Arquivo

Archive for the ‘Windows Server 2012/R2’ Category

Automatic Site Coverage – Mistério sobre registro DNS divergentes em sites sem DC ou com RODC

maio 9, 2015 Comentários desligados

Olá pessoALL,

Neste post eu vou relatar um problema que na medida que alguns IT-Pros adotam o uso de RODCs em sites com pouca segurança podem encontrar no processo de autenticação e até mesmo o comportamento padrão ao criarem um site no Active Directory Sites and Services em um Domain Controller associado.

Antes de mais nada, vamos começar falando sobre um recurso nativo de Domain Controllers chamado Automatic Site Coverage.

Para entender no final o que de fato ocorreu nas situações informadas aqui é primordial que o IT-Pro responsável pelo gerenciamento de Directory Services entende literalmente o que é o Automatic Site Coverage.

De forma clara e objetiva, o recurso Automatic Site Coverage tem o objetivo de garantir que clientes possam localizar um Domain Controller o mais próximo possível de sua localidade para estabelecer seu processo de autenticação.

Mas como este recurso funciona? Vamos usar o cenário de sites abaixo para entender este funcionamento e resultado.

Leia mais…

Anúncios

Active Directory Recycle Bin – Entendendo e usando este recurso

agosto 31, 2014 Comentários desligados

Olá pessoALL,

Hoje eu vou falar sobre um assunto que não é algo tão novo assim, mas cujo o conceito em segundo plano muitas vezes não é de conhecimento do profissional que opera um serviço de diretório. A lixeira do Active Directory.

A lixeira do Active Directory é um recurso introduzido a partir do Windows Server 2008 R2 que torna possível a recuperação de um ou mais objetos removidos no AD DS, seja intencional ou acidentalmente, sem a necessidade de se executar um backup autoritativo em DSRM.

A título de exemplo, no Windows Server 2003 e Windows Server 2008, caso fosse necessário recuperar um objeto deletado sem a necessidade de se utilizar uma recuperação autoritativa, você poderia utilizar o utilitário LDP para realizar o que nós chamados de Tombstone Reanimation, no entanto, este tipo de  ação seria interessante apenas em situações onde somente o SID do objeto é suficiente para a recuperação.

Este processo é composto do uso do utilitário LDP e da alteração de atributos do objeto deletado para que o mesmo seja restaurado em seu local de origem, no entanto, este processo não restaura todos os atributos de um objeto deletado como dito anteriormente.

Leia mais…

Active Directory – Monitorando o uso de um controlador de domínio antes de decomissioná-lo

julho 27, 2014 Comentários desligados

Olá pessoALL,

Hoje eu vou falar um pouco sobre um processo muito importante no ciclo de vida de um controlador de domínio. O seu decomissionamento.

Para quem não conhece o termo “decomissionar”, abaixo está uma breve explicação sobre o significado do termo comissionar:

Comissionar: Define-se como o conjunto de técnicas e procedimentos de engenharia aplicados de forma integrada a uma unidade ou planta industrial, visando torná-la operacional, dentro dos requisitos de desempenho especificados em projeto. Seu objetivo central é assegurar a transferência da unidade industrial do construtor para o operador de forma ordenada e segura, certificando a sua operabilidade em termos de segurança, desempenho, confiabilidade e rastreabilidade de informações.

Da mesma forma que em um processo de engenharia, comissionar um controlador de domínio significa seguir um conjunto de técnicas e procedimentos que garantem sua completa operabilidade ao ser colocado em ambiente de produção.

Sabendo o que significa o processo de comissionar, decomissionar um controlador de domínio significa seguir um conjunto de técnicas e procedimentos que garantem sua completa inoperabilidade ao ser retirado do ambiente de produção sem que nenhum impacto seja gerado.

Pode parecer trivial o processo, mas não se engane com esta falsa sensação de segurança, pois decomissionar um controlador de domínio requer muita atenção e um processo de avaliação para identificar se há ou não recursos utilizando-o.

Por experiência profissional, poucas pessoas possuem um processo de decomissionamento de controladores de domínio bem elaborado, seja por completo desconhecimento, seja por completa negligência, etc.

Leia mais…

Active Directory – Entendendo o conceito de Sites e qual a sua importância

julho 5, 2014 Comentários desligados

Olá pessoALL,

Hoje eu vou falar um pouco sobre um conceito que definitivamente é muito importante para quem trabalha com o gerenciamento de Directory Services e que precisa estar muito bem consolidado. O conceito de Sites do Active Directory e sua importância.

É comum encontrarmos em nosso dia a dia, uma infraestrutura de IT separada fisicamente, distribuída entre várias localizações e interconectadas por enlaces de comunicação dedicados.

Para quem trabalha com redes, o conceito de “site” representa uma localização física de sua infraestrutura ou pelo menos uma porção onde ela está localizada.

Podemos concordar que uma infraestrutura de rede é composta pela localização física de um site e os enlaces de comunicação que interconectam este site a todo o resto do mundo, aos outros sites que fazem parte da infraestrutura e que parte desta é composta por servidores que desempenham algum tipo de função.

Uma destas funções é Active Directory Domain Services. O AD DS é uma solução altamente utilizada por instituições de todos os tipos e em suas mais variadas formas.

Há instituições que possuem infraestruturas de AD DS centralizada, concentrando todo o seu serviço de diretório em um único site, independente se há outros sites remotamente que necessitam deste tipo de serviço.

Leia mais…

Active Directory – Entendendo o conceito de “Nested Groups” e boas práticas

junho 16, 2014 Comentários desligados

Olá pessoALL,

Vou escrever um pouco sobre um conceito que muitas vezes não é bem aplicado por não ser bem compreendido por quem administra uma infraestrutura de Directory Services. O conceito de “Nested Groups” e a sua utilização como boa prática de gerenciamento de grupos.

Antes de implementar uma infraestrutura de grupos em sua infraestrutura de Directory Service, você deve ter em mente os conceitos, diferenças entre cada tipo de grupo disponível, escopo, convenção de nomes, etc. que podem ser criados para que o gerenciamento destes objetos se torne fácil e a identidade de cada grupo lhe permita saber qual é a sua finalidade.

Um exemplo prático de uso e também de problemas que você pode encontrar em seu dia a dia é um uso de contas de usuários VS grupos de acesso para informar quem pode acessar determinado recurso em sua rede ou não.

Imagine a seguinte situação:

  • você possui um diretório compartilhado.
  • você precisa conceder privilégios de acesso a este diretório para um grupo de usuários.

Como realizar esta ação de forma eficiente? Não é incomum encontrar profissionais de IT que gerenciam uma infraestrutura de Directory Services fazendo este tipo de tarefa de forma complementa ineficiente concedendo privilégios para contas de usuários ao invés de utilizar grupos de acessos.

Leia mais…

Criando um File Share em um File Server sobre o Failover Cluster no Windows Server 2012/R2

junho 8, 2014 Comentários desligados

Olá pessoALL!

Hoje eu vou falar sobre um assunto de alta importância para ambientes que necessitam de alta de disponibilidade. O Failover Cluster.

Com uma demanda cada de vez maior por recursos disponíveis e acessíveis todo o tempo, o uso de alta de disponibilidade é algo muito comum no dia a dia de quem trabalha com IT.

Existem as mais variadas necessidades de alta disponibilidade:

  • Serviços que precisam ter o menor tempo de downtime possível como DHCP, File Server, etc.
  • Bases de dados SQL, Oracle, Postgree, etc.
  • Aplicativos de terceiros.
  • Filas de mensagens como WebSphere Message Broker, MS Message Queue, etc.

Decidir quando utilizar este tipo de solução é um ponto muito importante e muitas vezes obscuro para muitos profissionais de IT, afinal, a implementação desta solução gera custos que normalmente não são bem visto pelo Business como algo necessário, mas que com os argumentos certos podem gerar o retorno necessário para o investimento.

Leia mais…

Aplicando uma política de grupo para Proxy baseado no local do computador

junho 1, 2014 Comentários desligados

Olá pessoal!

Neste post vamos falar mais um pouco sobre políticas de grupo e como aplicá-las em estações baseadas em seus nomes.

Em uma infraestrutura de serviço de diretório bem desenhada, o nome de servidores, estações de trabalho e dispositivos de rede seguem um padrão que define a qual local este dispositivo pertence por questões de organização e praticidade no momento de identificar tal dispositivo.

Ter um bom desenho de seu serviço de diretório facilita muito o gerenciamento e também algumas tarefas como aplicar políticas de grupo.

Para ilustrar a mecânica deste post, vamos imaginar a seguinte situação:

  • você possui vários sites.
  • cada site possui uma nomenclatura que identifica seus dispositivos.
  • cada site possui um proxy que deve ser utilizado pelos dispositivos deste site.
  • cada site possui um firewall de borda com o qual o proxy se comunica para navegar na Internet.
  • apenas dispositivos no mesmo site podem usar o proxy do site para evitar tráfego desnecessário no link que interconecta os sites.
  • existem usuário que utilizam 2 ou mais computadores e alguns destes não podem receber as configurações de proxy, pois devem passar diretamente pelo firewall de borda da localidade.

Em uma situação como esta, ter uma configuração do Active Directory Sites and Services bem desenhada refletindo sua infraestrutura de rede ajudaria muito no momento de aplicar um política de grupo com este objetivo. No entanto, existe casos e casos como por exemplo, a possibilidade de se aplicar esta polítia por sites, ou seja, todo computador que esteja dentro da subrede do site irá receber a política.

Leia mais…

%d blogueiros gostam disto: