Month: June 2011

Ferramenta para simular storage

Pessoal achei uma ferramenta interessante para simular uma storage iSCSI, é muito bom para fazer testes com cluster, o nome da ferramenta é starwind.

Segue o link para fazer o download:

http://www.starwindsoftware.com/Free-Trial?_kk=starwind%20iscsi&_kt=bf138782-be32-4f75-a03d-31b07c7fbb44&gclid=CKrI7PHimZ4CFRCdnAodNXLrlA

Share

Post to Twitter

NAP No Windows Server 2008

O windows Server 2008 tem uma role muito útil para ajudar a segurança da saúde (health) das maquinas no domínio, trata-se do Network Access Protection (NAP).

O NAP ajuda a garantir a saúde da rede verificando se as maquinas estão em conformidade com as politicas de saúde definidas pelo administrador. Antes de uma maquina ter acesso a rede, o NAP verifica se a maquina está em conformidade com as politicas, se sim, a maquina poderá então ter acesso a rede, caso contrario a maquina não terá acesso a rede, podendo ser encaminhada para uma rede separada chamada de rede de remediação. Essa rede de remediação é de grande utilidade pois podemos configura-lá para que ela atualize as maquinas que não estão em conformidade com a politica para serem maquinas saudáveis e assim ter acesso a rede. Vamos a um exemplo simples para entendermos como funciona o NAP:

  1. Suponha que configuramos a politica do NAP negar acesso a rede para maquinas que estão com o firewall desativado, e para enviar as maquinas que não estão em conformidade para a rede de remediação para fazer a atualização.
  2. Uma maquina com o firewall habilitado terá acesso a rede sem problemas já que está em conformidade com a politica NAP, se a maquina estiver com o firewall desabilitado ela não terá acesso a rede, ao invés disso ela será encaminhada para a rede de remediação para fazer as atualizações necessárias conforme a politica do NAP, que nesse caso é ter o firewall habilitado, então essa maquina terá automaticamente e sem intervenção do usuário o seu firewall habilitado, tendo assim acesso a rede.

Note que através desse exemplo simples podemos ver a utilidade do NAP no nosso dia a dia e isso pode ser usado para outras aplicações, a microsoft tem vários parceiros que suportam o NAP.

Resumo: Nesse artigo descrevi resumidamente os benefícios da implementação do NAP na rede, segue o link para que se interessar nessa solução lá tem uma documentação mais profunda de como funciona o NAP.

Share

Post to Twitter

Habilitando a console do Schema no Windows Server 2003

Tenho recebido muitas perguntas de como transferir a FSMOS do schema master para outro servidor se não tem o console do schema no Windows Server 2003.

Não é que não tenha essa console, é que por padrão e por motivos de segurança ela vem desabilitada, podendo ser habilitada simplemente registrando a dll em questão.

Para registras essa dll segue abaixo o passo a passo:

  1. Vá em iniciar, executar
  2. digite regsvr32 schmmgmt.dll, e pronto já esta registrada a dll
  3. abra o mmc, arquivos, add e remover snap-in, add
  4. Na lista selecione Active Directory Schema, essa é a console de gerenciamento do Schema do Active Directory, onde podemos fazer a tranferecia de role para outro servidor
Share

Post to Twitter

AD RMS No Windows Server 2008

O Active Directory Rights Management Services (AD RMS) é uma nova role incluida no Windows Server 2008. Em versões anteriores erá conhecido como RMS, onde você poderia baixar do site da microsoft e integrar-lo no seu ambiente. Agora ele já é nativo do Windows Server 2008.

Antes de falarmos sobre o AD RMS vamos entender porque a microsoft desenvolveu essa ferramenta para ajudar na proteção de dados confidenciais.

Com o crescimento dos dispositivos de armazenamento (USB, Cartão de Memoria, etc), ficava claro que as permissões de segurança e de compartilhamento não era o suficiente para garantir a confidencialidade dos dados. Pois o que adiantava os dados seguro dentro de uma rede, se o usuario copiava os arquivos para um pen drive por exemplo e o abrisse em casa? Então se via cada vez mais a necessidade  de proteger os dados confidencias contra esse tipo de problema por exemplo.

Então o que a microsoft propoe com o AD RMS, a proteção do conteudo do arquivo e não so do arquivo em si. Temos varias opções para configurarmos as permissões de proteção do conteudo do arquivo, por exemplo podemos permitir que um usuário apenas tenha acesso a leitura do arquivo, e que não possa realizar a impressão do documento em questão, isso independente de onde o usuário esteja.

Ao usar o Active Directory Rights Management Services (AD RMS) e o cliente do AD RMS, você pode melhorar a estratégia de segurança de uma organização protegendo as informações por meio de diretivas de uso persistentes, que permanecem com as informações, independentemente do local para onde forem movidas.

Resumo: Nesse artigo descrevi resumidamente como funciona o AD RMS, abaixo segue um link para instalação do AD RMS.

http://technet.microsoft.com/pt-br/library/cc725699%28WS.10%29.aspx

Share

Post to Twitter

Windows PorwerShell 2.0 para Active Directory

Com o lançamento do Windows Server 2008 R2, veio o PowerShell 2.0. Uma ferramenta de linha de comando muito útil para automatizar muitas tarefas do dia dia.

Com versões anteriores do Windows PowerShell, não tínhamos suporte para o Active Directory, agora com a nova versão temos total suporte.

Windows PowerShell 2.0 é pré-instalado no Windows Server 2008 R2 e no Windows 7; deve estar disponível para Windows Server 2008, Windows Vista, Windows XP e Windows Server 2003 em breve.

O módulo do Active Directory traz 82 novos comandos para o shell, desde o mais simples como New-ADUser até o mais complexo, como instalação ADServiceAccount.

Todos os cmdlets têm um prefixo de “ AD ”, que executa duas funções importantes. Primeiro, ele ajuda a diferenciar os cmdlets de outros semelhantes — New-ADUser cria um novo usuário do AD, não um novo usuário local ou um novo usuário do SQL Server ou alguma outra coisa. Segundo, o prefixo ajuda você a localizar todos os cmdlets facilmente: Executar o Ajuda * –AD *e você receberá uma lista de todos os 82.

Aconselho a todos os administradores do AD a pesquisar, aprender e a utilizar essa poderosa ferramenta que a Microsoft disponibilizou para os administradores do AD para a automatização das tarefas diárias.

Share

Post to Twitter

Exportar e Comparar o esquema do Active Directory

Cada floresta do Active Directory possui seu próprio esquema, que define objetos e atributos que usa o serviço de diretório para armazenar dados. Quando as organizações têm várias florestas do Active Directory, os administradores de TI precisam gerenciar vários esquemas do Active Directory. É fundamental garantir a consistência entre esquemas durante o gerenciamento de várias florestas.

As organizações podem implantar mais florestas de Active Directory de produção para uma variedade de negócios ou motivos técnicos. Geralmente implementamos uma floresta e conforme a necessidade iremos implementando mais florestas.

Quando temos que gerenciar múltiplas florestas, temos que ficar atento nas modificações que foram feitas no esquema, seja por instalação de alguma ferramenta (por exemplo o Exchange que estendo o esquema do AD para suportar o Exchange), ou modificações que foram feitas manualmente.

Identificar essas alterações feitas no esquema do AD é de fundamental importância para o administrador de redes, lembrando aqui a importância da documentação do esquema do AD. Sabemos da importância do esquema do AD, que qualquer modificação feita incorretamente pode trazer sérios danos ao ambiente, inclusive sua paralisação, mesmo assim ainda pegamos casos de administradores de redes que fazem alterações no esquema sem antes testar em um ambiente de teste.

Lembrando da importância da documentação e de jamais fazer alterações no esquema sem antes testa-las em um ambiente de teste, vamos a algumas ferramentas que utilizamos para exportar, comparar e sincronizar o esquema do AD.

A ferramenta de linha de comando LDIFDE, fornecido com o Windows Server 2003 e Windows Server 2008, pode ser usada para exportar o esquema da floresta. Essa ferramenta cria um arquivo que está formatado com LDIF (LDAP Data Interchange Format).

Para exportar o esquema de floresta de origem, faça o seguinte:

  1. Fazer logon em um servidor membro ou um controlador de domínio.
  2. Abra uma janela de prompt de comando.
  3. Digite o seguinte na janela de prompt de comando:
ldifde -f PRODSchema.ldif -d CN=Schema,CN=Configuration,DC=WS08DOMAIN01,DC=local

Nesse comando, o parâmetro de PRODSchema.ldif -f informa LDIFDE para gravar a saída em um arquivo chamado PRODSchema.ldif. O -d CN = Schema, CN = Configuration, DC = WS03DOMAIN01, DC = local parâmetro informa o LDIFDE para usar a partição de esquema como a raiz da pesquisa LDAP. O controlador de domínio = WS08DOMAIN01, DC = parte local do comando deve ser substituído pelo nome distinto do domínio raiz da floresta.

O Windows Server 2008 inclui a ferramenta Analisador de esquema do AD DS/LDS quando a função de servidor de serviços do Active Directory Lightweight é instalada. Ele pode ser usado para comparar os esquemas de várias maneiras diferentes. Observe que essa ferramenta era anteriormente chamada o analisador de esquema do AD no Windows Server 2003. As etapas a comparação e a exportação, no entanto, podem também ser executadas usando a versão do Windows Server 2003 dessa ferramenta.

Para comparar os esquemas do Active Directory das florestas origem e de destino, faça o seguinte:

  1. Fazer logon no servidor membro ou um controlador de domínio que tem AD LDS instalado e pertence a um domínio na floresta de destino.
  2. Localize o arquivo ldif e copie no servidor.
  3. Vá para Iniciar, clique em Executar e digite o seguinte: C:WINDOWSADAMADSchemaAnalyzer.exe
  4. O análise de esquema do AD DS/LDS serão aberto.
  5. No menu arquivo da janela do analisador de esquema do AD DS/LDS, clique em esquema de destino.
  6. Na janela de esquema de destino de carga, clique no botão carregar LDIF.
  7. Navegue até o local do arquivo LDIF e clique em Abrir.
  8. O arquivo LDIF será importado para o analisador de esquema do AD DS/LDS.
  9. No menu Arquivo, clique em esquema.
  10. Na janela do esquema, insira um controlador de domínio para se conectar no servidor [: porta] campo, um nome de usuário, uma senha e um domínio.
  11. Clique em OK.
  12. Para filtrar os elementos não-presente, selecione Ocultar elementos presentes do menu de esquema. Os elementos ausentes serão listados sob o nó de atributos. Expanda o nó de atributos e os elementos presentes e não-presente (atributos e classes) serão listados, por padrão. Os atributos que são consistentes entre florestas exibido com uma marca de seleção na caixa ao lado o nome do elemento. Os elementos que existem na floresta de origem, mas estão faltando na floresta de destino aparecem com uma caixa vazia.
Share

Post to Twitter

Excluindo perfis de usuários com delprof.exe

Com o passar do tempo, os PCs de rede em sua organização pode se tornar congestionada com vários perfis de usuário, especialmente se eles estiver compartilhando computadores usados por muitas pessoas. Esses perfis e seus arquivos associados e documentos facilmente podem comer até uma parte maior de espaço em disco. Isso é especialmente verdade para contas que não estão mais ativas ou em uso. Para remover perfis locais inativos dos computadores em seu ambiente, a Microsoft oferece um utilitário que é parte do Windows Server 2003 Resource Kit.

Instale o utilitário de exclusão do perfil do usuário executando o arquivo delprof.msi do Windows Server 2003 Resource Kit. Nenhum atalho é criado. Em vez disso, você encontrará o programa instalado na pasta C:Program FilesWindows Resource KitsFerramentas. Três arquivos residem lá: delprof.exe (arquivo executável do programa), tooldownloadreadme.htm (documentação sobre como instalar e desinstalar o software) e delprof.mht (documentação sobre como executar o programa próprio).

Você pode iniciar o utilitário diretamente do seu executável no Windows ou a partir da linha de comando. Duas cliques no arquivo delprof.exe abre uma janela de console que pergunta se você deseja excluir todos os perfis inativos no PC. Esteja ciente de que se você responder sim, o utilitário irá remover todos os perfis inativos sem a necessidade confirmação para cada um. Obviamente, que pode ter conseqüências inesperadas. Executando o programa em uma linha de comando e usar opções específicas, por outro lado, pode ser a melhor opção, você detém maior controle.

Iniciar o utilitário pela linha de comando permite que você passe qualquer um dos seguintes parâmetros:

/ q — executa a ferramenta no modo silencioso para que você não seja solicitado a confirmar a exclusão de cada perfil.

/i — não informa-o de quaisquer erros que ocorram.

/p — Exibe uma mensagem solicitando que você a confirmar a exclusão de cada perfil.

/r — Remove somente perfis móveis armazenada em cache no PC.

nome /c:\computer — permite que você inicie a ferramenta remotamente, especificando o nome de um PC na rede.

/d:days — permite que você especifique o número de dias após o qual a ferramenta considera os perfis inativo e, portanto, exclui-lós.

Você pode exibir uma lista de todos os parâmetros digitando delprof /? no prompt de comando.

A ferramenta irá remover todos os diretórios e arquivos associados a um perfil específico, inclusive arquivos da área de trabalho, arquivos específicos ao programa ícones e configurações, favoritos do Internet Explorer, arquivos armazenados no diretório My Documents e o diretório de dados de aplicativos. Desde que o programa é executado em uma janela de console, os arquivos excluídos não são armazenados na Lixeira. Depois de removido, os arquivos não podem ser restaurado, exceto por um utilitário de recuperação de terceiros.

Você pode executar o utilitário de exclusão do perfil do usuário no Windows 2000, Windows XP e Windows 2003 Server.

Share

Post to Twitter

Microsoft Baseline Security Analyzer 2.1

A Microsoft disponibiliza uma ferramenta para ajudar administradores de redes a encontrar falhas e vulnerabilidade no ambiente, essa ferramenta é o Microsoft Baseline Security Analyzer (MBSA).

Essa ferramenta é muito útil para administradores de redes que não tem muita experiência no que se refere à segurança do ambiente, ela ajuda a encontrar falhas e vulnerabilidades no ambiente, por exemplo, uma vulnerabilidade de senhas fracas.

Ela também nos avisa se alguma atualização ou patch não esta instalada no servidor, sabemos da importância de manter o servidor sempre atualizado.

Trata-se de uma ferramenta gratuita, que podemos baixar do site de downloads da Microsoft.

A ferramenta é bem intuitiva, de fácil uso, onde digitamos o endereço IP ou nome da maquina que queremos escanear para encontrar as vulnerabilidades, no menu de verificação do MBSA, você pode escolher verificar alguns ou todas as seguintes vulnerabilidade:

Vulnerabilidade administrativa do Windows O MBSA verificapara Windows problemas relacionados à conta, como uma conta de convidado aberta ou muitas contas administrativas. Também examina o número de compartilhamentos de arquivo e sistema de arquivos do computador para certificar-se que você esteja usando o NTFS em vez de FAT para maior segurança.

Senhas fracasMBSA procuram senhas em branco ou fracas em todas as contas.

Vulnerabilidades administrativas do IISPara computadores executando o IIS 5.0 ou 6.0, o MBSA verifica para certificar-se de que todas as opções de segurança padrão necessárias e os hotfixes foram executados. A ferramenta não oferece suporte a IIS7.

Vulnerabilidades administrativas do SQL ServerO MBSA verifica para quaisquer versões do SQL Server ou Microsoft Data Engine (MSDE) na máquina, observando o modo de autenticação para ver se você esta usando autenticação do SQL ou modo misto (autenticação do Windows e SQL). Ele também verifica o status da senha de conta do administrador de sistema.

Atualizações de segurançaO MBSA verifica o status de todas as atualizações de segurança para determinar se esta faltando alguma. Você também pode usar esta opção para instalar o Microsoft Update em um cliente.

Após selecionar as opções desejadas e computadores, começa a verificação, normalmente leva vários minutos para ser executado. O MBSA, em seguida, gera um relatório completo na tela, exibindo os resultados da verificação item por item, como. O relatório agrupa suas descobertas em categorias correspondentes, opções no menu de verificação, como vulnerabilidades administrativas, atualizações de status e de segurança do SQL Server.

Recomendo todos os administradores que não tem certeza da segurança do seu ambiente a usar essa ferramenta, ela pode ser muito útil para manter seu ambiente seguro, e o melhor ela é FREE J.

Segue abaixo o link para download da ferramenta:

http://www.microsoft.com/downloads/details.aspx?familyid=B1E76BBE-71DF-41E8-8B52-C871D012BA78&displaylang=en

Share

Post to Twitter

Usando o Microsoft Assessment and Planning (MAP) Toolkit 4.0 para ambientes com Windows 7 e Windows Server 2008 R2

Quem nunca enfrentou o problema de planejamento do ambiente de infra-estrutura, tanto relacionado a hardware como relacionado a aplicativos, por exemplo, que hardware devo usar para meu S.O ou elaborar recomendações para consolidação de servidores usando o Hyper-V.

A Microsoft disponibiliza uma ferramenta gratuita para nos ajudar com esses problemas encontrados no dia a dia, se trata da ferramenta Microsoft Assessment and Planning (MAP).

A nova versão da ferramenta MAP 4.0 inclui novas funcionalidades para preparação de ambientes com Windows 7 e Windows Server 2008 R2. Um mecanismo aprimorado de coletas de métricas e novas definições que ajudam a personalizar sua iniciativa planejamento de virtualização de servidores.

A fim de auxiliar no planejamento da migração de computadores existentes baseados no Windows para o Windows 7, o MAP fornece um cenário de preparação para ajudar a avaliar quais computadores têm capacidade para executar o Windows 7. Depois de concluir a verificação do ambiente, o MAP examina os computadores que executam versões anteriores do Windows, como o Windows XP e o Windows Vista, e compara os atributos de velocidade da CPU, memória e espaço em disco disponível com os requisitos do sistema mínimos e recomendados. Quando um computador não atende a um requisito específico, como o de memória instalada, o MAP fornece uma recomendação específica, que indica a ação necessária para que o computador atinja o nível recomendado.
Ao concluir a avaliação, os resultados aparecem no console do MAP. Para o Windows 7, o MAP exibe os quatro tipos de resultados a seguir em seções separadas:

  • Inventory Summary
  • Before Hardware Upgrades
  • After Hardware Upgrades
  • Device Compatibility Summary

A seção Inventory Summary indica o êxito do inventário do MAP. São mostradas as contagens de computadores que executam sistemas operacionais cliente ou servidor, além das contagens daqueles que não tiveram dados suficientes coletados para a determinação.

A seção Before Hardware Upgrades exibe os resultados de preparação para o Windows 7 do ambiente, conforme inventariado. Os computadores considerados prontos para o Windows 7 são aqueles que atendem ou excedem os requisitos mínimos de hardware de CPU, memória e espaço em disco disponível. Os computadores identificados como não prontos para o Windows 7 não atendem aos requisitos mínimos do sistema, mas podem alcançar os níveis mínimos aumentando a memória instalada ou o espaço em disco disponível. Normalmente, a CPU de um computador identificado como “Cannot Run Windows 7″ não possui capacidade para executar o sistema operacional. “Insufficient Data” indica que um computador não foi encontrado ou não pôde ser inventariado. A planilha de Avaliação do Cliente no relatório detalhado de avaliação do Windows 7 fornece informações de preparação de cada computador, inclusive se o computador foi inventariado com êxito, informações básicas de hardware, o nível de preparação atual para o Windows 7 (mínimo, recomendado), informações detalhadas de atualização de hardware, caso seja necessária uma atualização, e todos os problemas de compatibilidade de dispositivos identificados para o computador.

A seção After Hardware Upgrades exibe a preparação do seu ambiente para o Windows 7, se todas as atualizações de hardware recomendadas fornecidas no relatório detalhado de avaliação foram implementadas.

O resumo de compatibilidade de dispositivos mostra os resultados da análise de dispositivos de hardware. Cada dispositivo descoberto, como uma impressora ou um disco rígido externo, é analisado para determinar se um driver do dispositivo é fornecido no DVD do Windows 7, se está disponível por meio do Microsoft Update, se está disponível no site do fabricante do dispositivo ou se exige que você entre em contato com o fabricante do dispositivo a fim de definir a compatibilidade. Os números deste resumo permitem estimar os problemas de compatibilidade que podem aparecer nas suas iniciativas de migração.
As informações de compatibilidade de drivers de dispositivos usadas pelo MAP são atualizadas com freqüência. Use o recurso Verificar Atualizações disponível na guia Material de Referência periodicamente para assegurar que sua avaliação esteja usando as informações mais atuais.

Vale à pena a utilização dessa ferramenta para verificar se seu atual park de maquinas está de acordo para fazer a migração para Windows 7 ou Windows Server 2008 R2.

Share

Post to Twitter

GPOs através de links lentos

Um dos grandes problemas que temos em relação as filiais é justamente a parte de link, seja por falta de orçamento por indisponibilidade de links mais rápidos para determinadas regiões. O certo é que temos que de alguma forma contornar esse problema.

Quando falamos em diretivas de segurança (GPOs) entre filiais devemos nos atentar a velocidade do link. Pegamos muitos problemas com administradores de redes informando que usuários das filiais não pegam as diretivas, isso se deve ao fato do serviço de diretório do Windows (AD) ter habilitado por padrão uma política que diz que se o link for menor que 500 kbps, esse link será considerado como link lento sendo assim a policy não será aplicada.

Essa policy padrão é configurada dessa maneira para que o link não fique sobrecarregado, carregando as policies ao invés por exemplo um sistema erp.

Mas podemos contornar esse problema configurando essa policy para um valor maior por exemplo 900 kbps ou simplesmente deixando o valor como 0, com o valor configurado para 0 significa que a policy será aplicada independente da velocidade do link.

Segue abaixo o caminho para configuração dessa policy:

Configuração do computador > Modelos Administrativos > Sistema > Diretiva de grupo > Detecção de vinculo lento de diretiva de grupo.

Share

Post to Twitter