Migrando o Active Directory para uma nova versão do Windows Server

  1. INTRODUÇÃO
  2. MIGRANDO O ACTIVE DIRECTORY
    1. ADPREP
    2. PREPARANDO A FLORESTA
    3. PREPARANDO O DOMÍNIO
    4. ADICIONANDO O NOVO DC
    5. SUBSTITUINDO O MESTRE DE OPERAÇÕES (FSMO)
      1. Mestre de Esquema
      2. Mestre de Nomeação de Domínios
      3. Mestre RID, PDC e Infra-estrutura
    6. SUBSTITUINDO O SERVIDOR DE TEMPO
    7. MIGRANDO O SERVIÇO DE CERTIFICADOS
    8. REPLICAÇÃO DOS DIRETÓRIOS SYSVOL E NETLOGON
      1. FRS
      2. DFS
    9. DESPROMOVENDO O ANTIGO CONTROLADOR DE DOMÍNIO (OPCIONAL)
  3. MIGRANDO O SERVIÇO DHCP
  4. CONCLUSÃO

Introdução

Em um ataque recente a uma vulnerabilidade ao protocolo RDP, os servidores de área de trabalho remota de uma das empresas na qual prestava suporte foram infectados com um ransomware. O antivírus Sophos não detectou a ameaça, possibilitando a criptografia dos arquivos do sistema. Tivemos de restaurar o sistema de um backup anterior.

Porém, aproveitando o tempo inesperado de manutenção, decidimos migrar a estrutura Active Directory do Server 2003 para Server 2008 R2, aumentando a segurança da rede (O Server 2003 não possuí suporte e atualizações da Microsoft desde Julho de 2015).

Continuar lendo “Migrando o Active Directory para uma nova versão do Windows Server”

Usando o WPAD com o Microsoft Forefront TMG 2010

Com o WPAD (Web Proxy Address Discovery), programas que usam servidor proxy obterão o endereço e porta do nosso servidor proxy automaticamente ao acessar a internet (proxy transparente).

Poderiamos definir o proxy por GPO, mas somente se aplicaria para os computadores que fazem parte da nossa rede. Hoje em dia, é comum o uso de roteadores wireless e, com isso, computadores que não pertencem a nossa rede (como notebooks) precisariam por as configurações de proxy manualmente para obterem acesso a internet – e, se chegassem em casa e se esquecessem de removê-las, perderiam o acesso a internet em casa. O WPAD é importante também em redes que podem possuir Linux ou outro navegador instalado, como o Firefox ou Chrome. Por GPO funcionaria apenas para o Internet Explorer, navegador exclusivo do Windows.

Para usarmos o WPAD em nossa rede, precisamos abrir nosso servidor DNSZona de pesquisa direta.

Após selecionarmos o nome da zona, dê botão direito nela e selecione Novo HOST (A ou AAAA).

Nome: wpad

Endereço IP: 192.168.0.254 (servidor com Forefront TMG)

Por questões de segurança, a Microsoft desabilitou o WPAD a partir do Windows Server 2003 por que, dependendo da configuração de atualização da zona, uma pessoa má intencionada poderia apontá-lo para um servidor proxy diferente do Forefront, redirecionando os sites acessados pelos clientes, podendo assim roubar senhas e dados pessoais.

Para podermos removê-lo da lista, abra o Menu iniciar e digite regedit.

HKLMSYSTEMCurrentControlSetServicesDNSParametersGlobalQueryBlockList

(Reprodução / http://tmgblog.richardhicks.com/2009/06/16/dns-security-enhancements-and-web-proxy-auto-discovery/)

Após isso, reinicie o serviço DNS dando botão direito no servidor no DNS e selecionando Todas as tarefas > Reiniciar.


Agora, abra o Microsoft Forefront TMG > Networking. Após, dê botão direito no adaptador da rede interna e selecione Propriedades. Na aba Auto discovery, selecione “Publish automatic discovery […]” e tenha certeza de estar utilizando a porta 80, padrão para acesso HTTP.

(Reprodução / http://tmgblog.richardhicks.com/2009/06/16/dns-security-enhancements-and-web-proxy-auto-discovery/)

No cliente, por padrão, a opção “Detectar configurações automaticamenteestá marcada em todos os programas que suportam proxy (como o Internet Explorer em Pressione <ALT> > Tools > Internet options > Connections > Lan settings). Se você usou uma GPO, remova-a e atualize a política (gpupdate /force). Se você definiu manualmente em um computador na rede, volte a usar as configurações automáticas.