro servidor deborda do Lync

Endereço IP público doservidor de borda doLync 1

LE1PublicIp 10.0.32.161 IP de sub-rede públicapara o primeiro servidorde borda do Lync

Endereço IP privado doservidor de borda doLync 2

LE2PrivateIp 10.0.64.161 IP privado primário dosegundo servidor deborda do Lync.

Endereço IP público doservidor de borda doLync 2

LE2PublicIp 10.0.96.161 IP de sub-rede públicapara o segundo servidorde borda do Lync

Tipo de instância do nóWSFC 1

WSFCNode1InstanceTyper3.2xlarge Tipo de instânciado Amazon EC2 doprimeiro nó WSFC.

29

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Nome NetBIOS do nóWSFC 1

WSFCNode1NetBIOSNameWSFCNode1 Nome NetBIOS doprimeiro nó WSFC (até15 caracteres).

Endereço IP privado donó WSFC 1

WSFCNode1PrivateIP1 10.0.0.100 IP privado primáriodo primeiro nó WSFClocalizado na zona dedisponibilidade 1.

Endereço IP privado 2do nó WSFC 1

WSFCNode1PrivateIP2 10.0.0.101 IP privado secundáriodo cluster WSFC noprimeiro nó WSFC.

Endereço IP privado 3do nó WSFC 1

WSFCNode1PrivateIP3 10.0.0.102 Terceiro IP privadopara o ouvinte do grupode disponibilidade noprimeiro nó WSFC.

Tipo de instância do nóWSFC 2

WSFCNode2InstanceTyper3.2xlarge Tipo de instânciado Amazon EC2 dosegundo nó WSFC.

Nome NetBIOS do nóWSFC 2

WSFCNode2NetBIOSNameWSFCNode2 Nome NetBIOS dosegundo nó WSFC (até15 caracteres).

Endereço IP privado 1do nó WSFC 2

WSFCNode2PrivateIP1 10.0.64.100 IP privado primário dosegundo nó WSFClocalizado na zona dedisponibilidade 1.

Endereço IP privado 2do nó WSFC 2

WSFCNode2PrivateIP2 10.0.64.101 IP privado secundáriopara o cluster WSFC nosegundo nó WSFC.

Endereço IP privado 3do nó WSFC 2

WSFCNode2PrivateIP3 10.0.64.102 Terceiro IP privadopara o ouvinte do grupode disponibilidade nosegundo nó WSFC.

Tipo de instância doSharePoint Server

SPInstanceType c4.2xlarge Tipo de instância doAmazon EC2 dosservidores de front-endda Web do SharePoint.

Tipo de instância doOffice Online Server

OOSInstanceType m4.xlarge Tipo de instância doAmazon EC2 para asinstâncias do OfficeOnline Server.

30

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Configuração de ELB ELBConfiguration external Como configurar o loadbalancer do ELB. Asopções são external ouinternal. Para obter maisinformações, consultea seção sobre farms doSharePoint de Intranetno Guia de implantaçãodo Quick Start paraSharePoint Server.

Tipo de instância deservidor de WAP e doADFS

WAPADFSInstanceType c4.2xlarge Tipo de instância doAmazon EC2 para osservidores de Proxy deaplicativo web (WAP)e do Active DirectoryFederation Services (ADFS).

Parâmetros de configuração do Microsoft Active Directory:

Rótulo do parâmetro Nome do parâmetro Padrão Description

Nome DNS de domínio DomainDNSName example.com Nome de domíniototalmente qualificado(FQDN) do domínio raizda floresta.

Nome NetBIOS dedomínio

DomainNetBIOSName exemplo O Nome NetBIOSde domínio (até 15caracteres), parausuários de versõesanteriores do Windows.

Modo de restauração desenha

RestoreModePassword Requer entrada Senha para uma contade administradorseparada quando ocontrolador de domínioestá no modo derestauração. Estasenha deve atender aosrequisitos padrão decomplexidade de senhada Microsoft.

Nome de usuárioadministrador dodomínio

DomainAdminUser StackAdmin Nome de usuárioda conta que seráadicionada comoadministrador dedomínio. Isto éseparado da conta“Administrador” padrão.

Senha do administradorde domínio

DomainAdminPassword Requer entrada Senha para o usuárioadministrador dedomínio. Esta senha

31

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

deve atender aosrequisitos padrão decomplexidade de senhada Microsoft.

Parâmetros de configuração do Microsoft SQL Server:

Rótulo do parâmetro Nome do parâmetro Padrão Description

Versão SQLServerVersion 2014 A versão do SQL Serverpara instalar em nósWSFC. As versõescompatíveis são 2012 e2014.

Nome da conta deserviço

SQLServiceAccount sqlsa Nome do usuário para aconta de serviço do SQLServer. Essa conta é umusuário de domínio.

Senha da conta deserviço

SQLServiceAccountPasswordRequer entrada Senha para a conta deserviço do SQL. Estasenha deve atender aosrequisitos padrão decomplexidade de senhada Microsoft

Parâmetros de configuração do Microsoft SharePoint:

Rótulo do parâmetro Nome do parâmetro Padrão Description

URI do arquivo deimagem ISO da mídiade instalação

SPISOImageURI Requer entrada O URI do Amazon S3para o bucket do S3que contém o arquivode imagem ISO paraa mídia de instalaçãodo SharePoint Server2016. Você tambémpode especificar umURI HTTP/HTTPS(por exemplo, https://example.com/microsoft/sharepoint/installation-media.img), masrecomendamos o usode um bucket do S3para obter o melhordesempenho.

Chave de Produto SPKey Chave de avaliação A chave de avaliaçãopara o SharePointServer 2016 é fornecidapor padrão, mas épossível substituí-la com

32

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

a sua própria chave doproduto.

Topologia de farm SPTopology traditional A topologia parao server farm doSharePoint para aimplantação. As duasopções são traditionale streamlined. Paraobter mais informações,consulte a seção sobrepersonalização da suatopologia no Guia deimplantação do QuickStart para SharePointServer.

Nome da conta de farm SPFarmAccount spfarm Nome do usuário para aconta do server farm doSharePoint.

Senha da conta de farm SPFarmAccountPassword Requer entrada Senha para a conta defarm do SharePoint.Esta senha deveatender aos requisitospadrão de complexidadede senha da Microsoft.

Incluir Office OnlineServers

IncludeOfficeOnlineServer false Defina como true paraincluir um Office OnlineServer em cada zonade disponibilidade. Paraobter mais informações,consulte a seção sobreServidores online doOffice no Guia deimplantação do QuickStart para SharePointServer.

Parâmetros de configuração do Microsoft Lync:

Rótulo do parâmetro Nome do parâmetro Padrão Description

URI do arquivo deimagem ISO da mídiade instalação

LyncISOImageURI Requer entrada URI do Amazon S3para o bucket do S3que contém o arquivode imagem ISO paraa mídia de instalaçãodo Lync Server 2016Você também podeespecificar um URIHTTP/HTTPS (porexemplo, https://example.com/microsoft/lync/installation-media.img), mas

33

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

recomendamos usar umbucket do S3 para obtero melhor desempenho.

Incluir servidores deborda do Lync

IncludeLyncEdge false Defina esse parâmetrocomo true para incluirservidores de bordado Lync nas sub-redespúblicas.

Parâmetros de configuração do Microsoft Exchange:

Rótulo do parâmetro Nome do parâmetro Padrão Description

Incluir servidores detransporte de borda doExchange

IncludeEdge false Defina esse parâmetrocomo true para incluirservidores de transportede borda do Exchangenas sub-redes públicas.

34

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Redes e segurança

Apêndice B: Melhores práticasRedes e segurança

Os componentes de rede e de segurança da arquitetura do Quick Start e as considerações chave incluem:

• Amazon VPC• Security groups e listas de controle de acesso (ACLs)• VPC Flow Logs• Administração remota• Princípio do privilégio mínimo

Esses são discutidos nas seções a seguir.

Amazon VPCA Amazon VPC permite que a TI configure intervalos de IP, sub-redes públicas/privadas, tabelas de rotase gateways de Internet ou gateways privados virtuais. O cliente tem controle total sobre seu ambientede rede virtual, incluindo a seleção do seu próprio intervalo de endereços IP, a criação de sub-redes e aconfiguração de tabelas de rotas e gateways de rede.

Os clientes podem personalizar facilmente a configuração de suas Amazon VPCs. Por exemplo, elespodem criar uma sub-rede voltada para o público para seus servidores web que tenham acesso à Internete colocar seus sistemas back-end, como bancos de dados ou servidores de aplicativos, em uma sub-redede uso privado sem acesso à Internet. Eles podem utilizar várias camadas de segurança, incluindo securitygroups e listas de controle de acesso (ACLs) de rede, para ajudar a controlar o acesso às instâncias doAmazon EC2 em cada sub-rede.

Além disso, os clientes podem criar uma conexão VPN de hardware entre seu datacenter corporativo e aAmazon VPC e utilizar a Nuvem AWS como uma extensão de seu datacenter corporativo.

Security groups e ACLs de redeHá dois recursos que você pode usar para aumentar a segurança da Amazon VPC:

• Os security groups, que funcionam como um firewall para as instâncias do Amazon EC2 associadascontrolando o tráfego de entrada e de saída em nível de instância.

• As ACLs de rede, que funcionam como um firewall para sub-redes associadas controlando o tráfego deentrada e de saída em nível de sub-rede.

Ao executar uma instância em uma VPC, você pode associar um ou mais security groups criados porvocê. Cada instância na VPC pode pertencer a um conjunto diferente de security groups. Se você nãoespecificar um security group ao executar uma instância, ela pertencerá automaticamente ao securitygroup padrão da VPC. Para obter mais informações sobre security groups, consulte a seção SecurityGroups para a VPC no Guia do usuário da Amazon VPC.

Você pode proteger as instâncias da VPC usando somente security groups ou adicionar ACLs de redecomo uma segunda camada de defesa. Para obter mais informações sobre ACLs de rede, consulte aseção ACLs de rede no Guia do usuário da Amazon VPC.

35

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

VPC Flow Logs

Você pode usar o AWS Identity and Access Management (IAM) para controlar quem em sua organizaçãotem permissão para criar e gerenciar security groups e ACLs de rede. Por exemplo, você pode concederessa permissão aos administradores de rede, mas não ao pessoal que precisa apenas executar instâncias.Para obter mais informações, consulte a seção Controlar o acesso aos recursos da VPC no Guia dousuário da Amazon VPC. Os security groups da Amazon e as ACLs de rede não filtram o tráfego entreendereços de link-local (por exemplo, 169.254.0.0/16) ou endereços reservados da AWS (os primeirosquatro endereços IP e o último em cada sub-rede). Esses endereços oferecem suporte aos seguintesserviços: Domain Name System (DNS), protocolo DHCP, metadados da instância do Amazon EC2,AWS Key Management Service (AWS KMS) para gerenciamento de licenças de instâncias do Windowse roteamento na sub-rede. Você pode implementar soluções de firewall adicionais nas instâncias parabloquear a comunicação da rede com endereços de links-locais.

Esta tabela resume as diferenças básicas entre security groups e ACLs de rede:

Grupo de segurança Conexão ACL

Opera em nível de instância (primeira camada dedefesa)

Opera em nível de sub-rede (segunda camada dedefesa)

Comporta apenas regras de permissão Comporta regras de permissão e negação

É stateful: o tráfego de retorno é permitidoautomaticamente, seja qual for a regra

É stateless: o tráfego de deve ser permitidoexplicitamente pelas regras

Avalia todas as regras antes de decidir se devepermitir o tráfego

Processa as regras em ordem numérica ao decidirse deve permitir o tráfego

Aplica-se a uma instância somente se alguémespecificar o security group ao executar umainstância ou associa posteriormente o securitygroup com a instância

Aplica-se automaticamente a todas as instânciasnas sub-redes às quais está associado (camadade backup de defesa para que os clientes nãoprecisem depender de alguém especificando osecurity group)

VPC Flow LogsO VPC Flow Logs é um recurso que possibilita que você capture informações sobre o tráfego de IP parae proveniente de interfaces de rede da VPC. Os dados de log de fluxo são armazenados por meio doAmazon CloudWatch Logs. Depois de criar um log de fluxo, você pode visualizar e recuperar seus dadosno CloudWatch Logs.

Os logs de fluxo podem ajudar em várias tarefas. Por exemplo, para entender por que um tráfegoespecífico não está chegando a uma instância, o que, por sua vez, pode ajudar a diagnosticar regras desecurity group extremamente restritivas. Além disso, você pode usar os logs de fluxo como ferramenta desegurança para monitorar o tráfego que está chegando à sua instância.

Administração remotaOs componentes da administração remota incluem:

• A Amazon VPC com ACLs de rede para provisionar uma seção privada e isolada da Nuvem AWS parainiciar os serviços.

• O Amazon EC2 para execução de instâncias de máquinas virtuais. Essa implantação usa o tipo deinstância m4.xlarge para instâncias de gateway de RD e o tipo de instância t2.small para instâncias deconversão de endereços de rede (NAT).

• Microsoft Windows Server 2012 R2.

36

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Administração remota

• O Gateway de área de trabalho (RD Gateway) que usa RDP para administração remota do Windows.

Este Quick Start usa uma Imagem de máquina da Amazon (AMI) com configurações pré-definidas paraconfigurar a administração remota do Windows usando o protocolo RDP em sua conta da AWS emquestão de minutos. Você pode usar a implantação de avaliação por até 60 dias. Quando você estiverpronto para a produção ou se desejar personalizar a implantação, siga as instruções detalhadas no Guiade implantação do Quick Start para Gateway de área de trabalho remota.

Componentes da arquitetura

Por padrão, a arquitetura é implantada na região Oeste dos EUA (Oregon), mas você pode alterar a regiãode um Quick Start durante a inicialização. Para personalizar a configuração ou para implantar o gatewayde RD em uma Amazon VPC existente, consulte o Guia de implantação do Quick Start para Gateway deárea de trabalho remota.

Recursos

• Alta disponibilidade – cargas de trabalho críticas são implantadas em duas sub-redes da Amazon VPCprivada em zonas de disponibilidade separadas para garantir a alta disponibilidade.

• Segurança – componentes, como servidores da Web, servidores de aplicativos, servidores de bancode dados e controladores de domínio são colocados em camadas separadas para gerenciamento detráfego efetivo. Os servidores internos e outros servidores não voltados para a Internet são colocadosem sub-redes privadas para impedir acesso direto a essas instâncias na Internet.

• Administração remota – o gateway de RD usa RDP por HTTPS para estabelecer uma conexão segurae criptografada entre os usuários remotos e as instâncias do Amazon EC2 baseadas no Windowssem necessidade de configurar uma conexão VPN. Essa arquitetura ajuda a reduzir a superfície deataque em suas instâncias baseadas no Windows ao mesmo tempo em que fornecem uma solução deadministração remota. Para obter informações sobre como configurar o RDP por HTTPS, consulte oGuia de implantação do Quick Start para Gateway de área de trabalho remota.

Os usuários e administradores podem se conectar a partir de uma instalação no local por meio de umaVPN e/ou rede privada dedicada usando a arquitetura mostrada na Figura 7.

37

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Princípio do privilégio mínimo

Figura 7: Arquitetura de administração remota na AWS

Princípio do privilégio mínimoAo criar políticas do AWS IAM, siga as dicas de segurança padrão de concessão de privilégio mínimo— ou seja, conceda apenas as permissões necessárias para executar uma tarefa. Essencialmente,determine o que os usuários precisam fazer e, em seguida, crie políticas para eles que permitam queexecutem apenas aquelas tarefas. É mais seguro começar com um conjunto mínimo de permissões econceder permissões adicionais conforme necessário, em vez de começar com permissões que sejam

38

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Considerações sobre a arquitetura do Windows na AWS

muito brandas e tentar reforçá-las mais tarde. A definição do conjunto certo de permissões requer algumapesquisa para determinar o que é necessário para a tarefa específica, quais ações têm suporte de umserviço específico e quais permissões são necessárias para executar essas ações.

Considerações sobre a arquitetura do Windows naAWS

As principais considerações de arquitetura incluem o seguinte:

• Regiões e Zonas de disponibilidade• Instalar cargas de trabalho críticas em pelo menos duas zonas de disponibilidade• Colocar servidores de aplicativos em sub-redes privadas

Regiões e Zonas de disponibilidadeOs datacenters da AWS são criados em clusters em várias regiões globais da AWS. Você pode decidirqual(is) região(ões) da AWS abriga(m) seus dados e por quanto tempo os dados permanecem ali. A AWSfornece a flexibilidade de colocar instâncias e armazenar dados em várias regiões geográficas, bem comoem zonas de disponibilidade dentro de cada região.

Os produtos e serviços da AWS que estão disponíveis em cada região estão listados na Tabela de regiõesno site da AWS.

Cada região da AWS contém vários locais distintos chamados de zonas de disponibilidade. Cada zonade disponibilidade é desenvolvida para ser isolada de falhas em outras zonas de disponibilidade epara fornecer uma rede de conectividade acessível e de baixa latência para outras zonas da mesmaregião. Com a execução de instâncias em zonas de disponibilidade separadas, você pode proteger seusaplicativos contra falhas de um único local.

Para obter uma lista de regiões e zonas de disponibilidade da AWS, consulte a Infraestrutura global daAWS no site da AWS.

Instalar cargas de trabalho críticas em pelo menosduas zonas de disponibilidadeEste Quick Start implanta cargas de trabalho críticas em duas ou mais sub-redes da Amazon VPCprivada em zonas de disponibilidade separadas para garantir a alta disponibilidade. Embora as zonasde disponibilidade forneçam contratos de nível de serviço (SLAs) para o Amazon EC2, o Amazon S3,o Amazon CloudFront, o Amazon Route 53 e o Amazon Relational Database Service (Amazon RDS) eofereçam suporte a uma arquitetura redundante para serviços essenciais por zona de disponibilidade, oprojeto de várias zonas de disponibilidade garante que a interrupção de uma única zona de disponibilidadenão afete as cargas de trabalho de produção. Como as zonas de disponibilidade oferecem latência de umúnico milissegundo entre si, elas permitem arquiteturas de aplicativos que assumem um único local físico.

Atualmente, a AWS fornece SLAs para vários produtos. Devido à natureza de rápida evolução das ofertasde produtos da AWS, recomendamos que você examine os SLAs no site da AWS; por exemplo, em http://aws.amazon.com/ec2-sla/ para o Amazon EC2.

39

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Colocar servidores de aplicativos em sub-redes privadas

Colocar servidores de aplicativos em sub-redesprivadasA partir da perspectiva de um aplicativo, as zonas de disponibilidade são transparentes. O aplicativoprecisará conhecer apenas as sub-redes. Na Amazon VPC, as sub-redes podem se estender por váriaszonas de disponibilidade. A colocação de servidores de aplicativos em sub-redes privadas fornece doisbenefícios:

• Juntar as definições de sub-rede para diferentes zonas de disponibilidade aumenta a disponibilidade.• O uso de sub-redes privadas garante que os servidores de aplicativos e os dados possam ser

acessados apenas por meio de regras do firewall do security group e pelas ACLs de rede que gerenciama entrada/saída em um nível de sub-rede.

Implantações híbridas do Active DirectoryA Figura 8 fornece um exemplo do uso de uma Amazon VPC e de um gateway privado virtual para permitira comunicação com sua própria rede por meio de um túnel VPN IPsec. O Active Directory é implantadono datacenter do cliente, e as instâncias do Windows Server são implantadas em duas sub-redes daAmazon VPC. Após a implantação da conexão VPN, você pode promover as instâncias do Windows paracontroladores de domínio na floresta do Active Directory no local, tornando o Active Directory DomainServices altamente disponível na Nuvem AWS.

40

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápidoImplantações híbridas do Active Directory

Figura 8: Arquitetura de referência para uma Amazon VPC estendida para uma rede no local

Após a implantação da conexão VPN e da promoção dos servidores para controladores de domínio, vocêpode executar instâncias adicionais para as camadas das sub-redes da Amazon VPC vazia na web,do aplicativo ou do banco de dados. Essas instâncias precisarão acessar os controladores do domíniobaseados na nuvem para serviços de diretório seguros de baixa latência e para o DNS. Todo o tráfego derede, inclusive a comunicação do Active Directory Domain Services, as solicitações de autenticação e areplicação do Active Directory, é garantido dentro das sub-redes privadas ou no túnel VPN.

Para obter informações detalhadas sobre como estender o AD DS no local para a Nuvem AWS, consulte oGuia de implantação do Quick Start para AD DS.

41

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Gerenciar e monitorar instâncias e aplicativos do Windows

Gerenciar e monitorar instâncias e aplicativos doWindows

O Amazon CloudWatch monitorará as instâncias em tempo real com alarmes padrão e personalizadossobre eventos. O monitoramento padrão inclui a captura e a configuração de regras em torno de métricase contadores de desempenho, como utilização de CPU, operações de leitura/gravação de disco, byteslidos/gravados, verificações de status, entrada/saída de rede etc. Além disso, você pode exportar todas asmensagens do Windows Server nos logs do sistema, de segurança, de aplicativo e do Internet InformationServices (IIS) para o CloudWatch Logs e monitorá-los usando as métricas do Amazon CloudWatch. OEC2Config adiciona a capacidade de exportar todos os dados dos logs de eventos, do Rastreamento deEventos (Windows) ou de arquivos de log baseados em texto para o CloudWatch Logs. Além disso, vocêtambém pode exportar dados do contador de desempenho para o Amazon CloudWatch. Para gerenciar oscontadores de desempenho e os logs para várias instâncias, você pode usar o Simple Systems Manager(SSM) do Amazon EC2.

Gerenciar aplicativos no Systems Center OperationsManagerAlém de gerenciar a AWS e as métricas do sistema operacional, é uma prática recomendada executar oSystems Center Operations Manager (SCOM) com os Pacotes de gerenciamento liberados pela Microsoft.O SCOM oferece uma plataforma de gerenciamento para monitorar e agir sobre eventos de servidores. AMicrosoft liberou os Pacotes de gerenciamento do SCOM para os servidores e tecnologias implantadospor este Quick Start. Esses pacotes de gerenciamento são úteis em um ambiente físico ou virtual e sãoprojetados para fornecer orientação no nível de aplicativos, acima e além da camada da infraestrutura.

42

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Enviar comentáriosVisite nosso Repositório do GitHub para fazer download dos modelos e scripts deste Quick Start, postarcomentários e compartilhar suas personalizações com outras pessoas.

43

Servidores da Microsoft na AWS Guia deimplantação de referência do Início rápido

Revisões do documentoData Alteração Local

Novembro de 2016 Suporte adicionado para Proxyde aplicativo web e AD FS

Alterações e atualizações demodelos em todo o guia

Junho de 2016 Publicação inicial –

AvisosEste guia de implantação é fornecido apenas para fins informativos. Ele relaciona as atuais ofertasde produtos e práticas da AWS a contar da data de emissão deste documento, que estão sujeitas aalterações sem aviso prévio. Os clientes são responsáveis por fazer sua própria avaliação independentedas informações neste documento e de qualquer uso dos produtos ou serviços da AWS, cada um dosquais é fornecido "como está", sem garantia de qualquer tipo, expressa ou implícita. Este documento nãocria quaisquer garantias, representações, compromissos contratuais, condições ou seguros da AWS, suasafiliadas, fornecedores ou licenciadores. As responsabilidades e as obrigações da AWS com os seusclientes são controladas por contratos da AWS, e este documento não é parte, nem modifica, qualquercontrato entre a AWS e seus clientes.

O software incluído neste documento é licenciado de acordo com a Licença Apache, versão 2.0 (a"Licença"). Este arquivo não deve ser usado, exceto em conformidade com a licença. Uma cópiada licença pode ser encontrada em http://aws.amazon.com/apache2.0/ ou no arquivo "licença" queacompanha este arquivo. Esse código é distribuído "NO ESTADO EM QUE SE ENCONTRA", SEMGARANTIAS OU CONDIÇÕES DE QUALQUER TIPO, seja expressa ou implícita. Consulte a licença paraconhecer as permissões e limitações específicas do idioma na licença.

44