Michael Cornn's questions

Em um laboratório, estou testando políticas DNS de horizonte dividido (também conhecido como cérebro dividido). As políticas definidas em um servidor DC/DNS não são replicadas para outros servidores DC/DNS.

É possível fazê-los replicar?

O laboratório possui sub-redes 192.168.72.0 e 192.168.73.0 e dois DCs executando DNS. Os dois DCs possuem endereços IP 192.168.72.100 e 192.168.73.100.

Criei um registro A no DNS do host1 em 10.0.0.2

Segui este tutorial da Microsoft the DC com IP 192.168.72.100. Os comandos específicos são colados abaixo:

Add-DnsServerZoneScope -ZoneName "deez.datz" -Name Scope73"
Add-DnsServerResourceRecord -ZoneName "deez.datz" -A -Name "host1" -IPv4Address "10.0.0.100" -ZoneScope "Scope73"
Add-DNsServerQueryResolutionPolicy -Name "Policy73" -Action ALLOW -ClientSubnet "eq,TGH-North" -ZoneScope "Scope73,1" -ZoneName "deez.datz"

Nslookup de um sistema na sub-rede 192.168.73.0:

nslookup host1 192.168.72.100
Name: host1.deez.datz
Address: 10.0.0.100
nslookup host1 192.168.73.100
Name: host1.deez.datz
Address: 10.0.0.2

A política DNS funciona corretamente no primeiro controlador de domínio onde os comandos foram executados. A política não entrou em vigor no segundo DC. A política não foi replicada.

Entendo que este é o comportamento padrão da Política DNS da Microsoft.

É possível forçar a replicação da política DNS (e evitar a execução dos comandos em cada controlador de domínio)?

Estamos construindo uma nova pilha de servidores. Nossa primeira VM do Windows 2019 é sincronizada com o host ESX 7 em que está, em vez do serviço NTP em nosso roteador.

Os resultados de "w32tm /query /configuration" estão abaixo. Observe que a configuração "NtpClient" habilitou "1". E "VMICTimeProvider" habilitou "0".

Apesar disso, o comando "w32tm /query /source" retorna "Local CMOS Clock"

Eu executei "w32tm /config /manualpeerlist:"10.233.0.1" /syncfromflags:manual /reliable:yes /update", seguido de reiniciar o Windows Time Service. Mas não surtiu efeito.

Para testar isso, configurei manualmente o tempo no host ESX para 20 minutos atrás do servidor NTP (e desativei o serviço NTP no host ESX). Em seguida, defino manualmente a hora da VM para meia-noite.

O comando "w32tm /resync" falhou. Mas depois de reiniciar a VM, a hora mudou da meia-noite para a hora do host ESX. Não foi redefinido para a hora no servidor NTP.

Podemos pingar o servidor NTP. Outros hosts estão sincronizando com o servidor NTP. Não sei por que essa VM se recusa a sincronizar com ela. Com base na configuração abaixo, você pode me dar algumas idéias?

[Configuração]

EventLogFlags: 2 (Local) AnnounceFlags: 5 (Local) TimeJumpAuditOffset: 28800 (Local) MinPollInterval: 6 (Local) MaxPollInterval: 10 (Local) MaxNegPhaseCorrection: 172800 (Local) MaxPosPhaseCorrection: 172800 (Local) MaxAllowedPhaseOffset: 300 (Local)

FrequencyCorrectRate: 4 (Local) PollAdjustFactor: 5 (Local) LargePhaseOffset: 50000000 (Local) SpikeWatchPeriod: 900 (Local) LocalClockDispersion: 10 (Local) HoldPeriod: 5 (Local) PhaseCorrectRate: 7 (Local) UpdateInterval: 100 (Local)

[Provedores de tempo]

NtpClient (Local) DllName: C:\windows\SYSTEM32\w32time.DLL (Local) Habilitado: 1 (Local) InputProvider: 1 (Local) AllowNonstandardModeCombinations: 1 (Local) ResolvePeerBackoffMinutes: 15 (Policy) ResolvePeerBackoffMaxTimes: 7 (Policy) CompatibilityFlags : 2147483648 (local) EventLogFlags: 0 (política) LargeSampleSkew: 3 (local) SpecialPollInterval: 1024 (política) Tipo: NTP (política) NtpServer: 10.233.0.1 (política)

NtpServer (Local) DllName: C:\windows\SYSTEM32\w32time.DLL (Local) Habilitado: 1 (Local) InputProvider: 0 (Local) AllowNonstandardModeCombinations: 1 (Local)

VMICTimeProvider (Local) DllName: C:\windows\System32\vmictimeprovider.dll (Local) Habilitado: 0 (Local) InputProvider: 1 (Local)

Executamos um data center VMWare com vCenter 6. Recentemente, habilitamos a alta disponibilidade em um cluster de 3 hosts em nosso ambiente de teste.

Se um cluster falhar, os outros 2 não terão os recursos para assumir todas as VMs com failover. Alguns deles permanecerão desligados. É possível priorizar quais VMs fazem failover primeiro?

Por exemplo, digamos que um host mantenha um controlador de domínio do Windows, um repositório Git e um servidor de implantação do Windows. Se esse host falhar, definitivamente queremos o DC e o Git online imediatamente. Não estamos preocupados se o servidor de implementação permanecer offline.

Nesse cenário, como garantiríamos que o DC e o repositório tivessem uma prioridade mais alta do que o servidor de implantação?

Usamos uma mistura de desktops físicos do Windows 7 e máquinas virtuais (hospedadas no ESX). Usamos a mesma imagem e domínio AD para ambos.

Nas VMs, quando criamos um novo volume, seja em um disco existente ou em um novo, ele aparece como somente leitura. Os sinalizadores somente leitura não são definidos no diskpart, nem limpar esses sinalizadores torna o disco legível. Esse problema não afeta nossos desktops físicos.

Aqui estão as etapas que você pode replicar em seu sistema Win7:

1. Aplique uma imagem do Windows 7. Não entre em um domínio. Faça logon como administrador local.
2. Abra o gerenciamento do computador e navegue até o gerenciamento de disco.
3. Se o disco 0 estiver cheio, clique com o botão direito do mouse no volume C e reduza-o para obter algum espaço livre. Ou apenas adicione um disco rígido no vCenter.
4. Clique com o botão direito do mouse no espaço não alocado e crie um novo volume simples. No assistente, forneça uma letra de unidade e formate-a como NTFS.
5. Abra o DiskPart. No Diskpart, digite 'selecione o disco 0' e 'selecione o volume y' onde y é o número do novo volume.
6. Digite os comandos 'attr disk clear readonly' e 'attr volume clear readonly'
7. Insira 'disco de detalhes' e 'volume de detalhes' para verificar se o sinalizador somente leitura está definido como não.
8. Feche o DiskPart e abra o Windows Explorer. Clique com o botão direito do mouse na nova unidade e abra as propriedades.
9. Verifique se as permissões estão definidas para que o grupo Administradores tenha controle total.
10. Clique com o botão direito do mouse no espaço aberto no Windows Explorer e observe que "Novo" não está no menu de contexto.
11. Arraste um arquivo para a unidade e obtenha um erro informando que a mídia está protegida contra gravação.
12. Volte para as propriedades e tente alterar as permissões. Obtenha os erros "mídia está protegida contra gravação" novamente.
13. Repita as etapas 5 a 10 até enlouquecer.

Se aplicarmos essa mesma imagem do Win7 a um desktop físico, novos volumes serão lidos e gravados normalmente. Se executarmos essas etapas em VMs do Server 2012 no mesmo datacenter/cluster/datastore, novos volumes serão lidos e gravados normalmente. Se aplicarmos essa imagem do Win7 a uma VM, os volumes serão somente leitura, apesar de diskpart listá-los como leitura/gravação.

No VMWare View 6, existe uma maneira de configurar administradores e/ou autenticação fora do Admin Console?

No meu site, temos contas de usuários regulares e contas de usuários administrativos. Ambas as contas podem fazer login via nome de usuário/senha ou cartão inteligente.

Eu configuro um servidor View Connection de teste e defino minha conta de administrador como administrador.

Acessei o Admin Console em um navegador enquanto estava conectado com minha conta de usuário. Em seguida, digitei o nome de usuário/senha da minha conta de administrador. Tudo estava indo bem.

Alterei a autenticação do administrador para exigir acesso por cartão inteligente e desconectei. Tolamente, esqueci que nossa equipe de segurança bloqueia o acesso de contas de administrador a navegadores da web.

Agora, o console baseado na web exige que meu cartão inteligente de administrador faça login, mas meu cartão inteligente de administrador não pode acessar um navegador da web. Minha equipe de segurança não abrirá uma exceção temporária para me deixar entrar.

Posso entrar no servidor com minha conta de administrador. Mas parece que os administradores e métodos de autenticação só podem ser definidos no console de administração baseado na web. Se eu puder adicionar minha conta de usuário regular como administrador ou alterar o requisito de autenticação do cartão inteligente, posso entrar e corrigir o problema.

Alguém sabe como fazer isso fora do Admin Console baseado na web?

Já gerenciei SANs EMC e Equallogic da Dell no passado. Recentemente, fui encarregado de uma SAN Hewlett-Packard P2000. HP e EMC usam terminologia ligeiramente diferente. Gostaria de confirmar que entendo a terminologia da HP. Você pode verificar/corrigir algumas das definições abaixo?

vDisk. Uma coleção de discos físicos agrupados em uma matriz RAID. A EMC se refere a eles como "pools de armazenamento". Os vDisks e os pools de armazenamento não são exatamente iguais aos "grupos RAID", mas têm a mesma finalidade.

Volume. Uma divisão lógica de um vDisk, que é apresentada a um host como um único volume. A EMC se refere a eles como "LUNs" e LUN é o termo adequado.

Grupos de armazenamento. Diferentemente dos "pools de armazenamento", as SANs da EMC podem definir "grupos de armazenamento", que podem combinar várias LUNs em um único volume apresentado aos hosts. Não consigo encontrar um equivalente a isso em HP SANs.

Sobressalentes Globais. Discos rígidos físicos que não estão atribuídos a nenhum vDisk. Se um disco rígido em um vDisk falhar, o SAN usará automaticamente um sobressalente disponível para substituir a unidade e tornar o vDisk tolerante a falhas. A EMC se refere a eles como "sobressalentes". Com ambos os fornecedores, os sobressalentes não precisam ser atribuídos a um determinado grupo de RAID ou vDisk. A SAN os usará para qualquer disco rígido com falha.

Em relação às SANs Equallogic: os arrays Equallogic criam um grupo RAID e um LUN de todos os discos disponíveis no array. O administrador pode selecionar apenas: o tipo de RAID no grupo de RAID e o número e tamanho dos grupos de armazenamento apresentados aos hosts.

Acho que entendi bem esses termos, mas gostaria de verificar com alguém que já usou SANs de ambos os fornecedores. Estou especialmente preocupado por não conseguir encontrar os grupos de armazenamento equivalentes da HP. Certamente a HP tem uma maneira de combinar vários LUNs em um volume lógico. Estou perdendo essa configuração em algum lugar?