Criando Máquina Virtual de Segunda Geração - Provisionamento para utilização dos Novos Recursos


Cenário: Novas funcionalidades para Máquinas Virtuais representam segurança e opções privilegiadas para um melhor aproveitamento e facilidades de uso. A Segunda Geração de Máquina Virtual do Hyper-V têm modelo de hardware simplificado, conta com melhorias nos tempos de inicialização e instalação em Máquinas Virtuais, entre outros. O destaque da VM de 2ª Geração é ter ainda mais confiabilidade para utilizar em ambientes virtuais cada vez mais os serviços críticos ou complexos.

Principais novidades da 2ª Geração de VMs:
  • Suporte a firmware UEFI.
  • Inicialização Segura (habilitada por padrão).
  • Inicialização a partir de um DVD virtual SCSI.
  • Inicialização a partir de um disco rígido virtual SCSI.
  • Inicialização PXE com o uso de um adaptador de rede padrão.

Suporte a firmware UEFI (Unified Extensible Firmware Interface) em vez de um firmware baseado em BIOS. Quando o computador é iniciado, a interface do firmware controla o processo de inicialização e passa o controle para o Windows ou outro sistema operacional.

Principais benefícios da firmware UEFI:
  • Inicialização e tempo de continuação rápidos.
  • Compatibilidade com Inicialização Segura e unidades criptografadas de fábrica.
  • Compatibilidade com BIOS herdado com CSM (módulo de suporte de compatibilidade) que emula o BIOS anterior. A Inicialização Segura deve ser desabilitada.
  • Compatibilidade com implantação Multicast onde uma imagem que pode ser recebida por vários computadores sem sobrecarregar a rede ou o servidor de imagens.
  • Compatibilidade maior a discos rígidos grandes (com mais de 2 terabytes) e a unidades com mais de quatro partições.
  • Suporte a drivers, aplicativos e ROMs opcionais com firmware UEFI.

Inicialização Segura (habilitada por padrão) é um recurso de segurança para impedir a mais perigosa forma de malware existente, os BootKits. Eles começam antes de iniciar o Windows e se escondem entre o Hardware e o Sistema Operacional onde estão virtualmente indetectáveis e possuem acesso ilimitado aos recursos do sistema.

Principal benefício da Inicialização Segura:
  • É um recurso que ajuda a impedir que firmware, sistemas operacionais ou drivers UEFI não autorizados (ou Option ROMs ) sejam executados no momento da inicialização.

Inicialização com controlador SCSI com disco rígido virtual SCSI ou DVD virtual SCSI.

As Máquinas virtuais de 2ª geração podem ser inicializadas com um disco rígido virtual ou DVD conectado ao controlador SCSI. O controlador virtual IDE (Integrated Device Electronics) não está disponível em máquinas virtuais da 2ª geração.

Inicialização PXE com o uso de um adaptador de rede padrão, o suporte de adaptador de rede herdado foi removido e não estão disponíveis em máquinas virtuais da 2ª geração

Para fazer uma instalação remota do sistema operacional convidado usando a inicialização PXE (Pre-Boot EXecution Environment) não é mais necessário instalar um adaptador de rede herdado. As máquinas virtuais de 2ª geração dão suporte à inicialização PXE com um adaptador de rede padrão.

Requisitos e suporte para os sistemas operacionais convidados:

Os sistemas operacionais convidados sem suporte das máquinas virtuais da 2ª geração precisam ser instalados em máquinas virtuais da 1ª geração. As VMs de 1ª e 2ª Geração podem ser executadas juntas

Observações principais para começar a utilizar VMs de 2ª Geração:
  • Após a criação de uma VM, você não pode alterar a geração.
  • Máquinas Virtuais de 2ª Geração não tem suporte ao RemoteFX.
  • Máquinas Virtuais de 2ª Geração não tem suporte a unidade de CD ou DVD física. A unidade de CD ou DVD Virtual tem suporte apenas para arquivos de imagem ISO.
  • Máquinas Virtuais de 2ª Geração não tem suporte ao discos rígidos virtuais no formato VHD. Mas você pode converter os arquivos VHD para o formato VHDX usando o Assistente para Edição de Discos Rígidos Virtuais na console do Gerenciador do Hyper-V.
  • Máquinas Virtuais de 2ª Geração não tem suporte para criar um arquivo VHDX inicializável por ambas as gerações de máquinas virtuais, nem é recomendado.
  • O arquivo VHDX de 2ª Geração pode ser conectado ao controlador IDE ou ao controlador SCSI de uma máquina virtual da 1ª geração. Se o arquivo for um VHDX inicializável, a máquina virtual da 1ª geração não será inicializada.
  •  O arquivo VHDX de 2ª Geração podem ser redimensionado quando a VM estiver em execução, sem interrupções dos serviços para o usuário final.
  • A Inicialização Segura ou o firmware UEFI não são requisitos para o Host físico. O firmware virtual e sua configuração são independentes da plataforma física.
Principais limitações e o quanto é suportado em VMs de 2ª Geração::

  • Suporte para até quatro controladores SCSI com suporte para até 64 dispositivos de DVD SCSI por cada controlador SCSI. O total de dispositivos de armazenamento, arquivos VHDX ou unidades de DVD é de 4 vezes 64 que é igual a 256.
  • Suporte para até oito adaptadores de rede, não suporta adaptadores de rede herdados.
  • Suporte para arquivos VHDX de até 64 TB.

Executando Cmdlets para suporte a alguns recursos:
  • Set-VMFirmware –VMName TestVM –IPProtocolPreference IPv6
 Por padrão, a instalação pela rede utiliza IPv4, o comando acima altera para IPv6.
  • Set-VMFirmware -VMName "VMname" -EnableSecureBoot Off
O comando acima para desligar a Inicialização Segura é utilizado em duas situações distintas. A primeira considerada simples, é um requisito para utilização de VM de 2ª Geração com Linux. A segunda situação exige ainda um outro comando (Set-VMComPort –VMName TestVM 1 \\.\pipe\TestPipe) para habilitar a utilização de uma porta COM à máquina virtual.

Acompanhe como utilizar a Nova Geração de Máquinas Virtuais do Hyper-V a partir do console do Gerenciador do Hyper-V com o seu Windows 8.1, Windows Server 2012 R2 ou Hyper-V Server 2012 R2.

Criando e Configurando Máquina Virtual de Segunda Geração no Hyper-V

1) Abra o Gerenciador do Hyper-V e clique com o botão direito no seu Host, expanda a opção Novo e selecione Maquina Virtual.... Pode ser realizado também pelo menu Ações.


2) Na janela Assistente de Nova Máquina Virtual clique em Avançar.


3)  Em Especificar Nome e Local digite um Nome e clique em Avançar.


4) Em Especificar Geração selecione Geração 2 e clique em Avançar. Após a criação, não será possível alterar sua Geração.


5)  Em Atribuir Memória defina o valor da Memória de inicialização e selecione a opção Use a Memória Dinâmica para esta máquina virtual. Clique em Avançar.


6) Em Configurar Rede selecione sua interface de rede em Conexão. Clique em Avançar.


7)  Em Conectar Disco Rígido Virtual clique em Avançar.


8)  Em Opções de Instalação selecione Instalar um sistema operacional a partir de um arquivo de imagem. Clique em Procurar para buscar e selecionar sua Imagem, clique em Avançar.


9) Em Resumo clique em Concluir para fechar o Assistente.


10) Exibição das Configurações da VM de 2ª Geração recém criada.




Esse artigo foi submetido por


Alexandre de Matos
MCSE - MCSA - MCTS
alexandremn@live.estacio.br

Redimensionamento de Discos Rígidos Virtuais VHDX em VMs Online (sem interrupção dos serviços em execução)


Cenário: Todas as VMs devem possuir a capacidade de aumentar e diminuir o tamanho do seu disco rígido virtual em seus respectivos VHDX sem a interrupção dos serviços da Máquina Virtual (Em execução/Online).

Requisitos:
  • VM com recursos da Geração 2
  • Disco rígido virtual no formato .VHDX
  • Host Hyper-V com Windows Server 2012 R2 ou Windows 8.1
  • Host Hyper-V Server 2012 R2

Acompanhe como utilizar este novo recurso no Windows Server 2012 R2 ou Windows 8.1

Redimensionamento de VHDX Online - Expandindo Discos Rígidos Virtuais

1) No Gerenciador do Hyper-V selecione a VM que deseja redimensionar e selecione Configurações.


2) Na console de Configurações da VM selecione seu Disco Rígido no Controlador IDE ou SCSI conforme o seu ambiente e clique em Editar.


3) Na janela do Assistente para Edição de Discos Rígidos Virtuais clique em Avançar.


4) Em Escolher Ação selecione Expandir e clique em Avançar.


5) Em Configurar Disco digite o Novo tamanho e clique em Avançar.


6) Em Resumo clique em Concluir.


7) Entre na VM que está sendo redimensionada. Abra o Executar (Windows + R) e digite DiskMgmt.msc. Clique em OK.


8) Na janela de Gerenciamento de Disco observe que o espaço em disco que foi acrescentado ainda não está disponível, exibido como "Não Alocado".


Não é o escopo deste exemplo, mas seria bem comum clicar com o 
botão direito no espaço Não Alocado e selecionar Novo Volume para 
definir uma letra de unidade e disponibilizá-lo como um outro volume/partição.

9) Clique com o botão direito em "(C:)" e selecione Estender volume....

10) Na janela de Assistente para Extensão de Volumes clique em Avançar.


11) Em Selecionar discos por padrão o Selecionar o espaço em MB está com o valor igual ao Espaço máximo disponível em MB, apenas clique em Avançar.


12) Na Conclusão do Assistente, clique em Concluir.


13) No Gerenciador de disco todo espaço Não Alocado agora está disponível.



Redimensionamento de VHDX Online - Diminuindo Discos Rígidos Virtuais

14) Para diminuir o espaço em disco das VMs devemos começar dentro da mesma. Abra o Executar (Windows + R) e digite DiskMgmt.msc. Clique em OK


15) Na janela de Gerenciamento de Disco clique com o botão direito em "(C:)" e selecione Diminuir volume....


16) Na janela Diminuir C: defina o valor a ser diminuído em Digite o espaço a diminuir em MB e clique em Diminuir.


17) No Gerenciamento de disco observe a diminuição no espaço Não Alocado.


18) Na console de Configurações da VM selecione seu Disco Rígido no Controlador IDE ou SCSI conforme o seu ambiente e clique em Editar.


19) Na janela do Assistente para Edição de Discos Rígidos Virtuais clique em Avançar.


20) Em Escolher Ação selecione Diminuir e clique em Avançar.


21) Em Configurar Disco digite o Novo tamanho e clique em Avançar.


22)  Em Resumo clique em Concluir.


23) Observe no Gerenciamento de disco dentro da VM que sobrou espaço (Não alocado) na matemática deste exemplo. Basta seguir do passo 9 ao passo 12 para adicionar esta "sobra" ao Volume.


Conclusão: A partir da versão Windows Server 2012 e Windows 8.1 Preview os Administradores não precisarão desligar suas VMs para redimensionar seu disco rígido virtual. O redimensionamento pode ser realizado com a VM em execução e sem interrupções nos serviços que ela disponibiliza.

Esse artigo foi submetido por

Alexandre de Matos
MCSE - MCSA - MCTS
alexandremn@live.estacio.br

Configurando Analisador de Práticas Recomendadas (BPA) no Powershell - Best Practices Analyzer


Cenário: A rotina do administrador deve possuir a tarefa de utilizar as Práticas Recomendas sempre que possível. A sua utilização será desenvolvido através do Powershell para o uso futuro em Scripts e por ser a única forma de inserir parâmetros ao BPA (Best Practices Analyzer).

As Práticas Recomendadas possibilitam alto desempenho, alta confiabilidade, diminuição dos riscos de segurança, diminuição de conflitos inesperados ou outros possíveis problemas.

O BPA (Analisador de Praticas Recomendadas) está disponível desde o Windows Server 2008 R2 mais foi a partir do Windows Server 2012 que ele obteve além das atualizações, muito mais opções.
  • Varredura de uma ou mais Funções de uma vez;
  • Varredura em um ou mais Servidores de uma vez;
  • Utilize no Gerenciador do Servidor (GUI) ou Powershell (CLI);
  • Muitas opções de parâmetros em apenas 4 cmdlets.

As 4 Cmdlets disponíveis do BPA são:
  • Get-BPAModel
  • Invoke-BPAModel
  • Get-BPAResult
  • Set-BPAResult 
Uma vez iniciado o BPA ele poderá ser utilizado no Powershell ou no Gerenciador do Servidor, mas apenas o Powershell aceita parâmetros BPA adicionais que podem ser utilizados com outros Cmdlets do Powershell.

Acompanhe como utilizar o BPA no Windows Server 2012 através do Powershell.

Configurando Analisador de Práticas Recomendadas com Powershell

0) Para utilizar os cmdlets do BPA com o Powershell pode ser necessário importar o módulo do Server Manager e o o módulo BPA, execute os comandos:
  • Import-Module ServerManager
  • Import-Module BestPractices

1) Para verificar quais Módulos BPA estão instalados. Abra o Powershell com permissão de Administrador e execute o comando:
  • Get-BPaModel
Neste primeiro momento as informações importantes são Id e LastScanTime:
  • ID = Nome que será utilizado para usar um determinado Módulo BPA.
  • LastScanTime = Data da última vez que este Módulo BPA foi utilizado.
2) Para iniciar a verificação com um Módulo BPA basta invocar um modelo especifico com o parâmetro -ModelID, seguido pelo ID do modelo que você deseja usar, execute o comando:
  • Invoke-Bpamodel -ModelId Microsoft/Windows/DirectoryService

 O PowerShell confirma que a verificação foi bem sucedida (Success: True).
Não é recomendado, mas para iniciar a verificação em TODOS os Módulos BPA instalados execute: Get-BPAModel | Invoke-BPAModel

3) Para exibir os resultados da verificação do BPA, especifique o ID do Módulo para o qual você deseja recuperar os resultados com o comando:
  • Get-BpaResult -ModelId Microsoft/Windows/DirectoryService
O resultado da verificação pode gerar grandes quantidades de dados.
Mas esses dados podem ser limitados e até mesmo exportados.

4) Para diminuir o resultado vamos definir um filtro para "Erro" (poder ser Error dependendo da versão do S.O) e exibir somente os resultados que contenham o nível de gravidade "Erro" dentro do Módulo BPA especificado. Execute o comando:
  • Get-BpaResult -ModelId Microsoft/Windows/DirectoryServices | Where-Object {$_.Severity -eq 'Erro'} | FL Title, Problem, Resolution, Help
Os Níveis de Gravidade (Severity) de cada resultado dentro de um Módulo BPA podem ser Erro, Aviso e Informações. O filtro pode ser aplicado a qualquer nível de gravidade. 
Exemplo: {$_.Severity -eq 'Aviso'} e {$_.Severity -eq 'Informações'}
O Comando Format-List (FL) foi definido apenas para exibir os campos mais importantes de cada resultado dentro de um Módulo BPA como o Titulo, Problema, Resolução e Ajuda.

5) Para enviar este resultado por e-mail ou apenas salvar em disco como um relatório em um formato de arquivo mais amigável e frequentemente utilizado, basta exportar os dados convertendo-os para HTML com a cmdlet ConvertTO-Html. Execute o comando:
  • Get-BpaResult -ModelId Microsoft/Windows/DirectoryServices | Where-Object {$_.Severity -eq 'Erro'} | ConvertTO-Html -Property Title,Problem,Resolution,Help -as list | Set-Content C:\ResultadosBPA\DirectoryServices.htm
O parâmetro -As List é para não formatar o texto (dados) como Tabela.
A Formatação em tabela (padrão) não fica boa com textos grandes nos campos.

6) Abra a pasta onde seu arquivo foi salvo, dê um duplo clique sobre o arquivo.


7) O resultado é exibido no Internet Explorer com a formatação do texto como Lista. O Cmdlet ConvertTO-Html é extremamente versátil porque permite inserir códigos HTML para personalizar a exibição com todos os recursos do Navegador.


8) Para excluir um resultado é utilizado o parâmetro -Exclude $true. Vamos excluir os resultados de um Módulo BPA, mas somente os resultados com o Nível de Gravidade "Informações". Execute o comando:
  • Get-BpaResult -ModelId Microsoft/Windows/DirectoryService | Where-Object {$_.Severity -eq 'Informações'} | Set-BpaResult -Exclude $true


9) Para incluir um resultado excluído é utilizado o parâmetro -Exclude $false. Vamos incluir os resultados excluídos de um Módulo BPA restaurando os resultados excluídos do Nível de Gravidade "Informações". Execute o comando: 
  • Get-BpaResult -ModelId Microsoft/Windows/DirectoryService | Where-Object {$_.Severity -eq 'Informações'} | Set-BpaResult -Exclude $false



10) Para Excluir um Resultado Específico dentro do Módulo BPA vamos escolher o campo ResultNumber e adicionar o número do resultado que deseja excluir. Neste exemplo, o resultado de número 42. Execute o comando:
  • Get-BpaResult -ModelId Microsoft/Windows/DirectoryService | Where-Object {$_.ResultNumber -eq '42'} | Set-BpaResult -Exclude $true


Conclusão: Para utilizar IDs de submodelo deve se adicionar o parâmetro -SubModelId.

Mantenha atualizado o Help do Powershell deste Módulo.
  • Update-Help BestPractices
Utilize o comando Help Cmdlet para verificar os parâmetros adicionais e a sua sintaxe.

Esse artigo foi submetido por

Alexandre de Matos
MCSE - MCSA - MCTS
alexandremn@live.estacio.br

Configurar Correção de Problemas de Desempenho de Rede no Windows Server - Recursos de Segurança


Cenário: Usuário e, principalmente, Administradores tem relatados problemas com o desempenho de rede em algumas implementações do Windows Server 2012 e sua nova versão R2. A atividade de cópia de arquivos começa na velocidade esperada, mas diminui e aumenta com um comportamento de rajadas. Frequentemente até mesmo falhas nas transferências são relatadas. 

O Recursos de Segurança do Windows no Servidor pode estar comprometendo o desempenho dos compartilhamentos da rede SMB em seu WorkGroup ou Domínio.

Na internet há relatos da correção deste problema específico simplesmente alterando a marca do adaptador de rede (substituição). Mas também é possível não utilizar a assinatura digital do protocolo SMB que assina automaticamente os pacotes SMB. Essa configuração de segurança determina se a assinatura de pacotes SMB deve ser negociada antes de a comunicação com um servidor SMB ser permitida.

Essa assinatura digital ajuda a proteger contra a falsificação, mas pode adicionar sobrecarga no fluxo de tráfego. Você pode se livrar dessa sobrecarga e melhorar o desempenho desativando o recurso de assinatura de pacotes SMB.

De acordo com a TechNet Library "O uso de assinatura de pacotes SMB pode causar uma queda no desempenho de até 15% em transações de serviços de arquivos." logo, este artigo é recomendado para porcentagens maiores, transferências não lineares e falhas na conclusão e confiabilidade.

Não é uma boa prática, também não é o recomendado pela Microsoft, mas se estiver tendo problemas de desempenho ou confiabilidade em seu ambiente teste a desativação da assinatura de pacotes SMB. Apesar de reduzir o nível de segurança do seu ambiente o comportamento do protocolo SMB permanece o mesmo. Será esperado maior cautela dos administradores na camada de perímetro (DMZ, IDS, Firewall, Routers) para compensar a possível clonagem e alterações em pacotes SMB.

Acompanhe como implementar a desativação da assinatura digitalmente de comunicação que é exigida pelo componente do servidor SMB e é automaticamente ativada em Controladores de Domínio.

Desabilitando Recurso de Segurança - Assinatura Digital do Protocolo SMB

1) No Gerenciador do Servidor clique em Ferramentas e selecione Gerenciamento de Política de Grupo. Pode ser localizado no Executar do Windows ou no Iniciar pelo nome GPMC.MSC.


2) Expanda o nó de seu domínio e clique com o botão direito na GPO Default Domain Policy e selecione Editar.


3) Nesta nova console expanda as seguintes pastas: "Configuração do Computador/Políticas/Configurações do Windows/Configurações de Segurança/Políticas Locais/Opções de Segurança". Dê um duplo clique em Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre).


4) Marque a opção Definir esta configuração de política e selecione Desabilitada. Clique em OK.


5)  De volta a console ainda com as seguintes pastas expandidas: "Configuração do Computador/Políticas/Configurações do Windows/Configurações de Segurança/Políticas Locais/Opções de Segurança". Dê um duplo clique em Membro do domínio: criptografar ou assinar digitalmente os dados do canal seguro (sempre).


6) Marque a opção Definir esta configuração de política e selecione Desabilitada. Clique em OK. Feche o Editor de Gerenciamento de Política de Grupo. Feche o Gerenciamento de Política de Grupo.


Conclusão: É esperado que existam outras políticas de grupo adicionais que precisarão ser modificadas. Comece pelas políticas a nível de domínio e não esqueça quaisquer outras políticas de segurança que você estiver usando.

Como estou reproduzindo no Hyper-V um serviço realizado no cliente, não poderei colocar as capturas de tela de antes e depois desta configuração ser realizada em uma cópia de arquivo pela rede.

Uma imagem (ISO) de 10 GB antes dessa configuração: 20 Minutos.
Uma imagem (ISO) de 10 GB depois dessa configuração: 2 Minutos.

Tenha em mente o tempo de replicação das definições de política de grupo. Execute o comando GPUpdate /force nas estações de trabalho para aplicar imediatamente as alterações nas GPOs.

Não desabilite a assinatura SMB a menos que seja necessário. Mesmo que necessário, ambientes críticos ou que estejam constantemente sobre ataques jamais devem desativar a assinatura SMB.


Esse artigo foi submetido por


Alexandre de Matos
MCSE - MCSA - MCTS
alexandremn@live.estacio.br
>