terça-feira, 28 de junho de 2011

Ajuste Fino do Active Directory - Parte 5

No post de hoje veremos sobre o Catálogo Global (Global Catalog ou GC) e, de quebra, uma palhinha sobre sua relação com  o Infrastructure Master que, dependendo da estrutura da rede, não é das melhores.

O Catálogo Global armazena algumas informações (ditas as mais comuns) de todos os domínios de uma floresta. Em um ambiente com mais de 1 domínio, seu uso é fundamental, pois agiliza o tempo de resposta de uma query de um domínio para o outro.

Por exemplo: um usuário do Domínio A está procurando por objetos no Domínio B. Como o Domínio A não contém nenhuma informação do Domínio B, o Domínio A repassa a query (forward) para o Domínio B. O Domínio B faz a pesquisa em sua base de dados e retorna a resposta ao Domínio A.

Este processo de ida e volta consome tempo e tráfego. E é exatamente aí que entra o Catálogo Global: Como ele armazena certas informações, tanto do Domínio A, quanto do Domínio B, na maioria dos casos a query não precisaria ser repassada e a resposta seria muito mais rápida.

Na prática, toda e qualquer pesquisa por objetos (usuários, computadores, etc.) no Active Directory é feita, primeiro, no Catálogo Global. É importante garantir a redundância deste serviço, ou seja, ter, pelo menos, 2 Controladores de Domínio atuando como Catálogos Globais.

Uma forma rápida de saber quais são os Catálogos Globais de um domínio é através da console do DNS. Expanda a Forward Lookup Zone do domínio e selecione o nodo _tcp. Os registros de nome _gc são seus Catálogos Globais.

Se seu domínio possuir 2 ou mais Controladores de Domínio e apenas 1 for o Catálogo Global, a adição de um Controlador de Domínio como Catálogo Global é feita através do Active Directory Sites and Services. Expanda o nodo do Site onde o Controlador de Domínio se encontra. Em sequida, expanda o nodo com o nome do Controlador de Domínio que será "promovido", clique com o botão direito sobre o nodo NTDS Settings e abra as propriedades. Marque a caixa "Global Catalog", confirme a alteração e aguarde a próxima replicação do Active Directory.

Temos agora 2 Catálogos Globais servindo ao domínio e garantimos maior disponibilidade do serviço. Se preferir, todos os Controladores de Domínio da rede podem ser Catálogos Globais. Vai do gosto do cliente e da estrutura da rede.

Parênteses para uma dica/experiência: Encontrei um caso em que ao pesquisar o nodo _tcp na console do DNS, dei falta de alguns registros não só _gc, mas também _ldap, _kpasswd e _kerberos. Para ser mais exato, um Controlador de Domínio não havia publicado seus serviços no DNS (por isso a ausência de seus registros). Confirmei que o referido Controlador de Domínio estava funcionando normalmente. Agora a pergunta: Como fazer para publicar os registros novamente?... Reiniciando o servidor?... Eh, resolveria, mas seria mais prático apenas reiniciar o serviço Netlogon do Controlador de Domínio:
net stop netlogon
net start netlogon
Para os mais curiosos, isso aconteceu porque o "Aging/Scavenging" do DNS estava configurado com um período que era inferior ao período que o Controlador de Domínio leva para atualizar seus registros junto ao DNS (Registration Refresh Interval), que por padrão é de 24 horas.

No início do post eu disse que falaria um pouco da relação entre o Catálogo Global e o Infrastructure Master. Mas o post vai ficar meio grande e, por isso, vou deixar esse assunto para um próximo.

Até lá.

quarta-feira, 22 de junho de 2011

Diário de um TI: Re-adicionando um computador no Domínio

Essa semana resolvemos ligar um computador que fica reservado para Eventos e Visitas que acontecem aqui na Empresa. Só que esse computador estava desligado já fazia um bom tempo e, ao tentar logar, apareceu a mensagem dizendo que a relação de confiança entre o Controlador de Domínio e aquele computador havia falhado.

Lembro-me de ter lido em um livro que isso ocorre quando um computador fica muito tempo sem se comunicar com o Controlador de Domínio (dããããã...). Mais precisamente, 30 dias, pois é o tempo padrão que cada computador leva para atualizar a senha de sua conta de rede. Lembro-me, também, que este mesmo livro dizia que em situações como esta, bastaria apenas resetar a conta do computador para reestabelecer a relação de confiança.

Abri o Active Directory Users and Computers no Controlador de Domínio, localizei a conta do computador, cliquei com o botão direito e selecionei a opção "Reset Account". Voltei no computador e tentei logar na rede.... Mesma mensagem de erro (como assim?!). Reiniciei o computador e tentei logar... mesma mensagem de erro (uadarréu?!).

Lembrei-me de ter lido em um site com questões técnicas, que há um comando que, também, reestabelece a relação de confiança. Ele está localizado nas ferramentas de suporte no CD de instalação do Windows. Instalei o pacote, fui para o prompt de comando e digitei o comando:

netdom trust nome_do_computador /domain:nome_do_domínio 
/usero:admin_local /passwordo:senha_local

Teclei [ENTER] e sabe qual foi o resultado?... A mesma mensagem de erro!!!

...
...
...

Depois de um cafezinho e uma conversa jogada fora no intervalo, voltei ao computador e contei até 10 antes de começar o próximo capítulo da novela. Tentei ao máximo não partir para o "método gambiarra", pois os procedimentos acima são "procedimentos oficiais". Mas não teve jeito, abri as propriedades do computador, fui até o campo onde estava o FQDN do domínio e modifiquei deixando apenas o nome Netbios. O computador solicitou uma conta de usuário que pudesse ingressar um computador na rede, coloquei minhas credenciais, o computador reiniciou e...... consegui logar!!!

Eh... Eu tive que reingressar o computador na rede. Os "procedimentos oficiais" não funcionaram. Pesquisei em vários sites e todos reclamavam do mesmo problema (ufa, não fui o único). Felizmente resolveu.

Mas que é feio, é!

sexta-feira, 17 de junho de 2011

Removendo Vírus Remotamente

Ter uma solução antivírus implantada e, principalmente, atualizada em um ambiente corporativo ajuda na proteção dos computadores conectados na rede. Mas, como nem tudo são flores, mesmo nestes cenários podem ocorrer casos de infecção, se um vírus recém saído do forno chegar na rede antes de sua vacina (é raro, mas acontece) e causar muita dor de cabeça (e horas extras noite afora...). Ter um antivírus desatualizado é a mesma coisa que não ter antivírus instalado.

Alguns vírus, uma vez infectado em um computador, conseguem inibir a ação do antivírus, chegando até a desativá-lo. Em outros casos, computadores infectados não permitem nem a instalação de uma solução antivírus caso o mesmo não possua uma.

Soluções antivírus corporativas utilizam um recurso comumente chamado de "Instalação Remota", onde através de uma Console Central de Gerenciamento, o Técnico de TI consegue disparar a instalação do antivírus em todos os computadores da rede sem precisar ir a cada um deles. Caso um computador se enquadre na situação de infecção descrita acima, o antivírus não será instalado.

Geralmente, é enviado um Técnico ao local e na grande maioria dos casos, o procedimento é: tirar o computador da rede (quando eu digo tirar o computador da rede é, literalmente, tirar o cabo de rede); executar a limpeza do computador com algum utilitário de limpeza específico; e só então voltar com o computador para a rede e tentar a instalação do antivírus novamente. Convenhamos que, além de trabalhoso, não é dinâmico. E dinamismo é o que mais se exige da TI nos dias de hoje. Nessas situações, entra em cena o lado Batman do Técnico de TI (por favor, quando digo Batman não quero que pensem no lado "morcego" do Técnico de TI. Técnico de TI não morcega... ¬¬). Quando digo o lado Batman, me refiro ao Cinto de Utilidades.

Todo Técnico de TI que se preze tem o seu kit de ferramentas e softwares que são indispensáveis em qualquer situação. Para o caso apresentado, vou utilizar 3 softwares: um software de varredura e limpeza, um log viewer e um software de acesso remoto.

1 - O Microsoft Windows Malicious Software Removal Tool ou MRT é um software de varredura e limpeza que reconhece e elimina os vírus mais comuns. Ele é o que chamamos de Standalone Sweeper, ou seja, um "varredor autônomo". Ele não precisa ser instalado, basta copiar para o computador e executar. O MRT pode ser encontrado em qualquer computador Windows que esteja configurado para receber atualizações automáticas e seu executável (mrt.exe) está localizado na pasta %WinDir%\System32. Toda segunda terça-feira do mês, a Microsoft libera uma atualização desta ferramenta. Caso não a possua, o download pode ser feito neste endereço: http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=16

2 - O SMS Trace ou Trace32 é um log viewer muito conhecido entre os usuários do Configuration Manager. Ele permite a visualização de logs em tempo real, ou seja, assim que são feitos novos registros no arquivo de log, o SMS Trace os exibe automaticamente, sem que o usuário precise ficar fechando e abrindo o arquivo, como acontece com quem usa o Bloco de Notas, por exemplo. O SMS Trace é parte do System Center Configuration Manager 2007 Toolkit e pode ser encontrado neste endereço: http://www.microsoft.com/downloads/en/details.aspx?familyid=5A47B972-95D2-46B1-AB14-5D0CBCE54EB8&displaylang=en. Após a instalação, execute-o pelo menos uma vez para que os arquivos de log sejam associados a ele.

3 - O PsExec é um prompt de comando remoto muito simples é fácil de usar. Com ele é possível executar comandos e softwares remotamente em qualquer computador que você consiga se conectar. O PsExec não precisa ser instalado, basta executar. Ele pode ser encontrado no endereço: http://technet.microsoft.com/en-us/sysinternals/bb897553.

De posse dos softwares, vamos aos preparativos: Tenha o MRT mais recente em seu computador de trabalho. Instale o SMS Trace e associe-o aos arquivos .log. Copie o PsExec para a pasta %WinDir%\System32 do seu computador de trabalho.

(Hora de mostrar que você é o cara!!!) Abra um Prompt de Comando no seu computador de trabalho e dispare a execução do MRT no computador infectado através do comando:

psexec \\nome_do_computador -c mrt.exe /Q

- O parâmetro -c do PsExec faz com que o MRT seja copiado para o computador remoto antes de ser executado.

- O parâmetro /Q do MRT faz com que ele seja executado em modo silencioso, ou seja, o usuário que estiver trabalhando no computador no momento não será interrompido.

Abra a janela Executar e acesse a raiz da unidade C do computador remoto através do comando:

\\nome_do_computador\c$

Acesse a pasta do Windows e em seguida, acesse a pasta Debug. Procure pelo arquivo mrt.log e dê um duplo-clique para que ele seja aberto no SMS Trace e acompanhe toda a atividade do MRT em tempo real. Ao término, se o MRT pedir para reiniciar o computador para terminar a limpeza do sistema, você pode fazer isso, também remotamente, e informar ao usuário que estiver trabalhando no computador no momento sobre a reinicialização, através do comando:

shutdown -r -t 30 -m \\nome_do_computador -c "Foi encontrado um vírus em seu computador e será necessário reiniciá-lo para completar a remoção. Por favor, salve todos os seus documentos em aberto para evitar perda de dados. Seu computador será reiniciado em 30 segundos."

- O parâmetro -c do comando shutdown exibe uma mensagem customizada ao usuário conectado no computador remoto e pode ser definida ao seu gosto.

Após completar a limpeza, dispare novamente a Instalação Remota de sua solução antivírus e tudo deve ocorrer como deveria ter sido desde o início.

Para finalizar, algumas considerações: Não levantei questões como privilégios administrativos ou configuração de firewall, pois não eram o foco do Post. É óbvio que para executar estes procedimentos, o usuário precise ter privilégios administrativos e acessar remotamente o computador infectado. No meu entendimento, tais "requisitos" são básicos a qualquer Técnico de TI que trabalhe nesta área.

Espero que tenham gostado do Post. Até a próxima.

quinta-feira, 16 de junho de 2011

Encontrando o Conficker na rede

De vez em quando o "gente boa" do Conficker resolve fazer uma visitinha na rede da minha empresa. Felizmente, nossa solução antivírus consegue conter sua disseminação, mas às vezes (eu disse às vezes), aparece uma Estação de Trabalho sem o anvitírus instalado (ainda estou tentando entender isso).

E basta uma única máquina infectada com o Conficker na rede para começar o caos. Como disse anteriormente, a disseminação não ocorre porque o antivírus impede, mas a Estação de Trabalho infectada começa a tentar quebrar a senha dos usuários de rede por Força Bruta e, devido a política de senha, acaba travando as contas de usuário, o que gera um aumento nas ligações à Equipe de TI solicitando o destravamento das contas. Em resumo, não chega a ser uma m*rda completa, mas já é algo que enche o raio da paciência.

A grande dificuldade seria encontrar a máquina infectada, certo? Errado! Essa tarefa é bem simples: Basta acessar o log Security no Event Viewer de algum Controlador de Domínio, procurar nas "Failure Audit" (Event ID 680) qual é a Source Workstation que está forçando os logins.

No próximo post, vou dar uma dica de como remover o Conficker ou algum outro vírus de forma remota, ou seja, sem precisar ir até a Estação de Trabalho infectada.

Até lá.

sexta-feira, 10 de junho de 2011

Ajuste Fino do Active Directory - Parte 4

Nesta quarta parte iremos ajustar alguns detalhes do Domain Naming System ou DNS..... Mas peraí?! O título é sobre o Active Directory e não o DNS, o que um tem haver com o outro? Vejamos:

1 - Desde que o Serviço de Diretório da Microsoft passou a se chamar Active Directory, a tecnologia utilizada para localizar outros computadores ou recursos da rede, como: localização de Controladores de Domínio para autenticação ou Controladores de Domínio procurando por seus parceiros de replicação; é o DNS;

2 - A certificação MCTS 70-640 que é sobre Configuração do Active Directory exige conhecimento em DNS (Motivo mais que necessário para mim :P).

Pois bem, dúvidas esclarecidas, vamos ao que interessa. Quando utilizamos o DNS em modo integrado ao AD (Active Directory-Integrated Zones), temos um recurso chamado "Atualização Dinâmica" (Dynamic Update), que permite que o computador cliente registre e atualize seu endereço IP junto ao servidor de DNS. Acontece que caso este mesmo computador seja desativado, o seu registro permanecerá no Servidor de DNS por tempo indeterminado. Se ampliarmos essa situação para 100 computadores clientes, serão 100 registros desatualizados no Servidor de DNS.

Isso ocorre, porquê, por padrão, o Servidor de DNS não está configurado para "varrer e eliminar" registros antigos. E configurar este recurso é muito simples:

- Abra a console do DNS, clique com o botão direito do mouse sobre o nome do servidor e selecione a opção "Set Aging/Scavenging for All Zones..."

- Marque a opção "Scavenge stale resource records" e defina o período da varredura ou deixe os valores padrões.

- Clique no botão OK para salvar as alterações e é isto! Simples assim.

Se sua rede trabalha com muitas zonas e você não quer configurar este recurso para todas elas, basta, ao invés de clicar com o botão direito no nome do servidor, selecionar a zona deseja, clicar com o botão direito nela, selecionar a opção "Properties", clicar no botão "Aging" e configurar a varredura exclusivamente para a zona selecionada.

Por hoje é só. Espero que o post tenha lhe ajudado.