Luiz Henrique Lima Campos – Microsoft MVP

3 de dezembro de 2024
por luizhenriquelima
0 comentários

Verificando a Saúde do Active Directory no Windows Server 2025

Garantir que o Active Directory (AD) está funcionando corretamente é essencial para a segurança e estabilidade do ambiente. O Windows Server 2025 traz diversas ferramentas para monitoramento e diagnóstico da integridade do AD, da replicação, do DNS e das contas de usuários. Aqui estão os principais comandos para verificar a saúde do Active Directory.

1. Verificando a Saúde Geral do Active Directory

Para verificar se o Controlador de Domínio (DC) está funcionando corretamente, utilize o seguinte comando:

Executar um diagnóstico completo do DC:

dcdiag /v

Se houver erros, eles serão listados na saída do comando.

Testar todos os Controladores de Domínio da Floresta

dcdiag /e /v

Esse comando verifica todos os Controladores de Domínio na floresta e exibe detalhes sobre falhas ou problemas.

Verificar um Controlador de Domínio específico

dcdiag /s:NomeDoServidor

Substitua NomeDoServidor pelo nome do seu DC para verificar apenas esse servidor.

2. Verificando a Replicação do Active Directory

O Active Directory precisa estar sincronizado entre os Controladores de Domínio. Para verificar o status da replicação, utilize:

Obter um resumo da replicação:

repadmin /replsummary

Este comando exibe um resumo geral do status de replicação entre os DCs.

Exibir detalhes de replicação de um Controlador de Domínio:

repadmin /showrepl

Isso mostrará a replicação entre os DCs e indicará possíveis problemas.

Forçar a replicação manualmente entre todos os DCs:

repadmin /syncall /AeD

Esse comando sincroniza imediatamente todos os Controladores de Domínio.

3. Verificando a Integridade do Banco de Dados do Active Directory

Se o banco de dados do AD estiver corrompido, pode ocorrer falha na autenticação dos usuários e problemas de replicação.

Verificar a integridade do banco de dados do AD (NTDS):

ntdsutil "activate instance ntds" "files" "integrity" quit quit

Caso o comando retorne erros, pode ser necessário reparar o banco de dados ou restaurar a partir de um backup.

4. Monitorando o Active Directory com PowerShell

O PowerShell fornece comandos para analisar o estado do AD e identificar problemas rapidamente.

Listar todos os Controladores de Domínio no ambiente:

Get-ADDomainController -Filter * | Select-Object Name, IPv4Address, Site, IsGlobalCatalog, OperatingSystem

Esse comando exibe informações detalhadas sobre os DCs ativos, como nome, endereço IP e função de Global Catalog.

Verificar contas bloqueadas no AD:

Search-ADAccount -LockedOut | Select-Object Name, SamAccountName, LockedOut

Isso retorna uma lista de usuários que foram bloqueados por falhas na autenticação.

Identificar contas de usuários inativos há mais de 90 dias:

Get-ADUser -Filter {LastLogonDate -lt (Get-Date).AddDays(-90)} -Properties LastLogonDate | Select Name, LastLogonDate

Este comando ajuda a identificar contas que não estão mais em uso, permitindo desativação ou exclusão.

5. Verificando a Configuração de DNS do Active Directory

O DNS é um componente essencial para o funcionamento do Active Directory. Se houver falhas no DNS, pode ocorrer problemas de login, replicação e autenticação.

Verificar se os registros DNS do AD estão corretos:

dcdiag /test:dns /v

Se houver problemas de DNS, esse comando os listará para correção.

Testar a resolução DNS manualmente:

nslookup -type=SRV _ldap._tcp.dc._msdcs.dominio.com

Substitua dominio.com pelo nome do seu domínio. Se o comando não retornar um servidor válido, pode haver um problema de configuração do DNS.

6. Verificando Logs de Eventos do Active Directory

O Windows Server mantém logs de eventos que ajudam na identificação de problemas críticos do Active Directory.

Verificar eventos críticos de replicação:

Get-EventLog -LogName Directory Service -EntryType Error -Newest 10

Esse comando lista os 10 erros mais recentes no log do AD.

Verificar tentativas de login mal-sucedidas:

Get-EventLog -LogName Security -InstanceId 4625 -Newest 20

Isso retorna as 20 falhas de autenticação mais recentes, útil para identificar possíveis ataques.

Conclusão

Monitorar o Active Directory é essencial para evitar falhas de autenticação, problemas de replicação e falhas no DNS. Com esses comandos, você pode: Verificar a saúde geral do AD
Testar a replicação entre DCs
Identificar contas bloqueadas ou inativas
Corrigir problemas de DNS
Monitorar falhas de login e segurança

1 de dezembro de 2024
por luizhenriquelima
0 comentários

Novidades de Segurança no Windows Server 2025 e Como Aplicá-las com PowerShell

O Windows Server 2025 trouxe diversas melhorias de segurança para proteger infraestruturas de TI contra ameaças cibernéticas. Este artigo apresenta as principais novidades e explica como configurá-las usando PowerShell.

1. Hotpatching – Aplicação de Patches Sem Reinicialização

O Hotpatching permite aplicar atualizações de segurança sem a necessidade de reinicializar o servidor, minimizando o tempo de inatividade.

Como habilitar o Hotpatching com PowerShell

  1. Conectar o servidor ao Azure Arc (requer integração com o Azure).
  2. Habilitar o recurso no servidor: Set-AzConnectedMachineExtension -MachineName "NomeDoServidor" -ResourceGroupName "NomeDoGrupoDeRecursos" -ExtensionName "Hotpatch" -Publisher "Microsoft.Compute" -Type "Hotpatch" -TypeHandlerVersion "1.0" O que este comando faz?
    • Instala o Hotpatching no servidor registrado no Azure Arc.
    • Permite aplicação de patches sem reinicialização.

2. Credential Guard Ativado por Padrão

O Credential Guard protege credenciais contra ataques avançados, como Pass-the-Hash e Pass-the-Ticket, isolando os dados de autenticação.

Como verificar se o Credential Guard está ativo

Get-WindowsFeature -Name "CredentialGuard"

Se não estiver ativado, use:

Enable-WindowsOptionalFeature -Online -FeatureName "CredentialGuard"

Benefícios:

  • Impede ataques de roubo de credenciais.
  • Isola credenciais na Virtual Secure Mode (VSM).

3. SMB sobre QUIC – Transferência Segura de Arquivos

O protocolo SMB sobre QUIC permite conexões seguras pela internet sem necessidade de VPN.

Como habilitar o SMB sobre QUIC no Windows Server 2025

  1. Instalar o recurso SMB sobre QUIC: Install-WindowsFeature -Name "SMB-QUIC"
  2. Configurar um certificado TLS válido para SMB sobre QUIC.

Vantagens:

  • Substitui conexões inseguras com SMB tradicional.
  • Garante comunicação segura pela internet.

4. Aplicação de Linhas de Base de Segurança com OSConfig

O OSConfig permite configurar políticas de segurança recomendadas para proteger servidores.

Como aplicar segurança com OSConfig

  1. Instalar a ferramenta OSConfig.
  2. Executar a linha de base de segurança: osconfig apply-security-baseline

O que essa configuração faz?

  • Implementa diretrizes recomendadas de segurança.
  • Ajusta permissões e políticas para um ambiente mais seguro.

5. Habilitação do DTrace para Monitoramento Avançado

O DTrace agora está integrado ao Windows Server 2025, permitindo monitoramento em tempo real das chamadas do sistema.

Como usar o DTrace

dtrace -n syscall:::entry

O que este comando faz?

  • Captura chamadas de sistema em tempo real.
  • Permite análise detalhada do funcionamento do servidor.

Conclusão

O Windows Server 2025 traz aprimoramentos significativos para fortalecer a segurança dos servidores. Com ferramentas como Hotpatching, Credential Guard, SMB sobre QUIC, OSConfig e DTrace, os administradores podem aumentar a proteção da infraestrutura contra ameaças.

Implementando essas configurações via PowerShell, é possível garantir um ambiente seguro, estável e atualizado.

25 de novembro de 2024
por luizhenriquelima
0 comentários

Novidades e Melhorias no Hyper-V do Windows Server 2025

Windows Server 2025 trouxe avanços significativos para o Hyper-V, visando aprimorar a eficiência, a segurança e a integração com tecnologias modernas. Destacam-se as seguintes inovações:​

1. Suporte Aprimorado para Workloads Exigentes

  • Recursos Expandidos por Máquina Virtual (VM):
    • Suporte para até 2.048 processadores virtuais (vCPUs) por VM.​
    • Capacidade máxima de 240 TB de RAM para VMs de geração 2.​
    • Suporte para até 256 discos SCSI por VM, distribuídos em quatro controladores SCSI.​
    • Tamanho máximo de disco virtual de 64 TB utilizando o formato VHDX.​
    • Possibilidade de até 68 adaptadores de rede virtuais por VM.​
  • Capacidades do Host Hyper-V:
    • Suporte para até 4 petabytes (PB) de RAM por host Hyper-V.​
    • Clusters de failover com até 64 nós e suporte para 8.000 VMs.​

2. Particionamento de GPU (GPU-P) Integrado

O Hyper-V agora inclui suporte nativo para GPU Partitioning (GPU-P), permitindo que uma única GPU física seja compartilhada entre várias VMs. Essa funcionalidade é especialmente útil para cargas de trabalho que exigem processamento gráfico intenso, como aplicações de inteligência artificial e machine learning. Além disso, o GPU-P é compatível com recursos como Live Migration e Failover Clustering, garantindo alta disponibilidade.​

3. Melhorias em Segurança e Confiabilidade

  • Hypervisor-Enforced Paging Translation (HPVT): Implementação de uma camada adicional de segurança que protege contra ataques de overflow de buffer, garantindo maior integridade no ambiente virtualizado.​
  • Clusters de Workgroup: Agora é possível configurar clusters de failover sem a necessidade de um Active Directory, facilitando a implementação em ambientes de grupo de trabalho.​

4. Descontinuação do Hyper-V Server Gratuito

A Microsoft descontinuou a versão gratuita do Hyper-V Server no Windows Server 2025. Organizações que utilizavam essa versão precisarão considerar alternativas, como a migração para edições pagas do Windows Server ou a adoção de outras soluções de virtualização.​

Conclusão

As atualizações no Hyper-V do Windows Server 2025 refletem o compromisso da Microsoft em fornecer uma plataforma de virtualização robusta, escalável e segura. Com suporte ampliado para recursos, integração de tecnologias emergentes como o GPU-P e aprimoramentos em segurança, o Hyper-V continua sendo uma solução de destaque para ambientes corporativos que buscam eficiência e desempenho em suas operações de TI.

21 de novembro de 2024
por luizhenriquelima
0 comentários

Novidades e Melhorias do DHCP no Windows Server 2025

O Windows Server 2025 trouxe avanços importantes no serviço DHCP (Dynamic Host Configuration Protocol), reforçando sua eficiência, integração com nuvem, segurança e compatibilidade com ambientes modernos. Com as novas funcionalidades, o DHCP se torna ainda mais confiável e adaptado para redes híbridas e complexas. Abaixo, apresento os principais destaques e inovações introduzidas nesta nova versão.

1. Integração com Ambientes Híbridos (Azure e On-Premises)

Uma das melhorias mais relevantes no DHCP do Windows Server 2025 é sua integração nativa com ambientes híbridos, especialmente com o Azure Arc. Agora, é possível gerenciar escopos DHCP locais em conjunto com serviços baseados em nuvem, garantindo uma experiência unificada.

O que mudou:

  • Sincronização de configurações entre servidores locais e instâncias Azure.
  • Gerenciamento remoto via portal Azure.
  • Aplicação de políticas de IP mais consistentes entre nuvem e datacenter.

2. Suporte Aprimorado a IPv6

O suporte a IPv6 foi significativamente reforçado. Agora, o DHCP oferece mais controle e facilidade na criação de escopos IPv6, bem como suporte estendido a configurações específicas do protocolo.

Principais melhorias:

  • Criação simplificada de escopos IPv6.
  • Detecção automática de dispositivos compatíveis.
  • Melhor interoperabilidade com redes dual stack (IPv4/IPv6).

3. Interface de Gerenciamento Moderna

O DHCP agora conta com uma nova interface de gerenciamento, mais responsiva e funcional, integrada ao Windows Admin Center e com dashboards informativos.

O que mudou:

  • Visualização em tempo real de escopos, leases e alertas.
  • Indicadores visuais para falhas, escopos quase esgotados e conflitos de IP.
  • Assistentes de configuração mais intuitivos e com sugestões automáticas.

4. Segurança Reforçada no Serviço DHCP

Pensando na proteção da rede, o Windows Server 2025 aprimorou os controles de segurança nativos no DHCP.

Destaques:

  • Possibilidade de exigir autenticação de dispositivos antes da concessão de IP.
  • Integração com Active Directory para validação de clientes confiáveis.
  • Logs detalhados de cada solicitação DHCP, facilitando auditorias e investigações.

5. Automação com Suporte a APIs

Para ambientes que exigem automação, o serviço DHCP agora suporta APIs RESTful, permitindo controle total via script ou integração com sistemas de orquestração e ITSM.

Novidades:

  • Automação de tarefas como criação de escopos e reservas.
  • Monitoramento de leases via API externa.
  • Integração com plataformas como Power Automate, System Center e soluções DevOps.

6. Melhorias de Desempenho e Confiabilidade

O mecanismo interno do DHCP foi reestruturado para garantir maior resiliência, estabilidade e desempenho, especialmente em redes de alta demanda.

Resultados esperados:

  • Processamento mais rápido de solicitações.
  • Menor consumo de recursos.
  • Tolerância a falhas melhorada em clusters e ambientes com múltiplos servidores DHCP.

Conclusão

O serviço DHCP no Windows Server 2025 foi significativamente aprimorado para atender às demandas modernas de TI, com foco em ambientes híbridos, segurança reforçada, automação e alta disponibilidade. Com essas melhorias, o DHCP se consolida como uma solução de gerenciamento de endereçamento IP robusta, escalável e pronta para o futuro das redes corporativas.