Massimo's questions

Trabalho como consultor de TI e muitas vezes tenho que instalar vários clientes VPN no meu computador para me conectar às redes do cliente; a partir de março de 2020, comecei a trabalhar sempre em casa por motivos bem conhecidos.

Até alguns meses atrás eu tinha uma conexão de Internet ADSL de 100 Mb/s, portanto nunca percebi o que estou descrevendo a seguir; então atualizei minha conexão para uma conexão FTTH 1Gb/s, que normalmente atinge uma velocidade de download de 800-900 MB/s e uma velocidade de upload de 100 Mb/s.

No entanto, quando instalo alguns clientes VPN, como FortiClient e ForcePoint, algo estranho acontece: minha velocidade de download é limitada a cerca de 400 MB/s, mesmo que nenhuma conexão VPN seja estabelecida e mesmo que eu mate todos os processos relacionados à VPN e pare todos serviços relacionados; mesmo que o software cliente VPN não esteja em uso, e mesmo que nenhum processo esteja sendo executado para ele, minha conexão de rede ainda fica terrivelmente lenta; a única maneira de resolver isso é desinstalar completamente o software cliente VPN.

No início, encontrei esse problema apenas com o ForcePoint, mas depois testemunhei novamente com o FortiClient; nenhum problema ocorreu com outros clientes VPN, como Cisco AnyConnect ou CheckPoint.

Por que isso está acontecendo? Como isso pode acontecer, se o software está instalado, mas não está realmente em uso?

O sistema operacional é o Windows 10 21H1 x64, com as atualizações mais recentes.

Termo aditivo.

Este não é um caso isolado no meu PC, eu o observei em vários computadores diferentes e foi relatado por outras pessoas usando o software que mencionei; este parece ser um problema relacionado à instalação desses pacotes específicos de clientes VPN, é perceptível apenas quando você realmente tem uma conexão rápida com a Internet (a lentidão parece limitar a cerca de 400 Mb/s, você nem perceberá se sua conexão é mais lenta para começar) e acontece assim que o software é instalado, independentemente de seu uso real; a única solução é desinstalar o software incorreto.

Atualizar

Parece que o problema é causado por drivers de filtro de rede que durante a configuração são instalados e vinculados a todos os adaptadores de rede no sistema , incluindo os NICs físicos e outros adaptadores virtuais que não têm nenhum relacionamento com o cliente VPN que você está instalando.

Especificamente:

• O ForcePoint instala um ForcePoint VPN Client Drivere o vincula a todos os adaptadores de rede do sistema.
• O FortiClient instala um FortiClient NDIS 6.3 Packet Filter Drivere o vincula a todos os adaptadores de rede do sistema.

Se esses drivers forem desvinculados das NICs, o problema desaparecerá e a velocidade total da conexão voltará.

Outros clientes VPN (Cisco, CheckPoint) não fazem isso e não criam esse tipo de lentidão.

Agora, a pergunta é: esses drivers podem ser desvinculados com segurança de NICs reais sem afetar a operação do cliente VPN ou são necessários?
Isso está documentado em algum lugar?

De acordo com esta pergunta , eu tenho um ambiente em que os certificados baseados no modelo "Autenticação Kerberos" não podem ser emitidos (há sites remotos sem conectividade direta com a CA, o registro do certificado usa CEP/CES, mas o modelo de autenticação Kerberos exige que a CA conecte-se novamente ao DC solicitante; detalhes completos na pergunta vinculada).

Podemos viver sem esses certificados... mas todos os controladores de domínio continuam solicitando-os quando o registro automático está habilitado.

Tentei desabilitar o modelo, mas os DCs continuam tentando e falhando com o erro "O modelo de certificado solicitado não é suportado por esta CA".

Como posso dizer aos DCs para solicitar apenas um certificado de "Autenticação do controlador de domínio" e parar de tentar obter um certificado de "Autenticação Kerberos"?

Atualmente estou trabalhando na implementação de uma Autoridade de Certificação Corporativa para um cliente cuja rede não está totalmente conectada; ele abrange vários sites geográficos e alguns deles não têm roteamento para o site onde a autoridade de certificação está localizada.

Para contornar isso, usei o Certificate Enrollment Web Service , que permite a inscrição de certificados via HTTPS; o serviço é exposto por meio de um nome público e endereço IP, e os computadores nos sites remotos podem acessá-lo dessa maneira.

A solução funciona muito bem para todos os tipos de certificados; no entanto, os controladores de domínio nos sites remotos não conseguem obter um certificado usando o modelo "Autenticação Kerberos" (que os DCs recentes tentam usar quando o registro automático está habilitado); o erro é um genérico "o servidor RPC está indisponível", mas acontece na própria CA , ficando logado nas requisições com falha.

Isso me intrigou por um tempo, até que decidi examinar o tráfego da rede; e eis que, parece que quando uma solicitação de certificado é feita usando o modelo "Autenticação Kerberos", a CA tenta se conectar novamente ao controlador de domínio que fez a solicitação . Isso não é possível na rede do cliente e parece ser a razão pela qual a solicitação falha.

Acho que a CA está tentando validar que o computador que está solicitando o certificado é na verdade um controlador de domínio; no entanto, não consegui encontrar nenhuma documentação para isso, e esse "retorno de chamada" parece contrário à lógica cliente/servidor das solicitações de certificado.

Esse comportamento está documentado em algum lugar?

Pode ser desligado?

O sistema operacional na CA é o Windows Server 2019.

Editar

Há quatro domínios na floresta do AD; a CA está no domínio raiz da floresta.
O comportamento é o mesmo para todos os DCs em todos os domínios: sempre que é feita uma solicitação de certificado "Autenticação Kerberos", seja manualmente ou via autoinscrição, a CA tenta entrar em contato com o DC solicitante nas portas 445 e 139 (estranhamente, há nenhum tráfego real de LDAP, Kerberos ou RPC); quando isso falha, a solicitação é negada com o erro "negado pelo módulo de política" e o código de status "o servidor RPC não está disponível".

Isso só acontece para certificados de "Autenticação Kerberos"; todos os outros certificados podem ser registrados com sucesso via CES, incluindo "Autenticação de controlador de domínio" e "Replicação de e-mail de diretório".

Eu também testei isso para DCs que podem realmente conversar com o CA: se o tráfego for bloqueado do DC para o CA, forçando a solicitação a usar o CES, mas não o contrário, as solicitações serão bem-sucedidas; se o tráfego for bloqueado da CA para o DC, a solicitação falhará.

Como todo administrador de sistema Windows deve saber em 2019, o serviço "Firewall do Windows" é um componente crítico da pilha de rede do Windows e nunca deve ser interrompido e desabilitado ; a maneira correta de permitir o fluxo de tráfego de/para um servidor Windows é configurar o firewall para permitir a passagem de qualquer coisa, mas sem interromper o serviço de Firewall do Windows; na verdade, não só isso não é suportado pela Microsoft, mas pode levar a qualquer tipo de problema de rede estranho.

Isso é até (um pouco) explicitamente mencionado na documentação :

Não desative o Firewall do Windows interrompendo o serviço. Em vez disso, use um dos procedimentos anteriores (ou uma configuração de Diretiva de Grupo equivalente) para desativar o firewall. [...] Interromper o serviço associado ao Firewall do Windows com Segurança Avançada não é suportado pela Microsoft.

Agora, eu tenho um monte de servidores onde os administradores de sistema anteriores achavam que desabilitar o serviço de Firewall do Windows era uma boa ideia, e assim eles fizeram. Preciso reativá-lo, mas assim que faço isso, perco imediatamente a conectividade de rede com os sistemas (porque é claro que ninguém se preocupou em configurar o Firewall do Windows para permitir a entrada de coisas como RDP); Também não consigo alterar manualmente a configuração do Firewall do Windows antes de reiniciar o serviço, seja via GUI ou via netsh, porque ambas as ferramentas reclamam que o serviço do Firewall do Windows está parado e, portanto, não me permitem configurar nada.

Até agora, a única abordagem viável foi usar o console físico (ok, virtual) desses servidores para reativar o serviço de Firewall do Windows e, em seguida, definir as exceções de firewall apropriadas (ou permitir todo o tráfego); no entanto, isso é inviável para um grande número de sistemas ou se você não tiver acesso ao console.

Como posso configurar o Firewall do Windows para aceitar todas (ou algumas) conexões de entrada quando o serviço está inativo e antes de reiniciá-lo ?

Preciso consultar o System Center Configuration Manager (branch atual, versão 1606) para obter informações sobre discos, partições e volumes de computadores clientes.

No entanto, não parece haver nenhuma maneira de correlacionar discos lógicos com partições e discos físicos; esses dados são apresentados como três classes diferentes no Explorador de Recursos, e mesmo as tabelas e visualizações correspondentes do banco de dados não fornecem nenhuma maneira de vincular um disco lógico a um disco físico e a uma partição (enquanto, em vez disso, uma partição pode pelo menos ser vinculada ao seu disco físico ).

Infelizmente, esse parece ser um problema bem conhecido nos sistemas Windows, bastante difícil de contornar mesmo usando o WMI:
https://blogs.technet.microsoft.com/heyscriptingguy/2005/05/23/how-can-i- correlate-logical-drives-and-physical-disks
https://stackoverflow.com/questions/4822559/powershell-and-wmi-how-to-map-logical-disk-volumes-to-a-hard-disk-or -vice-versa

Isso pode realmente ser tão difícil? É possível recuperar do SCCM uma lista de discos lógicos e os discos físicos e partições onde eles residem ?

Estou usando robocopy para sincronizar arquivos entre dois servidores diferentes (um deles não é um servidor Windows, mas expõe compartilhamentos semelhantes ao Windows); mas estou tendo um problema de permissão.

Preciso replicar todo o conteúdo e também manter as ACLs existentes; Estou usando um comando assim:

robocopy.exe \\server1\share \\server2\share /mir /copyall

No entanto, a conta de usuário que executa esse comando possui apenas acesso de leitura a algumas pastas; isso leva a um problema interessante: após a primeira sincronização, as mesmas permissões são aplicadas às pastas copiadas... e, portanto, a conta do usuário perde o acesso de gravação a essas pastas e não pode mais atualizá-las.

Existe alguma maneira de evitar ou corrigir isso?

Ao configurar a replicação entre sites do Active Directory, há um limite inferior de 15 minutos para o intervalo de replicação; ou, pelo menos, esse limite é imposto pelo console AD Sites & Services.

Existe alguma maneira de configurar o intervalo de replicação entre sites para link de site para um valor menor?

NB, sei que poderia simplesmente colocar todos os DCs no mesmo site, o que imporia a replicação contínua; mas eu quero ter sites AD adequados, o requisito é realmente diminuir o intervalo de replicação entre sites .

Uma empresa está usando o Office 365 com autenticação ADFS; AD Connect é usado para sincronização de diretórios, ADFS é a versão Windows Server 2012 R2.

A empresa possui vários domínios do Active Directory:

parent1.com
    child1.parent1.com
    child2.parent1.com
    child3.parent1.com
parent2.com
    ...
...

Os domínios raiz são configurados como domínios federados no Office 365 (os nomes de domínio público e os nomes de domínio AD são idênticos); isso funciona bem, os usuários podem fazer login no Office 365 usando seu UPN, como [email protected], e sua senha AD.

Preciso adicionar suporte para domínios filhos; portanto, adicionei child1.parent1.comao Office 365 executando o seguinte comando (depois de conectar-me ao Office 365 com uma conta de administrador usando Connect-MsolService):

New-MsolFederatedDomain -DomainName child1.parent1.com -SupportMultipleDomain

(NB Se eu não usasse o SupportMultipleDomainparâmetro, o PowerShell daria um erro informando que era obrigatório).

Em seguida, adicionei todos os registros DNS necessários, tanto no DNS privado quanto no público; A validação do Office 365 dos registros DNS relatou que estava tudo bem.

O domínio filho foi adicionado ao AD Connect e a sincronização foi realizada; os usuários do domínio filho apareceram no Office 365, com nomes de usuário como [email protected]. Atribuí as licenças apropriadas a eles e tentei fazer login no portal do Office 365.

No entanto, os usuários do domínio filho não conseguem fazer login; eles recebem um erro de "solicitação inválida", com os seguintes detalhes adicionais:

Correlation ID: b1e47d45-b21c-42e9-9758-265804db7171 
Timestamp: 2016-08-10 20:27:48Z 
AADSTS50107: Requested federation realm
object 'http://child1.parent1.com/adfs/services/trust/' does not exist. 

Obviamente, há algo errado no lado do ADFS, mas não sou um especialista nisso e também não fui eu quem o configurou; como posso corrigir isso para que os usuários em domínios filhos possam fazer login com êxito no Office 365?

O Windows 8 / 8.1 / 10 possui esse recurso chamado "Inicialização rápida" (ou "inicialização rápida", "statup híbrido", "desligamento híbrido" e assim por diante ...) que na verdade não desliga o computador quando você diz para fazê-lo, em vez de colocá-lo em uma espécie de hibernação, a fim de acelerar o tempo de inicialização.

Embora isso possa parecer bom à primeira vista, tem vários efeitos colaterais conhecidos e desagradáveis:

• Ele pode estragar seriamente alguns sistemas (possivelmente ao usar drivers ou BIOS antigos/incompatíveis), resultando em uma falha do sistema no momento da inicialização e uma inicialização forçada subsequente (isso eu testemunhei pessoalmente em vários sistemas diferentes... e boa sorte se você também está usando discos dinâmicos espelhados, que sempre passarão por uma ressincronização completa após uma falha do sistema).
• Isso prejudica o processamento de algumas políticas de grupo, que exigem uma reinicialização real do sistema para serem aplicadas.
• Por último, mas não menos importante, é conhecido por tornar o Wake-On-Lan inutilizável; este é o problema que estou enfrentando atualmente após uma atualização para o Windows 10 de vários PCs com Windows 7 que costumavam funcionar muito bem e agora não funcionam mais.

Por esses e outros motivos, gostaria de poder gerenciar o Fast Startup usando as Diretivas de Grupo; no entanto, a única política que encontrei sobre isso ( Computer Configuration\Policies\Administrative Templates\System\Shutdown\Require use of fast startup) só pode ser usada para forçar o uso do Fast Startup, mas não para desativá-lo: sua descrição afirma explicitamente que if you disable or do not configure this policy setting, the local setting is used.

Assim, minha pergunta: como posso desabilitar o Fast Startup usando uma política de grupo?

Estou adicionando este Q/A porque me deparei com essa limitação hoje e não consegui encontrar nenhuma documentação sobre isso; há um artigo antigo da KB sobre esse problema, mas atualmente não é indexado pelo Google (provavelmente porque foi publicado anos atrás e nunca foi atualizado) e o problema nunca é mencionado em outro lugar.

É possível criar uma UO no domínio pai com o mesmo nome de um domínio filho?
É possível criar um domínio filho com o mesmo nome de uma UO no domínio pai?

O plug-in VDI para Lync 2013 permite usar o Lync 2013 (que se torna SFB automaticamente após a instalação de algumas atualizações) em uma conexão de área de trabalho remota sem penalidades de desempenho, descarregando o processamento de áudio/vídeo para o cliente RDP.

Mas o que fazer se você estiver usando o Office 2016 e o ​​Skype For Business 2016 em seus desktops virtuais/servidores de terminal?

Estou trabalhando na migração de um cliente SMB (cerca de 25 caixas de correio) do Exchange 2010 local para o Exchange Online; Eu configurei a configuração híbrida e atualmente estou movendo os dados da caixa de correio; tudo está funcionando bem.

O ambiente de origem possui uma única pasta pública, que hospeda várias centenas de contatos; seu tamanho total é muito pequeno e o cliente acha que uma migração única desses dados (que não mudam com frequência) é perfeitamente aceitável. A pasta pública não é habilitada para email e as permissões são tão simples quanto "todos podem lê-la, alguns usuários podem editar os contatos".

Estou familiarizado com o procedimento oficial de migração pública para pastas públicas , mas acho que é bastante complicado para esta situação, onde poucos dados precisam ser movidos e nenhuma sincronização contínua é necessária.

Existe alguma maneira mais simples de conseguir isso? Idealmente, eu estaria procurando por algo como "criar uma estrutura de pasta pública vazia no Exchange Online, exportar os dados da pasta pública atual para um arquivo .PST usando o Outlook, conectar o Outlook ao Exchange Online, importar dados".

Estou trabalhando em uma migração para Office 365 / Exchange Online para uma empresa SMB que até agora rodava um servidor Exchange 2010 local; estamos falando de aproximadamente 25 caixas de correio aqui.

No entanto, existe um aplicativo LOB que envia mensagens via SMTP para o Exchange, é baseado no ASP clássico e usa as bibliotecas CDO bastante antigas.

Sei que o Exchange Online aceita apenas envios SMTP quando a autenticação é usada e somente com criptografia TLS; no entanto, parece que o CDO não suporta isso: o máximo que ele pode fazer é SSL, que o Exchange Online costumava suportar até algum tempo atrás, mas parece não suportar mais.

Existem várias discussões espalhadas pela Internet (incluindo este próprio site e o StackOverflow) que sugerem o uso de SSL para fazer isso funcionar; no entanto, como eu já disse, isso era apenas uma opção até algum tempo atrás : agora o Exchange Online suporta apenas TLS para envios SMTP.

Também estou perfeitamente ciente de ambas as soluções possíveis, ou seja, 1) usando uma retransmissão SMTP local e 2) criando um conector de recebimento no Exchange Online para permitir a retransmissão não autenticada do endereço IP público da empresa; no entanto, por motivos que devem ser óbvios, gostaria de seguir o caminho certo e fazer com que o aplicativo envie suas mensagens usando a autenticação SMTP.

Estou procurando uma resposta definitiva aqui: agora é possível fazer com que um aplicativo baseado em CDO envie mensagens para o Exchange Online? Ou, mais especificamente, existe alguma maneira de um aplicativo baseado em CDO oferecer suporte à autenticação SMTP em uma conexão TLS ?

Preciso instalar o Active Directory Management Gateway Service em dois controladores de domínio Windows Server 2003, para poder utilizar o módulo Active Directory PowerShell em outros computadores do ambiente; isso é necessário como uma solução alternativa para não ter DCs mais recentes no domínio, que é uma condição que não pode ser resolvida no momento.

No entanto, o pacote acima mencionado requer o hotfix KB969166 , que parece não estar disponível em nenhum lugar, nem mesmo mediante solicitação (como é o caso do outro hotfix necessário, KB969429 ).

A página de download afirma que "esse hotfix será eventualmente mesclado com o .NET Framework 4.0", mas isso não parece ser uma solução, porque o framework 4.0 está realmente instalado nesses controladores de domínio (bem como todos os .NET disponíveis). atualizações), mas ainda recebo um erro ao instalar o ADMGS porque esse hotfix está ausente.

Eu sei que estamos sem suporte aqui; infelizmente, adicionar outro controlador de domínio ao ambiente não é uma opção. Apesar disso, no entanto, esse pacote ainda deve ser utilizável e os hotfixes necessários para sua instalação devem estar disponíveis.

Como posso resolver isso?

Eu me deparei com um problema bizarro com o Skype for Business 2015 (o aplicativo cliente, anteriormente conhecido como Lync 2013, mas atualizado automaticamente para SfB 2015 por alguma atualização do Office); talvez eu esteja perdendo alguma coisa, mas não consigo encontrar uma solução, daí esta pergunta.

O problema: alguém o convida para uma reunião, mas você não tem uma conta Lync/SfB, então você precisa entrar na reunião como um convidado externo clicando no link da reunião que você recebeu; no entanto, o aplicativo é realmente instalado em seu computador , como parte do pacote Office 2013; neste cenário, clicar no link da reunião iniciará automaticamente o aplicativo, mas ele ficará parado ao solicitar informações de login, que você não possui. Parece que não há como evitar a inicialização do aplicativo se ele estiver realmente instalado ou entrar como convidado.

Como você pode ingressar em uma reunião do Lync 2013 / Skype for Business como convidado quando o aplicativo está instalado em seu computador, mas você não tem nenhuma conta que possa usar?

Estou substituindo um firewall ForeFront TMG 2010 por um SonicWall NSA 3600; o firewall atual fornece acesso VPN à nossa rede usando SSTP e funciona como um encanto com qualquer cliente Windows recente, sem exigir a instalação de nenhum software adicional.

O firewall SonicWall oferece suporte a VPNs SSL, mas aparentemente requer a instalação de um software chamado NetExtender; ele pode ser baixado diretamente da página de login do firewall, portanto, não é realmente um grande problema ... mas realmente preferimos evitar a instalação de qualquer software e usar apenas o cliente VPN integrado do Windows.

É possível estabelecer uma conexão VPN SSL com um firewall SonicWall a partir de um computador Windows usando apenas o cliente VPN integrado? Se sim, como?

NB O firewall também suporta L2TP e funciona bem com o cliente VPN interno do Windows (e vários outros); infelizmente, isso não é uma opção: nosso pessoal geralmente viaja para sites de clientes onde o acesso à Internet é restrito a HTTP/S, portanto, uma VPN SSL é obrigatória.

Cenário: um único servidor Exchange 2013 em um domínio Windows Server 2003 AD; um DC apresentou defeito meses atrás e foi demitido (sem rebaixamento adequado, nada menos); o outro DC morreu ontem e não há backups disponíveis. Simplificando, esse AD não existe mais.

O servidor Exchange está totalmente operacional, mas é claro que o próprio Exchange não está; no entanto, os arquivos do banco de dados são seguros e foi até possível trazer o banco de dados para um estado de desligamento normal.

O domínio AD terá que ser reconstruído do zero; nenhuma perda realmente grande, é uma empresa pequena, 20 PCs precisarão ser reingressados ​​em um novo domínio e 20 usuários enfrentarão um perfil de usuário limpo, alguns compartilhamentos de arquivos precisarão ser re-ACLed, mas no geral não é um grande desastre ( embora definitivamente tenha ensinado a eles que, embora ter um único DC signifique apenas pedir problemas, ter um único DC e nenhum backup dele é muito mais insano).

A empresa não está realmente interessada em trazer o Exchange novamente: eles reconheceram sua total incapacidade de executar algo mais complexo do que um servidor de arquivos e estão migrando de todo o coração para o Office 365; no entanto, eles desejam recuperar seus dados do Exchange.

Posso criar qualquer ambiente de laboratório de que preciso, portanto, criar um novo AD e um novo servidor Exchange 2013 não é problema; no entanto, o que eu realmente preciso para montar o banco de dados recuperado em um novo ambiente AD/Exchange?

Fiz isso há vários anos com o Exchange 2003 e foi uma dor de cabeça ; funcionou, mas precisava que cada bit da configuração do Exchange correspondesse, começando pelos nomes da AD e da organização do Exchange até os caminhos do banco de dados e nomes de usuário. No entanto, temos o Exchange 2013 agora, que tem muitas melhorias interessantes que devem facilitar as coisas: grupos administrativos/de roteamento não existem mais, a nova arquitetura de armazenamento aboliu grupos de armazenamento e bancos de dados desacoplados de servidores e, finalmente, há o lendário banco de dados portabilidade (que, no entanto, só funciona entre servidores na mesma organização) e os bancos de dados de recuperação absolutamente adoráveis .

O que eu sei: o nome do domínio AD extinto, o nome do servidor Exchange, o nome do banco de dados e seus caminhos de arquivo, a versão Exchange 2013 (CU3).
O que não sei: o nome da organização do Exchange (posso adivinhar, mas não tenho certeza), os logins do usuário (o mesmo que acima).

Quantos desses parâmetros ainda precisam corresponder para montar um banco de dados do Exchange e executar vários MailboxExportRequests? Esse processo de restauração melhorou um pouco ou ainda é dolorosamente manual? Um banco de dados de recuperação ajudaria as coisas (eu só preciso montar o banco de dados e exportar dados, não para realmente usá -lo)?

Pode ser tão simples quanto "basta abrir um novo servidor Exchange, criar um banco de dados vazio, copiar os arquivos recuperados, montar o banco de dados e exportar tudo"... ou definitivamente ainda não chegamos lá?

Estou criando uma implantação de teste do Lync no Azure; sim, eu sei que isso não é suportado, portanto, "teste".

Os servidores Lync Front-End expõem dois conjuntos de serviços da Web, um para usuários internos e outro para externos; eles escutam em portas diferentes (443 e 4443) nos mesmos servidores; quando serviços externos são publicados, você precisa de um proxy reverso ou encaminhamento de porta para mapear a porta 443 de um endereço IP público para a porta 4443 do(s) servidor(es) Front-End. Quando você tem vários servidores Front-End em um pool, também precisa fazer o balanceamento de carga deles.

Portanto, uma implantação típica do Lync se parece com isto:

       Internal users
             |
            443
             |
         Internal LB
        192.168.0.20
        /          \
       /            \
    443             443
     |               |
 Lync FE 1       Lync FE 2
192.168.0.21   192.168.0.22
     |               |
    4443           4443
      \             /
       \           /
        External LB
     Public IP Address
             |
            443
             |
       External Users

Isso deve ser facilmente replicado no Azure, pois oferece suporte ao balanceamento de carga externo ( como fazer de configuração ) e balanceamento de carga interno ( como fazer de configuração ). Eles são suportados juntos no mesmo serviço de nuvem, então essa configuração deve ser fácil. No entanto, parece que "deveria" é a palavra-chave aqui.

Depois de criar o endpoint externo com balanceamento de carga (que escuta na porta externa 443 e encaminha para a porta 4443 nos servidores), estou tentando criar um balanceador de carga interno e adicionar endpoints internos a ele; no entanto, embora o ILB possa ser criado com sucesso, adicionar um ponto de extremidade interno escutando na porta 443 e encaminhando para a porta 443 nos servidores falha miseravelmente, com um erro informando que a porta 443 já está em uso por outro ponto de extremidade:

Update-AzureVM : BadRequest : Port 443 is already in use by one of the endpoints
in this deployment. Ensure that the port numbers are unique across endpoints
within a deployment.

Para referência, meus comandos são:

Add-AzureInternalLoadBalancer -InternalLoadBalancerName "LyncILB" -ServiceName "LyncFrontEnd" -SubnetName "LabSubnet" -StaticVNetIPAddress 192.168.0.20

(Isso conclui com sucesso)

Get-AzureVM LYNCFE1 | Add-AzureEndpoint -Name "Https-Int" -Protocol "tcp" -LocalPort 443 -PublicPort 443 -LBSetName "HttpsIntLB" -DefaultProbe -InternalLoadBalancerName "LyncILB"

(Isso falha)

O endpoint externo existente é configurado como tal:

Get-AzureVM LYNCFE1 | get-azureendpoint

LBSetName                : HttpsExtLB
LocalPort                : 4443
Name                     : HTTPS-Ext
Port                     : 443
Protocol                 : tcp
Vip                      :
ProbePath                :
ProbePort                : 4443
ProbeProtocol            : tcp
ProbeIntervalInSeconds   : 15
ProbeTimeoutInSeconds    : 31
EnableDirectServerReturn : False
Acl                      : {}
InternalLoadBalancerName :
IdleTimeoutInMinutes     :
LoadBalancerDistribution :

O erro nem faz muito sentido; o balanceador de carga externo escuta em um endereço IP público, enquanto o balanceador de carga interno escuta em um endereço IP privado na rede interna; não deveria haver nenhum conflito aqui... no entanto, parece que há um em seu lugar.

Por que isso não funciona? Estou fazendo algo errado ou a rede do Azure está apenas sendo boba como sempre?

Estou construindo um ambiente de teste contendo vários domínios do Active Directory na mesma floresta, mas estou tendo problemas estranhos ao tentar adicionar um domínio filho ao domínio raiz da floresta.

Todos os servidores são VMs do Windows Server 2012 R2 em execução na plataforma de nuvem Azure, conectados à mesma rede virtual; eles têm endereços IP estaticamente reservados e podem se comunicar sem nenhum problema de rede.

Minha estrutura de domínio é (ou pelo menos deveria ser) a seguinte:

    A0.lab (forest root)            B0.lab
   /  \                            /  \
  A1  A2                          B1  B2
  |                               |
  A3                              B3

Desta forma:

• A0.lab (raiz da floresta)
• A1.A0.lab
• A2.A0.lab
• A3.A1.A0.lab
• B0.lab
• B1.B0.lab
• B2.B0.lab
• B3.B1.B0.lab

Eu criei o domínio raiz da floresta (A0.lab) com sucesso e defini um site AD e sua sub-rede; o domínio está operando corretamente.

Em seguida, configurei o servidor que deve se tornar o controlador de domínio para o primeiro domínio filho (A1.A0.lab) para usar o DC raiz como seu servidor DNS e iniciei o assistente de promoção; Preenchi todos os parâmetros, incluindo a conta de usuário do administrador do domínio para o domínio raiz e a opção de criar uma delegação de DNS; todas as verificações de pré-requisito são bem-sucedidas.

Quando inicio o processo de promoção real, ele para no estágio "Replicando a partição do diretório de esquema". O log de eventos "Directory Service" é preenchido repetidamente com vários erros:

ID do evento 1963, origem ActiveDirectory_DomainService, categoria de tarefa DS RPC Client:

Internal event: The following local directory service received an exception from a
remote procedure call (RPC) connection. Extensive RPC information was requested. This
is intermediate information and might not contain a possible cause. 

Process ID:  
540  

Reported error information:  
Error value:  
Could not find the domain controller for this domain. (1908)  
directory service:  
DCA0.a0.lab  

Extensive error information:  
Error value:  
A security package specific error occurred. 1825  
directory service:  
DCA1  

Additional Data  
Internal ID:  
5000e02

ID do evento 1961, origem ActiveDirectory_DomainService, categoria de tarefa DS RPC Client:

Internal event: This log entry is a continuation from the preceding extended error
information entry on the following error and directory service. 

Extended information:  
Error value:  
A security package specific error occurred. (1825)  
directory service:  
DCA1  

Supplemental information:  
Detection location:  
1461  
Generating component:  
RPC Runtime  
Time at directory service:  
2015-03-19 21:44:04  

Additional Data  
Error value:  
A security package specific error occurred. (1825)

ID do evento 2839, origem ActiveDirectory_DomainService, categoria de tarefa DS RPC Client:

Internal event: This log entry is a continuation from the preceding extended error
information entry. 

Extended information:  
Extended Error Parameters:  
0  
Parameter 1:  
(NULL)  
Parameter 2:  
(NULL)  
Parameter 3:  
(NULL)  
Parameter 4:  
(NULL)  
Parameter 5:  
%6  
Parameter 6:  
%7  
Parameter 7:  
%8

ID do evento 1962, origem ActiveDirectory_DomainService, categoria de tarefa DS RPC Client:

Internal event: The local directory service received an exception from a remote
procedure call (RPC) connection. Extended error information is not available. 

directory service:  
DCA0.a0.lab  

Additional Data  
Error value:  
Could not find the domain controller for this domain. (1908)

ID do evento 1125, fonte ActiveDirectory_DomainService, categoria de tarefa Configuração:

The Active Directory Domain Services Installation Wizard (Dcpromo) was unable to
establish connection with the following domain controller. 

Domain controller:
DCA0.a0.lab 

Additional Data  
Error value:  
1908 Could not find the domain controller for this domain.

Esses erros são repetidos várias vezes, mas não há progresso ou falha, o processo de promoção permanece parado.

Aqui está o conteúdo do dcpromo.logarquivo:

03/19/2015 22:43:35 [INFO] Promotion request for domain controller of new domain
03/19/2015 22:43:35 [INFO] DnsDomainName  a1.a0.lab
03/19/2015 22:43:35 [INFO]  FlatDomainName  A1
03/19/2015 22:43:35 [INFO]  SiteName  Lab
03/19/2015 22:43:35 [INFO]  SystemVolumeRootPath  C:\Windows\SYSVOL
03/19/2015 22:43:35 [INFO]  DsDatabasePath  C:\Windows\NTDS, DsLogPath  C:\Windows\NTDS
03/19/2015 22:43:35 [INFO]  ParentDnsDomainName  a0.lab
03/19/2015 22:43:35 [INFO]  ParentServer  DCA0.a0.lab
03/19/2015 22:43:35 [INFO]  Account A0\AdmA0
03/19/2015 22:43:35 [INFO]  Options  5243072
03/19/2015 22:43:35 [INFO] Validate supplied paths
03/19/2015 22:43:35 [INFO] Validating path C:\Windows\NTDS.
03/19/2015 22:43:35 [INFO]  Path is a directory
03/19/2015 22:43:35 [INFO]  Path is on a fixed disk drive.
03/19/2015 22:43:35 [INFO] Validating path C:\Windows\NTDS.
03/19/2015 22:43:35 [INFO]  Path is a directory
03/19/2015 22:43:35 [INFO]  Path is on a fixed disk drive.
03/19/2015 22:43:35 [INFO] Validating path C:\Windows\SYSVOL.
03/19/2015 22:43:35 [INFO]  Path is on a fixed disk drive.
03/19/2015 22:43:35 [INFO]  Path is on an NTFS volume
03/19/2015 22:43:35 [INFO] Child domain creation -- check the new domain name is child of parent domain name.
03/19/2015 22:43:35 [INFO] Domain Creation -- check that the flat name is unique.
03/19/2015 22:43:40 [INFO] Start the worker task
03/19/2015 22:43:40 [INFO] Request for promotion returning 0
03/19/2015 22:43:42 [INFO] Using supplied domain controller: DCA0.a0.lab
03/19/2015 22:43:42 [INFO] Using supplied site: Lab
03/19/2015 22:43:42 [INFO] Forcing time sync
03/19/2015 22:43:42 [INFO] Forcing a time sync with DCA0.a0.lab
03/19/2015 22:43:42 [INFO] Reading domain policy from the domain controller DCA0.a0.lab
03/19/2015 22:43:42 [INFO] Stopping service NETLOGON
03/19/2015 22:43:42 [INFO] Stopping service NETLOGON
03/19/2015 22:43:42 [INFO] ControlService(STOP) on NETLOGON returned 0(gle=1062)
03/19/2015 22:43:42 [INFO] Exiting service-stop loop after service NETLOGON entered STOPPED state
03/19/2015 22:43:42 [INFO] StopService on NETLOGON returned 0
03/19/2015 22:43:42 [INFO] Configuring service NETLOGON to 1 returned 0
03/19/2015 22:43:42 [INFO] Stopped NETLOGON
03/19/2015 22:43:42 [INFO] Creating the System Volume C:\Windows\SYSVOL
03/19/2015 22:43:42 [INFO] Deleting current sysvol path C:\Windows\SYSVOL 
03/19/2015 22:43:44 [INFO] Preparing for system volume replication using root C:\Windows\SYSVOL
03/19/2015 22:43:44 [INFO] Created the system volume
03/19/2015 22:43:44 [INFO] Copying initial Directory Service database file C:\Windows\system32\ntds.dit to C:\Windows\NTDS\ntds.dit
03/19/2015 22:43:44 [INFO] Installing the Directory Service
03/19/2015 22:43:44 [INFO] Calling NtdsInstall for a1.a0.lab
03/19/2015 22:43:44 [INFO] Starting Active Directory Domain Services installation
03/19/2015 22:43:44 [INFO] Validating user supplied options
03/19/2015 22:43:44 [INFO] Determining a site in which to install
03/19/2015 22:43:44 [INFO] Examining an existing forest...
03/19/2015 22:43:44 [INFO] Configuring the local computer to host Active Directory Domain Services
03/19/2015 22:43:48 [INFO] EVENTLOG (Informational): NTDS General / Service Control : 1094  
Software write caching for the following disk drive has been disabled to prevent possible data loss during system failures such as power outages or hardware component failures that can cause a sudden shutdown of the system. The disk drive that stores Active Directory Domain Services log files is the only drive affected by this change.

Disk drive:  
c:

03/19/2015 22:43:59 [INFO] EVENTLOG (Informational): NTDS Database / Internal Processing : 2013  
Active Directory Domain Services is rebuilding the following number of indices as part of the initialization process.

Number of indices:  
1

Indices:  
LCL_ABVIEW_index00000410 +ATTb590468 

03/19/2015 22:43:59 [INFO] EVENTLOG (Informational): NTDS Database / Internal Processing : 2014  
Active Directory Domain Services successfully completed rebuilding the following number of indices.

Indices:  
1

03/19/2015 22:44:00 [INFO] EVENTLOG (Informational): NTDS General / Internal Configuration : 2120  
This Active Directory Domain Services server does not support the Recycle Bin. Deleted objects may be undeleted, however, when an object is undeleted, some attributes of that object may be lost.  Additionally, attributes of other objects that refer to the object being undeleted may also be lost.

03/19/2015 22:44:00 [INFO] EVENTLOG (Informational): NTDS General / Internal Configuration : 2405  
This Active Directory Domain Services server does not support the "Recycle Bin Feature" optional feature.

03/19/2015 22:44:00 [INFO] Replicating the schema directory partition

Depois disso, os mesmos erros relatados no log de eventos são registrados.

Encontrei este artigo que afirma que esse erro pode ocorrer se a conta do administrador tiver a mesma senha no novo controlador de domínio e no domínio no qual você está fazendo logon; Não estou usando a conta interna do Administrador, já que são VMs do Azure, mas na verdade estava usando o mesmo nome de usuário e senha em todos os servidores durante meu primeiro teste, portanto, imaginei que esse poderia ser o motivo do erro. erro; no entanto, reconstruí todos os servidores e criei uma conta de administrador local distinta em cada um (AdmA0, AdmA1, AdmA2...), com uma senha distinta; Também certifiquei-me de especificar as credenciais para o domínio pai no formulário A0\AdmA0; mas o erro voltou a acontecer.

O que está acontecendo e como posso corrigir isso?

Nossa empresa usa o Office 365 e nosso e-mail está hospedado no Exchange online; no entanto, temos vários aplicativos que não conseguem enviar mensagens diretamente para o Exchange Online devido a vários motivos (principalmente falta de suporte para SMTP autenticado com TLS); portanto, configuramos várias retransmissões de correio interno usando o componente SMTP do IIS, conforme sugerido aqui ; cada um deles usa um endereço de remetente diferente e precisa se autenticar no Exchange Online usando uma conta de usuário diferente, portanto, precisamos de uma retransmissão SMTP para cada aplicativo; é por isso que temos vários deles, cada um rodando no servidor que hospeda o aplicativo para o qual ele precisa retransmitir mensagens. Todos esses retransmissores SMTP são configurados exatamente da mesma maneira, apenas as contas de usuário diferem.

A maioria dessas retransmissões SMTP é executada em sistemas Windows Server 2008 R2 ou Windows Server 2012; no entanto, um desses aplicativos precisa ser executado em um sistema Windows Server 2003 e, portanto, sua retransmissão SMTP, hospedada no mesmo sistema, é executada no IIS 6.

Tudo funcionava bem até alguns dias atrás; então, o SMTP relay parou de funcionar apenas no sistema Windows Server 2003, enquanto continuou funcionando bem em todos os outros sistemas; os logs SMTP mostram um comportamento muito estranho: parece que algo fica preso depois que um comando AUTH é emitido e, em seguida, o servidor remoto interrompe a conexão devido a um tempo limite:

2015-03-07 17:44:27 157.56.251.50 OutboundConnectionResponse SMTPSVC1 <OurServerName> - 0 - - 220+AMXPR07CA0050.outlook.office365.com+Microsoft+ESMTP+MAIL+Service+ready+at+Sat,+7+Mar+2015+17:44:38++0000 0 0 108 0 16 SMTP - - - -
2015-03-07 17:44:27 157.56.251.50 OutboundConnectionCommand SMTPSVC1 <OurServerName> - 0 EHLO - <OurServerName> 0 0 4 0 32 SMTP - - - -
2015-03-07 17:44:27 157.56.251.50 OutboundConnectionResponse SMTPSVC1 <OurServerName> - 0 - - 250-AMXPR07CA0050.outlook.office365.com+Hello+[<OurPublicIPAddress>] 0 0 60 0 63 SMTP - - - -
2015-03-07 17:44:27 157.56.251.50 OutboundConnectionCommand SMTPSVC1 <OurServerName> - 0 STARTTLS - - 0 0 8 0 63 SMTP - - - -
2015-03-07 17:44:27 157.56.251.50 OutboundConnectionResponse SMTPSVC1 <OurServerName> - 0 - - 220+2.0.0+SMTP+server+ready 0 0 27 0 94 SMTP - - - -
2015-03-07 17:44:30 157.56.251.50 OutboundConnectionCommand SMTPSVC1 <OurServerName> - 0 EHLO - <OurServerName> 0 0 4 0 2829 SMTP - - - -
2015-03-07 17:44:30 157.56.251.50 OutboundConnectionResponse SMTPSVC1 <OurServerName> - 0 - - 250-AMXPR07CA0050.outlook.office365.com+Hello+[<OurPublicIPAddress>] 0 0 60 0 2860 SMTP - - - -
2015-03-07 17:44:30 157.56.251.50 OutboundConnectionCommand SMTPSVC1 <OurServerName> - 0 AUTH - - 0 0 4 0 2860 SMTP - - - -
2015-03-07 17:49:31 157.56.251.50 OutboundConnectionResponse SMTPSVC1 <OurServerName> - 0 - - 451+4.7.0+Timeout+waiting+for+client+input 0 0 42 0 303875 SMTP - - - -
2015-03-07 17:49:31 132.245.226.242 OutboundConnectionResponse SMTPSVC1 <OurServerName> - 0 - - 220+DB4PR06CA0004.outlook.office365.com+Microsoft+ESMTP+MAIL+Service+ready+at+Sat,+7+Mar+2015+17:49:43++0000 0 0 108 0 62 SMTP - - - -
2015-03-07 17:49:31 132.245.226.242 OutboundConnectionCommand SMTPSVC1 <OurServerName> - 0 EHLO - <OurServerName> 0 0 4 0 62 SMTP - - - -
2015-03-07 17:49:31 132.245.226.242 OutboundConnectionResponse SMTPSVC1 <OurServerName> - 0 - - 250-DB4PR06CA0004.outlook.office365.com+Hello+[<OurPublicIPAddress>] 0 0 60 0 109 SMTP - - - -
2015-03-07 17:49:31 132.245.226.242 OutboundConnectionCommand SMTPSVC1 <OurServerName> - 0 STARTTLS - - 0 0 8 0 109 SMTP - - - -
2015-03-07 17:49:31 132.245.226.242 OutboundConnectionResponse SMTPSVC1 <OurServerName> - 0 - - 220+2.0.0+SMTP+server+ready 0 0 27 0 156 SMTP - - - -
2015-03-07 17:49:34 132.245.226.242 OutboundConnectionCommand SMTPSVC1 <OurServerName> - 0 EHLO - <OurServerName> 0 0 4 0 2609 SMTP - - - -
2015-03-07 17:49:34 132.245.226.242 OutboundConnectionResponse SMTPSVC1 <OurServerName> - 0 - - 250-DB4PR06CA0004.outlook.office365.com+Hello+[<OurPublicIPAddress>] 0 0 60 0 2656 SMTP - - - -
2015-03-07 17:49:34 132.245.226.242 OutboundConnectionCommand SMTPSVC1 <OurServerName> - 0 AUTH - - 0 0 4 0 2656 SMTP - - - -
2015-03-07 17:54:34 132.245.226.242 OutboundConnectionResponse SMTPSVC1 <OurServerName> - 0 - - 451+4.7.0+Timeout+waiting+for+client+input 0 0 42 0 303015 SMTP - - - -
2015-03-07 17:54:34 157.56.254.178 OutboundConnectionResponse SMTPSVC1 <OurServerName> - 0 - - 220+DBXPR05CA0038.outlook.office365.com+Microsoft+ESMTP+MAIL+Service+ready+at+Sat,+7+Mar+2015+17:54:46++0000 0 0 108 0 47 SMTP - - - -
2015-03-07 17:54:34 157.56.254.178 OutboundConnectionCommand SMTPSVC1 <OurServerName> - 0 EHLO - <OurServerName> 0 0 4 0 47 SMTP - - - -
2015-03-07 17:54:34 157.56.254.178 OutboundConnectionResponse SMTPSVC1 <OurServerName> - 0 - - 250-DBXPR05CA0038.outlook.office365.com+Hello+[<OurPublicIPAddress>] 0 0 60 0 94 SMTP - - - -
2015-03-07 17:54:34 157.56.254.178 OutboundConnectionCommand SMTPSVC1 <OurServerName> - 0 STARTTLS - - 0 0 8 0 94 SMTP - - - -
2015-03-07 17:54:34 157.56.254.178 OutboundConnectionResponse SMTPSVC1 <OurServerName> - 0 - - 220+2.0.0+SMTP+server+ready 0 0 27 0 140 SMTP - - - -
2015-03-07 17:54:37 157.56.254.178 OutboundConnectionCommand SMTPSVC1 <OurServerName> - 0 EHLO - <OurServerName> 0 0 4 0 2640 SMTP - - - -
2015-03-07 17:54:37 157.56.254.178 OutboundConnectionResponse SMTPSVC1 <OurServerName> - 0 - - 250-DBXPR05CA0038.outlook.office365.com+Hello+[<OurPublicIPAddress>] 0 0 60 0 2672 SMTP - - - -
2015-03-07 17:54:37 157.56.254.178 OutboundConnectionCommand SMTPSVC1 <OurServerName> - 0 AUTH - - 0 0 4 0 2672 SMTP - - - -
2015-03-07 17:59:37 157.56.254.178 OutboundConnectionResponse SMTPSVC1 <OurServerName> - 0 - - 451+4.7.0+Timeout+waiting+for+client+input 0 0 42 0 303703 SMTP - - - -

Isso só acontece na retransmissão SMTP em execução no IIS 6 no Windows Server 2003; tudo está bem em todos os outros retransmissores SMTP em execução nos sistemas Windows Server 2008 R2 ou Windows Server 2012.

Suspeitando de algum problema naquele servidor específico (que já é bem conhecido por ter vários), construímos uma nova máquina Windows Server 2003 para mover a aplicação para ela; no entanto, o novo servidor exibe exatamente o mesmo comportamento : a conversa SMTP de saída é interrompida com o mesmo erro depois que o comando AUTH é emitido.

Por curiosidade, tentamos configurar a mesma conta no Outlook Express no servidor; funciona bem e pode enviar e-mails usando SMTP autenticado com TLS para o Exchange Online; o problema parece afetar apenas o componente SMTP do IIS e não parece estar relacionado à rede, ao sistema operacional ou a qualquer outra coisa.

O que pode estar causando esse erro e como podemos corrigi-lo?

(Sabemos que não deveríamos mais usar o Windows Server 2003; no entanto, o aplicativo só pode ser executado lá e deve continuar funcionando até que possa ser substituído. Também sabemos que poderíamos mover o SMTP relay para outro servidor executando um sistema operacional mais recente, mas seria bom descobrir por que a retransmissão SMTP está falhando apenas no IIS 6.)