quarta-feira, 19 de agosto de 2009

FSMO: Transferindo Funções

Hoje, veremos como transferir funções FSMO entre os Controladores de Domínio utilizando o comando NTDSUTIL. Essa transferência pode ser feita também através de interfaces gráficas, o que na minha opinião, é um pouco mais trabalhosa pois além das informações não se concentrarem em uma única janela, alguns procedimentos extras precisam ser tomados, como registrar DLLs para exibir os menus de acesso às janelas de algumas funções. Com o NTDSUTIL, bastam apenas algumas linhas de comando.

Primeiro inicie a ferramenta: Abra o prompt de comando e digite:
ntdsutil

Sempre que tiver dúvidas sobre quais comandos estão disponíveis, digite:
?

Se você digitar ? na raiz do NTDSUTIL verá uma lista de opções para manutenção do Active Directory. Como o objetivo deste post é fazer a transferência de funções FSMO, deixemos essas opções para outros posts.

Para acessar as funções, digite:
roles

Antes de transferirmos uma função, devemos nos conectar ao Controlador de Domínio que as receberá. Para tal, digite os comandos:
connections
connect to server [nome ou IP]
quit

Basta agora transferirmos as funções desejadas. O processo de transferência pode ocorrer de duas formas: Natural ou Forçada.

A transferência Natural ocorre quando o detentor atual da função está funcionando (online). Sendo assim, utilize um dos comandos abaixo para a transferência:
transfer domain naming master
transfer schema master
transfer infrastructure master
transfer rid master
transfer pdc emulator

A transferência Forçada ocorre quando o detentor atual da funções não está funcionando (offline). Sendo assim, utilize um dos comandos abaixo para a transferência:
seize domain naming master
seize schema master
seize infrastructure master
seize rid master
seize pdc emulator


ATENÇÃO!!! Tome muito cuidado ao usar a transferência Forçada. Somente a utilize caso você tenha total certeza de que o antigo Controlador não voltará (HD defeituoso, por exemplo).

Para sair do NTDSUTIL, basta digitar o comando quit até retornar ao prompt do Windows.

Para verificar se as funções foram transferidas, utilize o comando:
netdom query fsmo

terça-feira, 18 de agosto de 2009

FSMO: Conceito

Em uma rede Microsoft Active Directory, existem 5 funções básicas que são desempenhadas pelos Controladores de Domínio. Essas funções são as Flexible Single-Master Operations (FSMO), mais conhecidas como Mestre de Operações ou Operations Master.

A distribuição dessas funções depende da estrutura da rede. Vamos conhecer cada uma delas:

Schema Master (Forest Level)
Mantém as informações sobre os tipos de objetos que podem existir nos domínios e os atributos de cada objeto.

Domain Naming Master (Forest Level)
Valida a criação de novos domínios afim de evitar duplicidade.

PDC Emulator (Domain Level)
Inicialmente criada por questões de compatibilidade/migração da antiga rede NT 4.0, onde tinhamos a estrutura PDC/BDC, essa função é responsável, também, pela validação de senhas (caso haja falha de validação por outro Controlador de Domínio), replicação de alteração de senhas, bloqueio de contas e sincronização do relógio.

Infrastructure Master (Domain Level)
Responsável por atualizar informações de um determinado objeto utilizado em vários domínios. Por exemplo, um usuário que seja membro de grupos de domínios diferentes.

RID Master (Domain Level)
Responsável por distribuir os identificadores únicos (SIDs) de cada objeto do domínio (usuários, grupos, computadores, etc).

As duas primeiras funções são únicas em toda a floresta, enquanto as demais estão presentes em cada domínio da floresta.

Para saber qual Controlador de Domínio hospeda qual função, basta acessar o prompt de comando e digitar:
netdom query fsmo

Catálogo Global ou Global Catalog (GC)
Apesar de não ser considerada uma FSMO, o Catálogo Global é uma função importante do Active Directory. Ele mantém uma réplica das principais informações de todos os objetos da floresta. Todas as pesquisas por recursos/objetos são feitas no GC e não através de uma varredura de rede, o que torna a pesquisa mais rápida.

Por padrão, o primeiro Controlador de Domínio recebe a função de Catálogo Global. Pode haver mais de um Catálogo Global em um domínio, porém deve-se tomar alguns cuidados:
  • A criação de muitos Catálogos Globais pode tornar as pesquisas mais lentas devido a replicação das informações. Um ou dois GCs por domínio são suficientes.
  • O Controlador de Domínio que possuir a função de Infrastructure Master não deve ser um GC (a menos que todos os Controladores de Domínio do domínio sejam GCs).

Além disso, apenas Controladores de Domínio podem ser Catálogos Globais.

Algumas Considerações
Por padrão, todas as 5 FSMOs são atribuídas ao primeiro Controlador de Domínio. Em uma rede que possua mais de 1 Controlador de Domínio é recomendado distribuir as FSMOs, observando as seguintes considerações:

  • O Domain Naming Master deve estar em um Catálogo Global.
  • O Schema Master e o Domain Naming Master devem estar no mesmo Controlador de Domínio;
  • O PDC Emulator e o RID Master devem estar no mesmo Controlador de Domínio.

Procure sempre ter, pelo menos, 2 Controladores de Domínio em uma rede.

terça-feira, 4 de agosto de 2009

Address Space Layout Randomization (ASLR)

O Windows Vista e o Windows Server 2008 trouxeram um excelente recurso de segurança para dificultar o ataque de vírus e programas afins. Trata-se do Address Space Layout Randomization, ou simplesmente, ASLR.

Através dessa tecnologia, os principais módulos do Windows são carregados em endereços randômicos na memória a cada boot do sistema. São 256 endereços diferentes possíveis, ou seja, um ataque tem 1/256 de chance de acertar onde está o módulo que quer atacar.

Veja o exemplo abaixo:

- Primeiro boot:
  • wsock32.dll (0x73ad0000)
  • winhttp.dll (0x74020000)
  • user32.dll (0x779b0000)
  • kernel32.dll (0x77c10000)
  • gdi32.dll (0x77a50000)
- Segundo boot:
  • wsock32.dll (0x73200000)
  • winhttp.dll (0x73760000)
  • user32.dll (0x770f0000)
  • kernel32.dll (0x77350000)
  • gdi32.dll (0x77190000)

segunda-feira, 3 de agosto de 2009

Customizando o WinPE

O Windows Preinstallation Environment, mais conhecido como WinPE, é uma versão simplificada que foi criada para distribuir o Windows às Estações de Trabalho e Servidores, no lugar do antigo DOS. Inicialmente, apenas grandes empresas e fabricantes de computadores utilizam esta ferramenta. Mas com o lançamento do Windows Automated Installation Kit (AIK), o uso do WinPE foi extendido a todos os usuários a custo zero. O WinPE é “bootável” via: PXE, CD-ROM, USB ou pelo próprio disco rígido.

O que me chamou a atenção ao WinPE foi a praticidade de uso. Sem praticamente fazer nada (simplesmente gerar o CD), eu tenho um mini-sistema operacional com suporte a rede. Se você leu o meu artigo sobre o “Windows Imaging Format (.wim)” e pretende montar ou já possui um servidor para armazenar as imagens dos computadores da sua empresa, o WinPE é a ferramenta que lhe dará acesso a essas imagens. Antes de mais nada, vale lembrar que para utilizar o WinPE, o computador precisa ter, no mínimo, 512 MB de RAM e o serviço DHCP precisa estar funcionando na rede.

Mas, como nem tudo são flores, haverão casos em que o WinPE pode não carregar o suporte a rede por não possuir o driver da placa de rede em questão. Neste caso, devemos:

1 – Obter o driver da placa de rede (Driver para o Vista);
2 – Injetar o driver na imagem do WinPE.

A primeira etapa é muito simples: acesse o site do fabricante e baixe o driver para o Windows Vista.

Na segunda etapa: montar a imagem do WinPE, injetar o driver, salvar a imagem e recriar o CD.

A segunda etapa parece ser um bicho de sete cabeças, mas o AIK trás todas as ferramentas necessárias para realizarmos essas alterações. Mas vamos por partes:

Digamos que o driver baixado foi salvo na pasta:
c:\drivers\rede\vista

Os passos a seguir necessitam que o computador tenha o AIK instalado. Acesse o prompt de comando e digite os comandos abaixo:

Criar o ambiente para editar a imagem do WinPE:
copype x86 c:\winpe_x86
Obs: Estou assumindo que você esteja trabalhando com um sistema operacional 32 bits. Caso seja 64 bits, mude o valor “x86” para “x64” em todos os comandos.

Montar a imagem do WinPE:
imagex /mountrw c:\winpe_x86\winpe.wim 1 c:\winpe_x86\mount

Injetar o driver na imagem:
peimg /inf=c:\drivers\rede\vista\[nome_do_arquivo].inf c:\winpe_x86\mount\windows

Salvar as alterações na imagem:
imagex /unmount c:\winpe_x86\mount /commit

Copiar a nova imagem para a estrutura do CD que será criado:
copy c:\winpe_x86\winpe.wim c:\winpe_x86\iso\sources\boot.wim /y

Quase acabando… Criar o ISO do CD:
oscdimg –n –bc:\winpe_x86\etfsboot.com c:\winpe_x86\iso c:\winpe_x86\winpe-new.iso

Para finalizar, grave o ISO em um novo CD e faça o teste. Se você baixou o driver correto, seu WinPE agora terá suporte a rede. O teste pode ser feito digitando o comando ipconfig após a carga do WinPE. Se o computador recebeu um Endereço IP, o suporte a rede foi carregado com sucesso.

A partir deste ponto, toda nova injeção de driver pode ser iniciada a partir da montagem da imagem. Aconselho não apagar a pasta ”c:\winpe_x86” para não perder os drivers já injetados.

Conheça o novo Windows Imaging Format (.wim)

O Windows Server 2008 trouxe o Windows Deployment Service (WDS), serviço de distribuição do Windows. O WDS veio para substituir o antigo Remote Installation Service (RIS). O ponto forte do WDS está no novo formato de imagem utilizado, o Windows Imaging Format (.wim).

Este novo formato é baseado em arquivo (file-based) e não em setor (sector-based) como os já conhecidos .iso, .bin/.cue, etc. O diferencial deste novo formato é que, além de permitir que várias imagens sejam agrupadas dentro do mesmo arquivo físico .wim, não há duplicidade de arquivos, o que faz com que o armazenamento de várias imagens em arquivos .wim sejam menores que nos outros formatos.

Digamos que temos 2 imagens de 2 GB da instalação do Windows em formato .iso. Logo temos 4 GB de espaço ocupado e 2 arquivos físicos. Utilizando o .wim teríamos, no máximo, 2.3 GB de espaço ocupado e apenas 1 arquivo físico para essas mesmas 2 imagens.

Além disso, por ser baseado em arquivo, a restauração de uma imagem .wim sobre uma partição com dados, NÃO apaga o conteúdo da mesma. Para aqueles que não querem perder os dados armazenados, é uma grande vantagem. Mas caso deseje realmente excluir todo o conteúdo e realizar uma restauração limpa, utilize o DISKPART antes.

Outra grande vantagem do formato .wim é poder montar a imagem, inserir, modificar ou excluir arquivos, e salvar as alterações sem precisar recriar a imagem. As ferramentas para criação e manipulação de imagens .wim estão no Windows Automated Installation Kit (AIK).

Para quem não conhece, o SYSPREP é a ferramenta que prepara o Windows para poder ser distribuído. A vantagem de utilizar o SYSPREP é que você pode instalar um computador base com todos os programas utilizados pela sua empresa, preparar a imagem e, todos os computadores que receberem aquela imagem, já estarão com os programas instalados. O SYSPREP do Vista/2008 tem um grande diferencial em relação ao SYSPREP do XP/2003: Independência de Hardware.

Ou seja, para o Windows XP é preciso 1 imagem para cada configuração de hardware existente (1 para Pentium III 700 MHz, 1 para Pentium III 866 MHZ, 1 para Athlon, 1 para Sempron, etc.). Já no Windows Vista, basta apenas 1 única imagem para qualquer hardware.

Windows Server 2008 R2: File Classification Infrastructure

Com o lançamento previsto para 22 de outubro de 2009, o Windows Server 2008 R2 trará novas tecnologias e aprimoramentos. Dentre elas, destaco o File Classification Infrastructure para File Servers. Como o próprio nome diz, o objetivo do FCI é classificar o conteúdo de um arquivo, baseado em regras pré-definidas pela Empresa ou Equipe de TI.

Dessa forma, podemos, por exemplo, criar uma regra que classifique como “Confidencial”, arquivos que contenham palavras como: “CPF”, “CNPJ” ou “Salário”. Com base nessas regras, podemos criar ações a serem tomadas, como: Mover arquivos confidenciais para uma área mais segura da rede ou realizar backups mais frequentes de arquivos confidenciais. Além disso, o FCI utiliza tecnologia OCR (Optical Character Recognition ou Reconhecimento Ótico de Caracteres) e consegue reconhecer palavras em arquivos de imagens, mesmo essas estando na vertical ou de cabeça para baixo.

O FCI estará disponível no File Server Resource Manager (FSRM).

KMS e MAK: Como funcionam os novos modelos de ativação do Windows

Há alguns dias, eu estava concluindo a instalação de uma máquina virtual Windows Server 2008 e, após ter informado a chave do produto, recebi a seguinte mensagem: “A chave do produto já está em uso”. Por um momento fiquei sem entender o que estava acontecendo, pois sabia que era uma chave autêntica licenciada pela minha empresa. Resolvi pesquisar sobre o problema e me deparei com estes dois termos: chave KMS e chave MAK.

No plano de licenciamento por volume (VLK), quando se licenciava o Windows XP/2003, recebíamos uma chave “Open”. Com esta chave, podíamos instalar inúmeros computadores com Windows XP/2003. Já no ambiente Vista/2008, a coisa muda de figura e é justamente onde entram as chaves KMS e MAK.

A princípio, parece ter ficado mais complicado ativar o Windows, mas este novo modelo de ativação por volume (Volume Activation ou, simplesmente, VA) trouxe mais segurança e flexibilidade à equipe de TI. Vejamos como elas funcionam:

KMS
Key Management Service ou Serviço de Gerenciamento de Chave é um modelo onde existem um ou mais servidores (chamados KMS Hosts), hospedados em sua rede local, e que são responsáveis por ativar automaticamente, os demais computadores Vista/2008 em sua empresa. Em outras palavras, seria um Servidor de Ativação do Windows.

No modelo de ativação tradicional do Vista, o computador precisaria se conectar a Microsoft para ser ativado. No modelo KMS, o computador se conecta diretamente ao Host do KMS para ativação. Além disso, um computador ativado via KMS precisa se conectar ao Host do KMS a cada 6 meses para renovar sua ativação ou passará a ser um software não genuíno. Esta funcionalidade é interessante se levarmos em conta questões de segurança como roubo de equipamento.

Outro ponto importante é que sua equipe de TI não precisará mais ter acesso a essas chaves, ficando o acesso restrito apenas aos administradores dos contratos. Imagine um estagiário aprendendo a instalar o Windows: Ele anota a chave da empresa em um papel e depois dos 3 meses de experiência é dispensado. Lá se foi o papelzinho com uma informação confidencial de sua empresa.

Uma chave KMS só pode instalada em 6 Hosts, ou seja, ela só pode ser usada 6 vezes (taí a explicação para eu ter recebido a mensagem acima). A partir da ativação do Host do KMS, este pode ativar um número ilimitado de computadores. Mas para que o Host do KMS ative um cliente (servidor ou estação de trabalho), é preciso que uma cota mínima de computadores seja atingida:

- Para que o Windows Server 2008 seja ativado, é preciso que, pelo menos, 5 computadores (pode ser tanto Vista ou Seven ou 2008 ou 2008 R2), façam contato com o Host do KMS.

- Para que o Windows Vista ou Seven seja ativado, é preciso que, pelo menos, 25 computadores (pode ser tanto Vista ou Seven ou 2008 ou 2008 R2), façam contato com o Host do KMS.

Na época que escrevi este post, o Windows 7 e o Windows Server 2008 R2 ainda não tinham saído. Portanto, vai aqui um extra com um detalhe muito importante:

- Se o Host do KMS for o Windows Vista ou o Windows Server 2008, estes não serão capazes de ativar o Windows 7 e o Windows Server 2008 R2. É preciso instalar ou migrar o Host do KMS para as novas versões do Windows. Já o Host do KMS estando no Windows 7 ou no Windows Server 2008 R2, o Windows Vista e o Windows Server 2008 serão ativados.

Este link contém um vídeo que demonstra claramente como funciona a ativação do modelo KMS: http://www.microsoft.com/downloads/details.aspx?FamilyID=bbf2eb61-2b30-4f2d-bccd-df53e220b8e9

MAK
Multiple Activation Key ou Chave de Ativação Múltipla é um modelo similar ao modelo tradicional de ativação do Vista, onde o computador se conecta a Microsoft para ser ativado. As regras também são as mesmas: o computador permanece ativado até que seja formatado ou algum hardware seja trocado. A diferença é que, como o próprio nome diz, uma única chave pode ser usada para ativar vários computadores.

MAS ATENÇÃO! A quantidade de uso de uma chave MAK é limitada. Essa quantidade varia de acordo com o tipo e com as informações do plano de licenciamento por volume de cada empresa. As solicitações de chave MAK são feitas através do Centro de Atendimento de Licenciamento por Volume. Lá você também pode conferir quantas chaves MAKs já foram usadas e quantas restam, bem como administrar todos os seus contratos de licenciamento.

KMS ou MAK? Qual utilizar?
Isso depende da estrutura de cada empresa. Você pode utilizar KMS ou MAK ou KMS e MAK.

Arquivo de sistema corrompido, e agora? Formatar?

Uma situação que costuma acontecer algumas vezes é o corrompimento de algum arquivo de sistema do Windows, seja por um pique de energia, ou por alguma ação do outro mundo (sim, porque o usuário nunca fez nada e até ontem tudo funcionava perfeitamente). Com isso, o computador passa a reiniciar constantemente durante a tentativa de carga do Windows e nunca chega a lugar algum. Uma solução para o problema seria a famosa “formatação do Windows”. Mas convenhamos é uma atividade tediosa:

- Fazer backup dos arquivos (isso quando o técnico diz que não tem jeito e que tudo foi perdido);
- Reinstalar o Windows;
- Reinstalar todos os programas (se você não tiver em mãos tais instalações, você acaba de ganhar uma maravilhosa dor de cabeça);
- Restaurar o backup (se tiver sido feito);
- Verificar se não ficou nada para trás.

Agora me responda: Quanto tempo foi gasto nesta atividade? 1 a 3 dias? Imagine se esse fosse o único computador do setor financeiro de uma empresa? Será que este computador poderia ficar parado todo este tempo?

Pois bem, existe uma técnica muito simples, que leva apenas alguns minutos para ser executada, e que pode evitar toda esta dor de cabeça. Ao invés de formatar o Windows, nós vamos reparar o Windows. Para isto, precisamos ter em mãos o CD de instalação do mesmo.

Inicie o computador pelo CD e deixe o Assistente de Instalação carregar. Quando aparecer uma tela perguntando se você deseja instalar ou reparar o Windows, pressione a letra R. Aguarde até que o console seja carregado. Dependendo da versão do Windows, você terá que fornecer a senha do administrador local para acessar o console. Estando no Console de Recuperação, basta digitar o seguinte comandinho mágico e pressionar ENTER:

CHKDSK /R

O CheckDisk fará uma varredura em todo o seu disco rígido e irá corrigir qualquer arquivo de sistema do Windows que esteja corrompido. Ao término, basta digitar o comando EXIT e deixar o Windows carregar normalmente. Todos os arquivos do usuário foram preservados e os programas se mantiveram instalados.

Este procedimento funcionou em 90% dos casos em que me deparei com esta situação. Os outros 10% estavam ligados a problemas de hardware: memória ou disco rígido com defeito. No caso da memória, basta trocar e executar o checkdisk. Já no caso do disco rígido, olá atividade tediosa.

Conclusão: Uma situação que levaria, em média, 2 dias para ser resolvida, foi solucionada em, digamos, 30 minutos. (Espero que isso não acabe com o emprego de alguns ^^)

SQL Server 2008: Índices Filtrados

Um novo recurso interessantíssimo do SQL Server 2008 é o “Índice Filtrado”. Com ele, você cria condições que otimizam os índices e agilizam os resultados de uma consulta SQL.
Digamos, por exemplo, que temos uma tabela onde determinada coluna possui campos nulos. Basicamente, usa-se a cláusula WHERE na sintaxe de criação do índice:

CREATE INDEX [Nome_do_Indice]
   ON [Nome_da_Tabela (Nome_da_Coluna)]
   WHERE [Nome_da_Tabela (Nome_da_Coluna)] IS NOT NULL

Mas podemos ir mais além: Quando disse que este recurso era interessantíssimo, é porque já que podemos eliminar os registros nulos, podemos criar um índice único para esta mesma coluna, coisa que não era possível antes e cabia a aplicação realizar este controle:

CREATE UNIQUE INDEX [Nome_do_Indice]
   ON [Nome_da_Tabela (Nome_da_Coluna)]
   WHERE [Nome_da_Tabela (Nome_da_Coluna)] IS NOT NULL

Com este novo recurso ganha tanto o DBA (o banco de dados é quem passa a gerenciar registros duplicados), quanto o Desenvolvedor (que não precisa realizar este controle dentro de sua aplicação).

Microsoft Assessment and Planning (MAP)

Para aqueles que estão planejando atualizar sua infra-estrutura atual para as tecnologias mais recentes da Microsoft, como Windows Server 2008, Windows Server 2008 R2, Windows Vista, Windows 7, Office 2007 e Virtualização; a Microsoft lançou o Microsoft Assessment and Planning (MAP). Essa ferramenta faz todo o levantamento de hardware da sua rede sem que nada seja instalado nos computadores. Os relatórios são gerados em Word e Excel e trazem informações detalhadas das tecnologias suportadas, bem como os upgrades necessários para suas implantações.
Quem quiser conferir a ferramenta, o link é: http://go.microsoft.com/fwlink/?LinkID=111000

Hello World!

Para não perder o costume, vai aí o primeiro post com a tradicional frase “Hello World!”