Marcelo Sincic | Windows 2003

Windows 2003 EOL (End Of Live) – Parte 1: Primeiros Passos e Usando o Simulador Microsoft

24 agosto 2014 msincic Cloud computing, Hardware, Governança, Microsoft Azure, IIS, MSARC, Outros, Projeto, Segurança, Virtualizaçao, Windows, Windows 2003, Windows Azure

Em 14 de Julho de 2015, menos de um ano da data de hoje, o suporte ao Windows 2003 acaba e muitas empresas ainda não estão tomando os passos necessários. A Microsoft disponibilizou um site onde podemos baixar os datasheets e utilizar um assistente para gerar relatórios: http://www.microsoft.com/en-us/server-cloud/products/windows-server-2003/ Quais os Riscos e Problemas Fim das Atualizações (Updates) – Apenas os sistemas operacionais Windows Server 2008 e superiores receberão atualizações No Compliance – Operadoras de cartão de crédito e sistemas bancários internacionais (SOX, Basiléia, etc) não permitiram transações a partir desta versão Segurança Afetada – Todos os novos métodos de invasão, falhas de protocolo ou problemas de SO não receberão correção, significando maior investimento em ferramentas adicionais ou inviabilização de métodos e aplicações Alto Custo de Manutenção – Os novos servidores e hypervisors não irão mais fornecer drivers para o Windows 2003, impossibilitando refresh de hardware e atualização de versão do hypervisor/VM tools Como Começar a Partir de Agora O primeiro passo é realizar um Assessment no ambiente para descobrir todas as aplicações, para isso podemos utilizar o MAP (Microsoft Assessment and Planning) que gera relatórios muito bons para migração. Ele até mesmo gera os dados de compliance de hardware e indicações para virtualização. Para utilizar o MAP foi criado um MVA no ano passado, o foco era migração de Windows XP, mas o funcionamento da ferramenta e geração de dados é similar: http://www.marcelosincic.com.br/blog/post/MVA-sobre-MAP-%28Microsoft-Assessment-Planning-and-Toolkit%29.aspx O segundo passo é analisar compatibilidade das aplicações existentes, o que inclui a versão do web server e dos componentes de aplicações que estejam nestes servidores, versões de banco de dados, etc. É aqui que está o grande risco, muitos dos profissionais de TI que converso e empresas estão focando em migrar AD, File Server e outros papeis do Windows, que a Microsoft preparou métodos fáceis de migração já que são Roles do sistema operacional. O problemas são as aplicações desenvolvidas internamente ou não. Por exemplo, o SQL Server 2005 executado no Windows 2003 precisará ser migrado para SQL Server 2008 R2, aplicações escritas em .NET 1.x-2.x executando no IIS do Windows 2003 precisarão ser avaliadas muito criteriosamente, SharePoint 2003 e 2007 precisarão ser migrados para SharePoint 2010 ou 2013… Estes exemplos deixam claro que o trabalho da migração vai muito além de apenas virtualizar! Para isso existem muitos softwares que fazem o papel de analisador, como por exemplo, o Dell ChangeBase e o AppZero. O primeiro analisa todas as aplicações instaladas (similar ao Microsoft ACT) e testa automaticamente os métodos padrão e nativos de compatibilização. O segundo possui diversos métodos adicionais de compatibilização e faz um tracking de uma aplicação, gerando um pacote MSI, o que é extremamente útil em cenários onde não temos um instalador e não sabemos as dependências de uma aplicação. O terceiro passo é analisar as opções, onde podemos avaliar um P2V (migração de máquina física para virtual) on-premisse, migração de sites ou banco de dados para o Microsoft Azure, criação de VMs em ambiente cloud com transferência de serviços e dados, etc. Esta fase é onde precisamos criar planos bem definidos de migração para cada uma das aplicações e funções que hoje estão no Windows 2003. É a fase onde devemos nos concentrar em parada de serviços, seqüencia das operações, processos de migração, etc. Conclusão Deixar para depois a migração dos servidores é muito mais sério do que a migração de estações. Até hoje muitas empresas ainda possuem XP e sentem as dificuldades e custos de manter um sistema operacional sem suporte. Comece desde já a se preparar e será muito mais fácil. Em um próximo artigo irei falar mais sobre o MAP e outras ferramentas para o Assessment.

Alteração no Kerberos do Windows 2012 pode causar Acesso Negado

28 outubro 2012 msincic Active Directory, Windows, Windows 2003, Windows 2008, Windows 2012

Em uma reunião com os Microsoft PFEs Gilson Banin e Marcelo Ferratti foi comentado sobre uma alteração no método como o Windows 2012 gera um Ticket de autenticação pelo Kerberos, chamado de “KDC Resource SID Compression”. Situação Atual Como já é sabido, um Ticket de autenticação leva o SID do usuário e dos grupos do qual ele faz parte, além do SID History em casos de migração anterior. Em alguns casos, principalmente dominios muito grandes, o Ticket podia estourar o limite padrão de 12 Kb e gerar problemas na autenticação. Vale lembrar que pelo mesmo motivo um usuário não pode fazer parte de mais do que 1024 grupos. Atuamente o Ticket (PAC) é composto por SIDs completos: Os valores padrão de identificação (S-1-5), o SID do dominio e o RID individual do objeto no ultimo bloco: S-1-5-21-3419695430-3854377854-1234 S-1-5-21-3419695430-3854377854-1466 S-1-5-21-3419695430-3854377854-1675 S-1-5-21-4533280865-6432248977-6523 S-1-5-21-4533280865-6432248977-6578 Alteração no Windows 2012 A mudança no KDC consiste em não mais incluir no Ticket dados repetidos, com isso o Ticket gerado por um Domain Controller com Windows 2012 fica com menor tamanho e resolve o problema de ser necessário a alteração do tamanho do Ticket. Assim, o mesmo exemplo anterior de Ticket ficaria: S-1-5-21-3419695430-3854377854-1234 -1466 -1675 S-1-5-21-4533280865-6432248977-6523 -6578 O problema é que servidores anteriores ao Windows 2012 não “entendem” o novo Ticket e só permitirá acesso as ACEs que sejam completas, portanto o usuário conseguiria acessar locais onde a permissão foi concedida nos casos 1 e 4 do exemplo, mas não acessaria caso a permissão seja de um dos outros SIDs. Conclusão Em um dominio onde ainda existam servidores anteriores ao Windows 2012, o que inclui o Windows 2008 R2, o acesso ao servidor de arquivos, Exchange e qualquer outro que seja baseado no Kerberos terá problemas de acesso negado. Remediação Crie a chave de Registry Dword DisableResourceGroupsFields em HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kdc\Parameters para desabilitar este recurso. Mais Informações: http://support.microsoft.com/kb/2774190

Utilizando Robocopy para Sincronizar Dados do Windows 2012 com NAS (Linux)

16 outubro 2012 msincic Windows 8, Windows, Windows 2008, Windows 2012, Windows 7, Windows 2003

Esta semana precisei migrar dados de um servidor Linux para Windows e passei por um problema que já conhecia, onde em todas as execuções o Robocopy copia novamente os arquivos não alterados com a situação “Modified” ou “Never”. Possuo um Netgear ReadyNAS Duo para executar VMs e backup de arquivos e na época da compra montei um script para sincronizar dados entre o notebook e o NAS que utiliza ext3, compativel com FAT32. O problema é que o FAT32 utiliza timestamp nos arquivos com precisão de 2 milisegundos diferentes do NTFS, como mostra o print abaixo. Note que o arquivo da esquerda é o local (S:) e o da direita do NAS e veja a diferença nas tags “Created” e “Modified”: Para resolver isso existe uma solução muito simples: acrescente o parametro /FFT no final do comando. Agora a sincronização ocorrerá com sucesso, ainda irá mostrar a mensagem “Changed” nos arquivos na saida do comando, mas ele não irá mais copiar estes arquivos não alterados. Fonte: http://technet.microsoft.com/pt-br/library/cc733145%28v=ws.10%29.aspx

E-book Group Policy Objects - Da teoria à prática

23 outubro 2011 msincic Windows, Windows 2003, Windows 2008

Os MVPs Alexandro Prado (@alexandroprado) e Daniel Donda (@DanielDonda) fizeram um ótimo trabalho ao fazer este e-book e me convidaram para revisar e fazer o prefácio. Baixe e nos mande comentários do que achou, e já estão preparando a versão 2!!!! Um e-book abordando os principais conceitos e práticas para trabalhar com Group Policy Objects (GPO). Usando uma linguagem simples e objetiva que irá ajudar os administradores a automatizar tarefas e aplicar diretivas usando as melhores práticas. “Um guia prático e didático destinado a administradores de redes, que facilitará o trabalho diário de todos.” O que é GPO? Herança de GPOS, qual GPO ganha? Bloquear Herança Forçar a aplicação de uma GPO Criar uma GPO. Vinculando GPO. Criando Filtros de segurança e WMI Starter GPOs Configurar (Editar) uma GPO Filtro de diretivas Group Policy Preferences (GPP) Item Level targeting Algumas diretivas interessantes. Instalação de Softwares via GPO. User Group Policy Loopback Processing Mode. Download Gratuito E-book - Diretivas de grupo (1.72 MB) Autores Alexandro Prado : Daniel Donda @DanielDonda Marcelo Sincic @marcelosincic

Video de Windows System Resource Manager e SysInternals Process Explorer

10 outubro 2011 msincic Windows, Windows 2008, Windows 2003

Uma das minhas palestras no TechEd 2011 foi com o tema “Gerenciamento Recursos do Windows 2008 com o Windows System Resource Manager”, palestra de código SRV 303. Os ppts estão disponiveis em http://bit.ly/nTwJcZ Após a palestra recebi diversos emails com feedback positivo e me pedindo material adicional. Os links disponiveis no ppt são para a biblioteca do TechNet, mas obviamente contem apenas a parte téorica e não contempla exemplos práticos. Pensando nisso, assim que eu tiver um tempo irei montar uma série de videos, mas por enquanto é possivel assistir ao video que gravei no passado em http://www.marcelosincic.com.br/blog/post/Community-Launch-Webcast-Gerenciando-recursos-do-Windows-2008-R2-com-o-WSRM-e-o-Process-Explorer.aspx Após entrar no site de eventos, clique em “Inscrever-se” e terá a opção de fazer o download em WMV ou assistir online pelo Live Meeting. Lembrando que o Windows System Resource Manager está disponivel no Windows 2008 em todas as versões e no Windows 2003, versões Enterprise e Datacenter.

Best Practices para Exchange 2010 no Hyper-V

17 maio 2011 msincic Exchange Server, Virtualizaçao, Windows 2003

Este documento disponibilizado no domingo pela Microsoft é útil não só em casos de Exchange mas como em qualquer outro projeto de virtualização com Hyper-V. O documento foca nas melhores práticas de implementação do Exchange 2010 no Hyper-V mas adicionalmente explica as tecnologias envolvidas e o porque da recomendação. Por exemplo, explica cada tipo de disco que o Hyper-V suporta (DAS, iSCSI, eSATA, etc) e considera qual o melhor a ser utilizado e recomendações como termos mais de uma placa de rede no caso de iSCSI, performance de discos virtuais fixos versus dinamicos, etc. Mas como o documento é focado em Exchange, achei algumas recomendações muito interessantes, principalmente o resumo que ele apresenta com os itens: Snapshots, differencing/delta disks Virtual processor/physical processor core ratios greater than 2:1 Applications running on the root virtual machine (excluding antivirus, backup, management software, and so on). Do meio do documento para frente ele passa a descrever um cenário de exemplo e mostrar os cáculos envolvidos pela carga do cliente e como seria o sizing, incluindo DAG e recomendações sobre como usar da melhor forma. Resumindo, leitura imperdível!!!!!! Faça o download em http://www.microsoft.com/downloads/en/details.aspx?FamilyID=8647c69d-6c2c-40ca-977e-18c2379b07ad

Tarefas e Configurações de um Server Core com WMIC

11 maio 2011 msincic Windows 2008, Windows, Windows 2003, Windows 7

Continuando a falar sobre as dificuldades que muitos encontram ao administrar um Windows 2008 Server Core, vamos falar um pouco sobre o WMIC (Windows Management Instrumentation Command-Line). Este é um comando que abre um console para administrar todos os recursos WMI disponiveis, o que inclui praticamente todo o ambiente do Windows. Para acessá-lo use o command prompt e chame o WMIC: Para conhecer todos os comandos digite “/?” e verá os switchs de formatação e saida e na sequencia a lista de comandos possiveis. Seguem alguns exemplo de comandos disponíveis: PRODUCT – Lista todos os programas instalados QFE – Listar os updates instalados na maquina SHARE – Listar os diretórios compartilhados PROCESS – Lista os processos em execução (similar ao Task Manager) NICCONFIG – Administrar as placas de rede, IP, etc. Qualquer um destes comandos e subcomandos podem ser consultados com “/?”: O exemplo acima mostra como habilitar o DHCP em uma placa por utilizar “NICCONFIG CALL ENABLEDHCP”, ou então colocar o IP do DNS usando “NICCONFIG CALL ENABLEDNS(<IP>)”. IMPORTANTE: Assim como o NETSH os comandos do WMIC podem ser executados em linha, o que o torna uma interessante ferramenta para uso em scripts. Faça um teste agora mesmo e utilize esta interessante ferramenta que também está disponivel desde o Windows XP e também no Windows 7 e Windows 2008 em instalação normal (GUI).

Relação Completa de Portas e Serviços do Windows 2008 R2

21 abril 2011 msincic Windows, Windows 2003, Windows 2008

Uma dúvida que temos com frequencia é quais são as portas que o Windows utiliza em determinado serviço. Por exemplo, ao configurar um firewall ou DMZ fazer a comunicação entre as pontas era complicado sem uma lista confiável de portas. Estas listas normalmente eram fragmentadas em serviços. Eu possuia um documento que listava estas portas do Windows 2003, mas com os novos serviços muitas informações se tornaram obsoletas. Agora a Microsoft atualizou a lista para o Windows 2008 R2 no link http://support.microsoft.com/kb/832017 O melhor nesta lista é que ao final constam as referencias a outros serviços e produtos Microsoft. Bom proveito, imprima ou copie esta relação e guarde-a !!!!

Videos do TechNet série Migração

22 julho 2009 msincic Exchange Server, Windows 2003, Windows 2008

Gravei a alguns meses 6 videos sobre a migração de Windows Server 2003 para Windows Server 2008 e Exchange Server 2003 para Exchange Server 2007 (rodando no Windows Server 2008). Os videos já foram editados e finalizados e podem ser assistidos online ou baixados. http://technet.microsoft.com/pt-br/ee331664.aspx

Windows Server Update Services (WSUS) com Exchange 2007 na mesma máquina (403 Access Denied)

14 maio 2009 msincic Exchange Server, Windows 2003, Windows 2008

Hoje precisamos fazer um servidor all-in-one para uma pequena filial de um Centro de Treinamento. Claro que o ideal seria ter mais servidores, mas como são apenas 10 usuários e dispomos de poucos recursos, implementamos este modelo. O problema surgiu quando instalamos o Exchange 2007 APÓS instalar o WSUS em uma máquina com Windows Server 2008. O WSUS parou de funcionar, sem motivo aparente, acusando erros em todos os seus subcomponentes, e ao testar a URL http://servidor/serfupdate recebiamos o erro 403: Access Denied. Problema: O WSUS por default se instala no site ROOT do IIS, o que não ocorreria em problemas mesmo coexistindo com o Exchange. Porem, o Exchange 2007 instala o OWA e habilita por default o uso de certificados digitais no Default Web Site, o que o WSUS não utiliza na configuração inicial. Solução: Uma série de chaves de registros poderiam ser alteradas de http para https, mas o mais simples é NÃO INSTALAR o WSUS NO SITE ROOT e sim mandar que ele crie um web site próprio no IIS. No nosso caso, desinstalamos o WSUS e reinstalamos com a opção novo web site.