Ambiente legado – Definindo frequência de sincronismo no Dir-Sync entre AD On-premise com Office 365

Olá pessoal,

eu sempre venho comentando que devemos olhar para ambientes novos com as metodologias ágeis, as clouds e os microserviços, mas sem esquecer os ambientes legados. A quantidade de empresas com ambientes baseados em servidores com Windows Server 2008/2008R2 é enorme. A dica de hoje vai para quem tem Office 365 e faz o sincronismo de diretório com o Active Directory da sua empresa utilizando a ferramenta Windows Azure Active Directory Sync tool, também conhecida como DirSync.

Por padrão, o sincronismo ocorre a cada 3 horas. No caso de ambientes com muitas alterações de usuários e senhas esse tempo pode não ser o adequado.

Podemos mudar essa frequência de sincronização editando o valor “SyncTimeInterval” no arquivo Microsoft.Online.DirSync.Scheduler.exe.Config que fica no diretório C:\Program Files\Windows Azure Active Directory Sync

Por padrão o valor vem “SyncTimeInterval” value=”3:0:0″ que corresponde a 3 horas. Se você quiser mudar, por exemplo para 1 hora, altere o valor para “1:0:0”

Caso queira para 40 minutos defina o valor para “0:40:0”

Feito isso salve o arquivo e reinicie o serviço Windows Azure Active Directory Sync Service para isso abra um prompt de comando (cmd) e execute:

net stop MSOnlineSyncScheduler

net start MSOnlineSyncScheduler

Até a próxima!

Windows Server – Verificando a versão do schema do Active Directory

Olá pessoal,

Como eu sempre falo em minhas palestras e eventos, apesar de vivermos uma explosão de incentivos, ofertas e conteúdos voltados para os serviços em nuvem, o mundo on premise, ou seja a infraestrutura local, interna nas empresas segue demandando e exigindo muitos dos profissionais e consultores de TI.

Com o fim do suporte ao Windows Server 2008 R2 por parte da Microsoft em 14 de janeiro de 2020 as empresas já estão se movimentando para atualizar seus ambientes. Vejo grandes oportunidades de negócio, inclusive no ano passado eu publiquei um vídeo sobre.

Sem dúvida já existe uma demanda enorme para migração de ambientes Active Directory baseados no Windows Server 2008 R2 e em momentos de migração ou upgrade é necessário saber a versão do schema de forma a fazer o planejamento adequado da versão correta do Windows Server a ser instalada.

Vejam abaixo a relação de sistemas operacionais e suas respectivas versões do AD.

AD_SCHEMA_VERSOES

Mas como fazer para identificar a versão do schema do AD do seu ambiente? Vou listar 3 maneiras abaixo:

1 – Através do Registro (regedit) do Windows, navegando em Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NTDS\Parameters e verifique a entrada Schema Version, no exemplo abaixo versão 47, ou seja, Windows Server 2008 R2.

AD_SCHEMA_VERSOES_REGEDIT

2 – Via CMD, utilizando o comando dsquery, substitua “nomedominio” e “corp” pelo nome do domínio a ser pesquisado:

dsquery * cn=schema,cn=configuration,dc=nomedominio,dc=corp -scope base -attr objectVersion

3 – Via PowerShell:

Get-ADObject (Get-ADRootDSE).schemaNamingContext -Property objectVersion

Espero ter ajudado! Boas migrações!

PowerShell – Identificando os servidores Controladores de domínio utilizados pelo Exchange Server

WindowsPowerShellOlá pessoal,

Durante uma migração de Active Directory em um cliente, foi necessário verificar e garantir que o servidor Exchange Server estava pesquisando e utilizando os servidores Controladores de domínio e Global Catalog corretos para autenticação.

Para obter essa informação via PowerShell vamos executar o comando abaixo:

Get-ExchangeServer -Identity “servidor” -status | fl

Substitua “servidor” pelo nome do seu servidor Exchange Server nas versões 2007, 2010, 2013 ou 2016.

Até a próxima!

Active Directory – Evento 4 – KRB_AP_ERR_MODIFIED – Refazendo canal seguro entre DCs

Olá pessoal,

Em um cliente de porte médio, Active Directory com dois Domain Controllers (Windows Server 2008 R2), ocorreu um incidente em que algumas estações de trabalho pararam de receber as politicas aplicadas nas GPOs, não mapeavam as pastas da rede e impressoras e não carregava o papel de parede.

Verifiquei que realmente estava ocorrendo falha, primeiro tentando forçar as políticas (gpupdate /force) e depois verificando quais políticas estavam sendo aplicadas (gpresult /R) em ambos os casos ocorreu falha.

Verificando os domain controllers (dcdiag) identifiquei que houve falha na replicação e evento ID 4 no log de um dos servidores identificando falha na conectividade via Kerberos entre o DCs onde o ticket emitido pelo servidor que contém as FSMOs (para identificar utilize netdom query fsmo) não estava sendo descriptografado pelo outro servidor devido à conta associada ao servidor (neste caso Administrator) estar divergente.

EVENTID4.png

Para corrigir e refazer o canal seguro entre os servidores executem os passos abaixo:

  • No servidor (vamos considerar Servidor2) que está com falha no sincronismo, pare o serviço KDC com o comando net stop KDC
  • Agora será necessário redefinir a conta e a senha do controlador de dominio no Servidor2 utilizando o comando netdom /resetpwd /server:Servidor2 /userd:dominio.com.br\administrator /passwordd:xxxxxxxxx
  • Force uma sincronização do domínio utilizando repadmin /syncall
  • Inicie o serviço KDC no Servidor2 com o comando net start KDC
  • Reinicie os servidores e o canal de segurança estará refeito

Solarwinds Free Admin Bundle for Active Directory

Olá pessoal,

mais uma dica de ferramentas gratuitas e úteis para analistas de suporte e administradores de rede, especialmente para os que gerenciam ambientes com Active Directory (AD) e obviamente precisam manter o ambiente atualizado e protegido. Muitas das vezes as empresas precisam manter objetos inativos por questões de auditoria, porém neste caso os mesmos devem ser mantidos bloqueados e em uma OU (Organizational Unit) separada das contas que estejam ativas e em produção.

Pois bem, a Solarwinds oferece gratuitamente o Admin Bundle for Active Directory, um pacote com 3 ferramentas administrativas que simplificam e muito o gerenciamento do AD. São elas:

  • Inactive User Account Removal Tool – Realiza scan no domínio em busca de contas de usuário inativas, você pode gerar um relatório em csv e tem a opção de remover as contas
  • Inactive Computer Account Removal Tool – Realiza o mesmo trabalho que a ferramenta acima mas desta vez buscando contas de computadores inativas e você também pode gerar um relatório em csv e remover as contas encontradas se quiser
  • User Import Tool – Ferramenta para criação de usuários em massa permitindo inclusive a especificação de atributos

A utilização das ferramentas é bem simples, basta validar as credenciais administrativas do domínio e configurar o período de inatividade dos objetos para obter a lista, vejam abaixo, como exemplo, a busca por computadores inativos desde 01/01/2018.

SolarwindsInactivePCs_1

SolarwindsInactivePCs_2

SolarwindsInactivePCs_3

Faça o download do Admin Bundle for Active Directory em https://www.solarwinds.com/free-tools/active-directory-admin-tools-bundle

Até a próxima!

PowerShell útil para exportar Usuários do Active Directory com informações detalhadas

Olá pessoal,

WindowsPowerShellCompartilho com vocês um comando PowerShell bastante útil para exportar para um arquivo *.csv, informações referentes aos principais atributos configuráveis em uma conta do Microsoft Active Directory de todos os usuários do domínio.

Antes de mais nada, caso ainda não tenham feito, será necessário importar o módulo do Active Directory no PowerShell através do comando abaixo:

Import-Module ActiveDirectory

Para consultar as informações a respeito dos atributos dos usuários do domínio e exportar para um arquivo *.csv (no exemplo abaixo, UsuariosAD.csv) execute o comando abaixo:


Get-Aduser -Filter * -Properties *|select

name,SamAccountName,PasswordExpired,PasswordLastSet,PasswordNeverExpir

es,LastLogonDate,Enabled,DistinguishedName,DisplayName,GivenName,SurName

,Company,Mail,Department,Title,Created,AccountStatus|export-csv

C:\UsuariosAD.csv


Este script é bastante útil para documentar o ambiente ou fornecer informações de auditoria, por exemplo. Aproveitem!

Video da palestra “AD DS, Azure AD, Azure AD Premium: Diferenças e quando usar cada um!” no Community Cast Week 2017

Olá pessoal,

tudo bem?

No último dia 23/11 eu tive o prazer de participar do Community Cast Week 2017, aplicando a palestra AD DS, Azure AD, Azure AD Premium: Diferenças e quando usar cada um! junto com meu amigo e também MVP Alexandro Prado.

A palestra já está disponível no youtube para aqueles que não participaram ou queiram assistir novamente. Vejam abaixo:

Agradeço aos organizadores Eduardo Sena e Nathan Pinotti pelo convite e espero que o evento tenha sequência em 2018.

 

Como desabilitar o Windows Firewall via Group Policy

Um cliente me solicitou a execução de uma atividade remota em um computador da rede em Ambiente com Active Directory. As máquinas possuem o Windows Firewall ativado por padrão.

Primeiramente criei uma OU “ComputadoresSemFirewall”, movi o objeto referente a este computador em questão para esta OU recém criada e via GPMC criei uma nova GPO com Link para esta OU, configurei a GPO para desabilitar o Windows Firewall, realizei a atividade e depois retornei o computador para a sua OU original.

Abaixo segue o passo a passo a respeito da configuração de uma GPO destinada a desabilitar o Windows Firewall.

1 – Execute o Group Policy Management Console

2 – Navegue até a OU desejada, no meu caso “ComputadoresSemFirewall”

3 – Botão direito nesta OU e clique em Create a GPO in this domain, and Link it here

4 – Defina um nome para esta GPO e clique em OK

5 – Com a GPO criada, clique com o botão direito na mesma e depois em Edit

6  -Navegue por

  • Computer Configuration
    • Policies
      • Administrative templates
        • Network
          • Network Connections
            • Windows Firewall
              • Domain Profile

WU

7 – Clique em Windows Firewall: Protect all network connections, defina a opção Disabled e depois clique em OK.

8 – Caso você tenha acesso fisico ao computador, você pode forçar manualmente a aplicação das politicas utilizando o comando gpupdate /force ou você pode aguardar o ciclo de replicação do AD que vai variar de acordo com seu tamanho., da quantidade de objetos, sites, domain controllers.

Até a próxima!

Ferramentas Windows Sysinternals – Gratuitas e indispensáveis para todo Consultor de TI

windows_sysinternals Em 1996, os especialistas Mark Russinovich e Bryce Cogswell criaram um website chamado Sysinternals onde comercializavam e divulgavam o pacote de utilitários criado por ambos, chamado Winternals. Se tratava de um conjunto de ferramentas bastante úteis e avançadas para suporte, debug e recuperação de máquinas com Windows, muitas das vezes sem elas não era possível restaurar um equipamento. Ainda tenho uma versão antiga do Wininternals em casa e vou preparar em breve um vídeo sobre. Podem me cobrar.

Com o sucesso e óbvia qualidade deste pacote de ferramentas, as mesmas foram incorporadas pela Microsoft, atualizadas se tornaram gratuitas e passaram a se chamar Sysinternals e hoje o Mark Russinovich trabalha na empresa e é uma referência em todo o mundo quando o assunto é troubleshooting de sistemas Windows.

As ferramentas estão disponíveis para download no portal Technet no site Windows Sysinternals e também podem ser executadas diretamente da URL http://live.sysinternals.com/ (via browser ou Executar – Abrir) sendo uma boa opção pois ali sempre estão as versões atualizadas dos utilitários.

Sysinternals2

Sysinternals3

Vejam abaixo a descrição de algumas das ferramentas que fazem parte do indispensável pacote Sysinternals que deve fazer parte da coleção de TODOS os Consultores/Técnicos/Analistas de TI que trabalham com SO Windows e plataforma Microsoft.

Sysinternals

Ferramenta GRATUITA: Solarwinds Free AD Admin Tools

A Solarwinds disponibiliza o pacote AD Admin Tools com ferramentas gratuitas para auxiliar na tarefa de gerenciamento do Active Directory. São 3 ferramentas que compõem o pacote:

Inactive Computer Removal Tool – Faz uma varredura no AD em busca de computadores que estejam sem utilização por um número definido de dias, por exemplo, nos últimos 30 dias, 60 dias e assim por diante.

Inactive User Account Removal Tool – Similar à ferramenta acima, só que para usuários.

User Import Tool – Para importar usuários para o AD a partir de um arquivo *.csv

SolarWindsAD1

Podemos executar essas 3 tarefas utilizando scripts, mas ter uma ferramenta gráfica para este fim, pode ser bastante útil e usual, além de facilitar a vida do consultor na hora de deletar os objetos do AD.

Faça o Download do AD Admin Tools aqui.

Poster Cloud Ecosystem: Microsoft Azure, Windows Server 2012 R2, System Center 2012 R2 e App Gratuita Posterpedia

Muito interessante o Poster disponibilizado pela Microsoft com o detalhamento do Ecossistema de Cloud composto por Azure, Windows Server 2012 R2 e System Center 2012 R2. Vejam abaixo a miniatura do poster.

Cloud Ecosystem Poster

O download do poster pode ser feito aqui.

Para ter acesso a este poster e aos outros referentes a outras tecnologias Mcrosoft e já disponibilizados anteriormente, eu recomendo a app Posterpedia disponível na Windows Store em http://aka.ms/sposterpedia Vale a pena baixar a app e os posters. Documentação indispensável.

Posterpedia

 

Posterpedia2

Podcast 28 – Sobre Office 365 e Sorteio de Vouchers de certificação

podcast28final

Neste podcast, Carlos Lauff e eu conversamos com Alvaro Rezende, MVP Microsoft em Office 365.

Como novidade nesta semana, temos um sorteio de 2 vouchers de Certificação Microsoft em Office 365, cortesia do nosso convidado desde episódio. Para participar é bem simples, o ouvinte tem que seguir no Twitter os 3 participantes deste episódio, @alvarorezende, @paulo_santanna e @CalLauff e twittar a frase abaixo:

“Quero ganhar um voucher de certificação Office 365 sorteado pelo @alvarorezende, @paulo_santanna e @CalLauff

O sorteio será realizado Quinta-feira (04/12) na parte da noite, os ganhadores serão anunciados aqui no blog e também no Twitter e deverão agendar o exame para ser realizado até o final de Dezembro deste ano, portanto atenção!

Então ouçam o podcast, nos sigam no Twitter e boa sorte!

Podcast 27 – Anúncios e novidades da Microsoft

podcast27final

Neste podcast, Alexandro Prado, Carlos Lauff e eu conversamos sobre os recentes anúncios e novidades da Microsoft.

Ouçam e divulguem!

PPTX da sessão Server Core na prática utilizado no evento Infnet Infra Day II

Amigos Leitores,

Conforme prometido, disponibilizo a apresentação que utilizei na sessão “Server Core na prática” realizada no último sábado (27/09) no evento Infnet Infra Day II – Microsoft.

Agradeço a todos os participantes e aos comentários posteriores com relação às demos realizadas.

Até o próximo evento.

PowerShell – Descobrindo o usuário do domínio através do SID e vice versa

Mais uma dica bem legal de PowerShell para administradores de ambientes baseados em Windows.

Para descobrir um nome de usuário pertencente a um domínio Active Directory  através do seu SID (Security Identifier) execute:

$objSID = New-Object System.Security.Principal.SecurityIdentifier `
(“DIGITE-O-SID-AQUI”)
$objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
$objUser.Value

Agora, para fazer ao contrário, tenho o nome do usuário do domínio e quero descobrir o SID desta conta, execute:

$objUser = New-Object System.Security.Principal.NTAccount(“NOME_DOMINIO”, “NOME_USUARIO”)
$strSID = $objUser.Translate([System.Security.Principal.SecurityIdentifier])
$strSID.Value

Guardem esses scripts! Serão bastante úteis!

Exportando lista de usuários pertencentes a um grupo do AD

Dica rápida.

Situação: Para fins de auditoria, você precisa gerar uma lista dos usuários pertencentes a um determinado grupo do Active Directory?

Simples, execute a partir de um Domain Controller o seguinte comando:

dsget group “CN=Administrators,CN=Builtin,DC=dominio,DC=com,DC=br” -members

Obs: Troque dominio.com.br pelo nome do domínio que você administra.

Se preferir jogar diretamente para um arquivo txt, usando como exemplo o dominio inventit.com.br:

dsget group “CN=Administrators,CN=Builtin,DC=inventit,DC=com,DC=br” -members > Usuarios.txt

Até a próxima!

 

Mapeando o AD e Exchange utilizando o Active Directory Topology Diagrammer

Precisando de uma ferramenta para mapear o Active Directory e o Exchange da empresa onde você trabalha ou do seu cliente? Sim, utilize o Active Directory Topology Diagrammer, da própria Microsoft, gratuito e muito fácil de utilizar. Com poucos cliques e com as devidas credenciais no ambiente você documenta o AD e o Exchange exibindo as topologias, relações de confiança, servidores, dominios, sites…

Bom para você, seu chefe e seu cliente!

Vejam abaixo o video que preparei sobre a ferramenta:

 

Requisitos: Visio 2003/2007 ou 2010 deve estar instalado na máquina onde o ADTD for instalado. O mapeamento feito é exibido no Visio.

Ferramenta indispensável para Consultores, Analistas e Tecnicos de TI.

Download do ADTD aqui