Marcelo Sincic | Windows 2008

EOL do Windows e SQL 2008–Opções de Extensão

22 julho 2018 msincic Azure, Microsoft Azure, Windows 2008, SQL Server, Windows

Como já é conhecido, o ciclo de vida de produtos da Microsoft para 2019 incluem o Windows e SQL 2008 RTM e R2. Fonte: https://support.microsoft.com/pt-br/lifecycle/search Porque isso é importante? Esse é um problema típico nas grandes empresas, controlar o ciclo de vida do suporte dos produtos que estão implementados. Esse assunto não é de menos importancia, pois ter o suporte finalizado implica: Novas ameaças de segurança, mesmo as que envolvem brechas de software, não são mais disponibilizadas para os sistemas expirados Novos recursos em novos produtos não tem garantia de funcionamento nos produtos expirados O primeiro item é importantissimo. Imagine que sua empresa está vulnerável a um ataque como muitos que vimos, pois apenas UM SERVIDOR em seu ambiente é expirado!!! O que fazer se tenho produtos que expiram? Obviamente que a melhor opção é migrar (“TO-BE”), mas sabemos que nem sempre é possivel. O que pode ajudar é usar produtos como o Service Map do Log Insights (http://www.marcelosincic.com.br/post/Azure-Log-Insigths-Service-Map.aspx). Mas para quem não pode fazer o upgrade, uma das opções é comprar o suporte via Premier para mais 3 anos, que não é barato mas é possivel negociar através do seu time de contas Microsoft. O custo para extender o suporte POR ANO é equivalente a 75% do software full na versão mais atual. Porem, a Microsoft disponibilizou uma opção bem interessante que é migrar para Azure “AS-IS”!!!! Isso mesmo, quem migrar para Azure o Windows 2008 e SQL Server 2008 não precisará se preocupar pois terão gratuitamente o suporte por 3 anos adicionais. https://azure.microsoft.com/pt-br/blog/announcing-new-options-for-sql-server-2008-and-windows-server-2008-end-of-support/ Não precisamos nem discutir que é uma estratégia para aumentar o uso de Azure, mas muito boa financeiramente para qualquer workload que possua.

Monitoração de Servidores com o System Center Advisor

16 abril 2013 msincic Exchange Server, Operations Manager, Outros, System Center, Windows 2012, Windows 2008

O System Center Advisor já era um produto conhecido a alguns anos, porem no inicio de Março foi anunciado que ele passou a ser gratuito para todos os clientes! O que é o System Center Advisor? O Advisor é similar ao System Center Operations Manager 2012 (SCOM), porem com uma série de regras baseadas em boas práticas. Atualmente ele suporta Windows Server 2008, Windows Server 2012, SQL Server 2005, SQL Server 2008, SQL Server 2012, Exchange Server 2010, Lync 2010 e SharePont 2010. As suas regras atualmente somam 249 itens (em 15/04/2013) e sempre sendo atualizadas e acrescentadas. É possivel escolher quais regras serão utilizadas, por produto ou feature especifica. É importante ressaltar que o Advisor não foi criado para dar suporte a estações, o que é responsabilidade do Windows Intune. Suas telas principais são o Dashboard que traz um resumo dos alertas por tipo de produto e servidor: Detalhamento de cada um dos alertas, com dados do servidor e os itens com seus respectivos valores que levaram o SCA a identificar o alerta: Por fim, é possivel ver o histórico de atualizaçoes de hardware e software por meio dos snapshots de configuração disponiveis, permitindo comparar os valores de uma data com outro, criando um CCM de servidores: Como se Cadastrar e Configurar o System Center Advisor? Para abrir uma conta no SCA é necessário apenas ter uma Microsoft Account (antigo Live ID/Passport) e entrar na home em https://www.systemcenteradvisor.com/Default.aspx sendo que o cadastro é simples e claro. O passo seguinte é instalar os agentes, porem iremos falar disso no próximo tópico. Após criar a conta já é possivel configurar os alertas desejados, que podem ser acessados pela console em Alerts –> Management Alert Roles mostrado nas imagens acima na tela de alertas e ver a imagem abaixo: Note que é possivel selecionar as regras por tipo de produto, como a imagem acima, ou mesmo por alerta especifico, por exemplo, se o PowerShell está instalado ou não quando for verificado o sistema operacional: Outro item de configuração importante de ser realizado é a criação de usuários e seus papeis no portal. A imagem abaixo das configurações de segurança mostra como podemos acrescentar, editar ou deletar usuários, bem como indicar quais alertas cada usuário irá receber em seu email: O SCA não permite selecionar quais itens cada usuário do portal poderá receber, uma vez que os papeis podem ser apenas de usuário (visualização) ou administrador. Para receber os alertas, selecione o checkbox abaixo: Instalando os Agentes nos Servidores Para instalar os agentes é necessário baixar o aplicativo e o certificado digital, que é utilizado no Gateway como forma de autenticação. O diagrama abaixo demonstra como é o processo de comunicação: Para fazer o download do certificado e o agente clique em “Setting up System Advisor” na Dashboard principal e selecione os itens pelos botões de download: É importante entender que o agente (binário) é um só para qualquer conta, o certificado que identifica o cliente/conta que está sendo monitorada e pode ser utilizado em vários servidores que irão ser gateway. Em casos de servidores standalone, ele deverá ser agente e gateway. Esta opção de instalação é feita durante o setup do agente: Se a instalação é gateway, será solicitado os dados de proxy (se houver) e a localização do arquivo do certificado. Se a instalação é de agente deverá ser colocado o nome do servidor que é o gateway. Obviamente o primeiro cliente a ser instalado deverá ser o gateway server. Logs e Configurações A configuração dos agentes/gateways podem ser feitas a qualquer momento por utilizar a ferramenta “System Center Advisor Configuration Wizard”, onde ele irá mostrar as configurações especificas para agente ou gateway, como as duas imagens abaixo demonstram: Tambem é importante que se dê permissão aos agentes no gateway por usar o grupo local “Allowed Advisor Agents” e acrescentar os computadores que irão se comunicar com ele: Para verificar os logs, deve ser utilizado no Event Viewer o log “Operations Manager” ou o diretório Program Files\System Center Advisor\<AgentData ou GatewayData>\Logs. Coexistencia em Ambientes com SCOM O agente do SCA é o mesmo utilizado pelo SCOM, portanto os dois sistemas de monitoração podem coexistir, sendo que uma mesma maquina pode se reportar aos dois sistemas, que são identificados pelo Management Group, que no caso do SCOM é definido na criação do Management Server e no caso do Advisor ao criar a conta no serviço. Como o agente do Operations Manager já é desenhado para permitir a monitoração por vários servidores SCOM em organizações diferentes, isso não é problema ou impeditivo para ambientes em que se deseje usar os dois sistemas de monitoração.

Analisando Performance com o Server Performance Advisor 3.0

10 abril 2013 msincic Hardware, Windows 2012, Windows 2008, Virtualizaçao, IIS

Neste post irei abordar o uso do SPA, como instalá-lo e quais as informações que retornam para auxiliar o administrador de sistemas. Esta ferramenta recentemente atualizada para Windows 2012 esta disponivel em http://msdn.microsoft.com/en-us/library/windows/hardware/hh367834.aspx#Download_the_SPA_3_software Instalação Ao executar o aplicativo será criada a pasta com os binários e arquivos de configuração do SPA, como a imagem abaixo, onde deverá ser executado o SPAConsole.exe para efetuar a instalação: A instalação não cria qualquer banco de dados ou instala SQL Express ou outro, mas apenas instala os binários necessários a execução do aplicativo. Toda a configuração é realizada na primeira execução, ao criar os projetos. Criando Projetos de Análise Ao abrir o SPA crie um projeto, o que define o banco de dados para guardar os dados de servidores análisados. Abaixo a tela de configuração do projeto: Na sequencia podemos escolher quais os pacotes que serão analisados, podendo ser Hyper-V, IIS e Windows Server Core: Na sequencia definimos os servidores que serão analisados, sendo que pode-se acrescentar ou remover servidores posteriormente, apenas editando o projeto. Note que para cada servidor será criada uma pasta que compartilhada onde o SPA irá gravar dados e utilizar para as métricas: Executando as Análises O proximo passo é executar as análises, escolhendo os pacotes de monitoração desejados: Durante a execução das análises será mostrado uma tela de acompanhamento, que pode demorar um longo tempo, tanto em virtude do numero de servidores como também a quantidade de dados em cada um dos pacotes de análise selecionado: Terminada a execução, vemos um dashboard com os principais dados alertados em cada um dos pacotes de análise desejado: Analisando os Dados Coletados Como pode ser visto na imagem acima, ao lado de cada servidor e pacote analisado é possivel visualizar o relatório individual. São relatórios muito bem apresentáveis e com detalhamento de cada item que foi analisado. Por exemplo, abaixo vemos o relatório do CoreOS onde temos as notificações de alertas, detalhes da configuração, dados de CPU, memória, disco e rede. Note que as guias de dados contem os detalhes da análise, enquanto a guia de notificações resume os problemas encontrados com sugestões de como resolver o gargalo encontrado: Alem da guia de notificações, em cada uma das guias de dados analisados é possivel comparar com análises anteriores no botão Actions >> como o exemplo abaixo onde estariamos comparando relatórios de rede anteriores: Outra forma de visualização de dados é utilizando gráficos de performance. Para isso clique no botão ao lado de cada pacote de análise e escolha o periodo que será utilizado para o desenho dos gráficos: Muito similar aos dashboards do System Center Operations Manager, o SPA monta gráficos permitindo escolher entre todos os contadores analisados e sumarizados: Após selecionar o periodo e os contadores, o gráfico pode ser visualizado como sumário geral, por dia da semana ou horário do dia em cada uma das 3 guias. Conclusão Com este aplicativo simples e funcional é possivel que administradores tenham uma visão detalhada da performance dos servidores, comparar com análises anteriores após fazer as correções e atualizações, e por fim apresentar dados de forma consistente quando necessário justificar investimentos na área de TI.

WMF 3.0 Causa Problemas com Exchange e SCCM

20 dezembro 2012 msincic System Center, Configuration Manager, Windows 2008, Windows 2012

Em um post anterior comentei que para administrar um servidor Windows 2008 R2 com o Server Manager do Windows 2012 (http://www.marcelosincic.com.br/blog/post/Monitorando-Servidores-Windows-2008-R2-com-o-Windows-2012-Server-Manager.aspx) bastava instalar o Windows Manager Framework 3.0 (WMF 3.0). Recentemente o WMF 3.0 passou a ser oferecido como opcional no Windows Update. Porem, agora surgem avisos de que ele causa alguns comportamentos indesejados no Exchange 2007/2010 e SCCM 2012, com isso é bom verificar se o produto instalado no servidor será afetado. Os dois produtos estão confirmados, mas existem muitos relatos em foruns de problemas com scripts para SharePoint e .NET Ou seja, pelo que é possivel entender o WMF 3.0 afeta o funcionamento do IIS e aplicações que utilizam o IIS e .NET ficam comprometidas. Windows Management Framework 3.0 on Exchange 2007 and Exchange 2010 Configuration Manager Management Points collocated with clients fail after installing Windows Management Framework 3.0 and running Client Health Evaluation

Gravação da Palestra Gerenciando Private Cloud com System Center 2012 no MVP IT ShowCast na PUC

19 dezembro 2012 msincic AppController, Cloud computing, Orchestrator, System Center, Configuration Manager, Data Protection Manager, Operations Manager, Service Manager, Virtual Machine Manager, Windows 2008, Windows 2012

Na palestra de sábado, focamos o System Center de forma diferente. Ao invés de abordar todos os produtos e o cada um deles faz, o foco foi centralizado nas capacidades que são utilizadas em gerenciamento de Private Clouds, por exemplo, no SCCM cobrimos as funcionalidades de DCM e Software Update, já que as outras não são utilizadas em escala significativa para Private Cloud. Private Cloud com System Center 2012 no MVP ITShowCast

Alteração no Kerberos do Windows 2012 pode causar Acesso Negado

28 outubro 2012 msincic Active Directory, Windows, Windows 2003, Windows 2008, Windows 2012

Em uma reunião com os Microsoft PFEs Gilson Banin e Marcelo Ferratti foi comentado sobre uma alteração no método como o Windows 2012 gera um Ticket de autenticação pelo Kerberos, chamado de “KDC Resource SID Compression”. Situação Atual Como já é sabido, um Ticket de autenticação leva o SID do usuário e dos grupos do qual ele faz parte, além do SID History em casos de migração anterior. Em alguns casos, principalmente dominios muito grandes, o Ticket podia estourar o limite padrão de 12 Kb e gerar problemas na autenticação. Vale lembrar que pelo mesmo motivo um usuário não pode fazer parte de mais do que 1024 grupos. Atuamente o Ticket (PAC) é composto por SIDs completos: Os valores padrão de identificação (S-1-5), o SID do dominio e o RID individual do objeto no ultimo bloco: S-1-5-21-3419695430-3854377854-1234 S-1-5-21-3419695430-3854377854-1466 S-1-5-21-3419695430-3854377854-1675 S-1-5-21-4533280865-6432248977-6523 S-1-5-21-4533280865-6432248977-6578 Alteração no Windows 2012 A mudança no KDC consiste em não mais incluir no Ticket dados repetidos, com isso o Ticket gerado por um Domain Controller com Windows 2012 fica com menor tamanho e resolve o problema de ser necessário a alteração do tamanho do Ticket. Assim, o mesmo exemplo anterior de Ticket ficaria: S-1-5-21-3419695430-3854377854-1234 -1466 -1675 S-1-5-21-4533280865-6432248977-6523 -6578 O problema é que servidores anteriores ao Windows 2012 não “entendem” o novo Ticket e só permitirá acesso as ACEs que sejam completas, portanto o usuário conseguiria acessar locais onde a permissão foi concedida nos casos 1 e 4 do exemplo, mas não acessaria caso a permissão seja de um dos outros SIDs. Conclusão Em um dominio onde ainda existam servidores anteriores ao Windows 2012, o que inclui o Windows 2008 R2, o acesso ao servidor de arquivos, Exchange e qualquer outro que seja baseado no Kerberos terá problemas de acesso negado. Remediação Crie a chave de Registry Dword DisableResourceGroupsFields em HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kdc\Parameters para desabilitar este recurso. Mais Informações: http://support.microsoft.com/kb/2774190

Utilizando Robocopy para Sincronizar Dados do Windows 2012 com NAS (Linux)

16 outubro 2012 msincic Windows 8, Windows, Windows 2008, Windows 2012, Windows 7, Windows 2003

Esta semana precisei migrar dados de um servidor Linux para Windows e passei por um problema que já conhecia, onde em todas as execuções o Robocopy copia novamente os arquivos não alterados com a situação “Modified” ou “Never”. Possuo um Netgear ReadyNAS Duo para executar VMs e backup de arquivos e na época da compra montei um script para sincronizar dados entre o notebook e o NAS que utiliza ext3, compativel com FAT32. O problema é que o FAT32 utiliza timestamp nos arquivos com precisão de 2 milisegundos diferentes do NTFS, como mostra o print abaixo. Note que o arquivo da esquerda é o local (S:) e o da direita do NAS e veja a diferença nas tags “Created” e “Modified”: Para resolver isso existe uma solução muito simples: acrescente o parametro /FFT no final do comando. Agora a sincronização ocorrerá com sucesso, ainda irá mostrar a mensagem “Changed” nos arquivos na saida do comando, mas ele não irá mais copiar estes arquivos não alterados. Fonte: http://technet.microsoft.com/pt-br/library/cc733145%28v=ws.10%29.aspx

Upgrade do Windows 2008 R2 (com SQL Server and AD) para Windows 2012

02 outubro 2012 msincic SQL Server, Windows 2008, Windows 2012

Já realizei diversas migrações de Windows 2008 R2 para Windows 2012 no modelo de migração, onde ele gera o diretório C:\Windows.old com os dados anteriores e reconfiguro o servidor, também chamado de upgrade side-by-side. Importante: Não deixe de verificar se os aplicativos instalados no Windows 2008 R2 estão atualizados e são compativeis com o Windows 2012. Por exemplo, o Exchange 2010 e System Center 2012 ainda não estão suportados. Hoje resolvi fazer alguns testes de upgrade in-place (atualização) do Windows 2008 R2 para o Windows 2012, direto com a maquina no ar. E o detalhe que a maquina que migrei é um Domain Controller com as FSMOs ativas, SQL Server 2008 R2 com Reporting Services para suportar todo o meu laboratório de System Center 2012. O resultado foi positivo, o AD subiu como esperado, o SQL Server 2008 R2 (que estava atualizado) e o SRSS funcionaram perfeitamente como mostra o print abaixo: E quando algo dá errado? Isso me aconteceu, no meio da migração o HD externo que utilizo para as VMs perdeu conexão. A instalação já estava no terceiro boot quando é realizada a migração das configurações e ao reiniciar a VM tive acesso a este menu: Escolhi a opção Windows Setup Rollback e o resultado foi excepcional. O Windows 2008 R2 retornou com todas as features funcionando, como se nada tivesse acontecido e mostrou a mensagem abaixo: Notem que o SQL e o restante das aplicações continuaram funcionando após o rollback, demonstrando a maturidade do processo de upgrade in-place disponivel no Windows 2012. Conclusão Obviamente faça backup (imagem) da maquina antes de fazer o upgrade, mas coloque o upgrade de servidores com Windows 2008 R2 SP1 para Windows 2102 como uma possibilidade segura e vantajosa!

Monitorando Servidores Windows 2008 R2 com o Windows 2012 Server Manager

12 setembro 2012 msincic Windows 2008, Windows 2012

Atualizado em 20/12/2012: Alguns produtos como Exchange 2007/2010 e SCCM 2012 apresentam problemas após instalação do WMF 3.0 (http://www.marcelosincic.com.br/blog/post/WMF-30-Causa-Problemas-com-Exchange-e-SCCM.aspx) Uma das novidades do Windows 2012 foi a possibilidade de gerenciar e visualizar por meio dos dashboards a situação de todos os servidores da empresa. Uma informação importante é que também é póssivel monitorar servidores Windows 2008 e Windows 2008 R2, sendo que para isso é necessário instalar o WinRM 3.0 (Windows Remote Management) que não é o padrão destes SOs que utilizam a versão WinRM 2.0 Porem, esta semana a Microsoft liberou o WMF (Windows Management Framework) que atualiza o WinRM, WMI (Windows Management Instrumentation) e PowerShell para as versões 3.0, possibilitando o gerenciamento no Server Manager do Windows 2012 de servidor com Windows 2008. Para baixar o pacote acesse http://www.microsoft.com/en-us/download/details.aspx?id=34595 Após baixar e instalar o update para o WMF 3.0 execute o command prompt como administrador e digite “WINRM Quickconfig” para habilitar o acesso remoto: Na sequencia poderá incluir o servidor Windows 2008 na lista de monitoração do Windows 2012 e todas as informações já estarão disponiveis:

Problema de Conexão com o Remote Desktop Eventos 1000 e 7031

28 agosto 2012 msincic Windows 2008

Esse erro é comum após a instalação de um novo servidor, principalmente quando instalamos o Windows 2008 R2 e depois o SP1 com midias separadas, normalmente nesta ordem ou similar: Instalação do Windows 2008 R2 sem o SP1 (RTM) Ingressa a máquina no dominio Habilita o Remote Desktop Instalação do Service Pack 1 do Windows 2008 R2 SINTOMA Ao se conectar com o Remote Desktop o servidor remoto derruba a conexão logo após o logon e o serviço de RDP cai registrando os eventos 1000, 1001, 7031 e 7036 (não necessariamente todos eles). Event ID: 1000 Faulting application name: svchost.exe_TermService, version: 6.1.7600.16385, time stamp: 0x4a5bc3c1 Faulting module name: rdpcorekmts.dll, version: 6.1.7600.16952, time stamp: 0x4f1f9e66 Exception code: 0xc0000005 Fault offset: 0x000000000000a793 Faulting process id: 0x64c Faulting application start time: 0x01cd849427006890 Faulting application path: C:\Windows\System32\svchost.exe Faulting module path: C:\Windows\system32\rdpcorekmts.dll Report Id: 8edb6c0f-f087-11e1-b956-f04da207fb81 Event ID: 7031 The Remote Desktop Services service terminated unexpectedly. It has done this 1 time(s). The following corrective action will be taken in 60000 milliseconds: Restart the service. CAUSA Uma GPO de dominio está obrigando o modo de autenticação seguro, enquanto a configuração local foi configurada para permitir conexões não seguras. A primeira imagem abaixo mostra como foi configurado localmente o RDP no servidor e a segunda as GPOs que forçam o modo de autenticação seguro: RESOLUÇÃO Para resolver este problema, o primeiro passo é logar localmente no servidor e alterar o Remote Desktop para permitir apenas conexões seguras, compativel com a GPO (terceira opção na primeira imagem acima). Caso ainda tenha problemas, instale o Hotfix disponivel em http://support.microsoft.com/kb/2672601