Artur Rodrigues - da teoria à prática

Thank you / Obrigado

ArturRLR — Thu, 11 Apr 2013 04:47:00 GMT

Esse blog foi encerrado. Agradeço a todos que me acompanharam por esse canal. Apos um período de várias mudanças estarei escrevendo em http://2technobros.com

This blog was closed. I thank all of you who followed me through this channel. After a period of several changes I will be writing in http://2technobros.com/.

Artur Rodrigues.

Porque não desabilitar o IPv6 no Windows (e na sua rede)

ArturRLR — Fri, 21 Sep 2012 02:33:00 GMT

Alguns consultores recomendam desabilitar o IPv6 nos sistemas operacionais por acreditar em mitos que escutam por aí. Além disso, as pessoas não sabem ou ignoram que os endereços IPv4 públicos vão acabar e perdem a oportunidade de amadurecer o uso do IPv6 em suas empresas e equipes.

O efeito colateral caso o IPv6 não seja amplamente adotado é o compartilhamento do endereço IPv4 público, por meio do Carrier-grade NAT (CGNAT) como já ocorre em alguns países. O CGNAT, dentre várias outras desvantagens, dificulta muito a rastreabilidade de uma pessoa na Internet, facilitando assim a vida dos criminosos na grande rede.

Voltando aos mitos que fazem as pessoas a pensarem em desabilitar o IPv6, a grande maioria é relacionada à segurança, justamente o ponto em que a manutenção do IPv4 vai fragilizar ainda mais.

Por padrão o Windows Vista e Windows Server 2008 e seus sucessores tem o IPv6 habilitado. Estes atribuem endereços IPv6 link local (não-roteáveis) para cada placa de rede. Esses endereços só são utilizados para comunicação em um mesmo segmento de rede e não são registrados no DNS, não causando nenhum tipo de problema de segurança ou trafego na rede.

O IPv6 não é um backdoor. É uma tecnologia com mais de 10 anos e que usa praticamente os mesmos métodos de acesso, regras e limitações do IPv4 em relação a camada 2. No caso de controle de acesso Internet, tanto de entrada com saída, pode-se usar firewall e/ou roteadores com capacidade de filtro de endereços IPv6. O Windows já vem com um firewall embutido que permite fazer essa filtragem. É possível também desabilitar as tecnologias de transição de forma a limitar a capacidade de conectividade do IPv6.

Curiosamente, a capacidade de conexão fim-a-fim do IPv6 e o fim do NAT faz com que alguns “especialistas” o considerem mais inseguro. O NAT nasceu para dar uma sobrevida ao IPv4, e não para se obter maior segurança. O IPv6 tem muitas vantagens ao IPv4, incluindo IPSec nativo. A Microsoft usa esse conceito na sua solução de DirectAccess.

Para os mais “paranoicos” maiores informações sobre recomendações de segurança no artigo IPv6 Security Considerations and Recommendations.

Outro ponto importante é que a maioria dos produtos da Microsoft são testados com o protocolo IPv6, logo, por parte do produto não existe um motivo real para desabilitar o IPv6. Maiores detalhes podem ser encontrados no link: IPv6 for Microsoft Windows: Frequently Asked Questions.

Além dos pontos colocados acima, o comitê gestor da Internet no Brasil (NIC.br) soltou uma nota em 18 de maio de 2012 recomendando a adoção do IPv6 pelas empresas e operadoras. A resolução pode ser conferida no link: http://ipv6.br/recomendacao/.

Então, você ainda pensa em desabilitar o IPv6?!

Recomendações do uso de memória nos servidores Hyper-V (2008 R2)

ArturRLR — Thu, 12 Jan 2012 16:48:00 GMT

Existem vários fatores de hardware que você deve levar em consideração quando pensa em uma solução de virtualização, mas um dos componentes mais importantes é a memória (RAM), pois esse é um fator determinante para se calcular a densidade de máquinas virtuais (VMs) de um servidor Hyper-V. Por isso é importante saber quanto de memória cada VM necessita. Ficar atento para não alocar mais memória que o necessário, bem como não prover memoria de menos.

Entender como obter o maior benefício do hardware do host Hyper-V é chave para uma melhor performance, e o NUMA (Non-Uniform Memory Access) é parte disso. A ideia do NUMA é aumentar a performance do acesso à memoria por processador. Para isso blocos de memória ficam localizados no mesmo barramento de cada processador. Assim um processador pode acessar o seu banco de memória local mais rápido do que a um banco de memória que não esta no seu barramento.

A versão do Hyper-V do Windows Server 2008 e do 2008 R2 não tem a opção de configurar a afinidade das VMs por NUMA, essa funcionalidade deve vir no Hyper-V do Windows 8. Entretanto é possível inferir o tamanho máximo de memória para que as VMs se beneficiem do NUMA, basta pegar o tamanho de memória e dividir pelo número de cores do servidor. Por exemplo, em servidor dual processor quad-core com 64GB de memória o cálculo seria 64/8. As máquinas virtuais que usem até 8GB, resultado do cálculo anterior, têm grandes chances de estarem usando memórias NUMA de um mesmo banco de um dos processadores, e obtendo assim melhor performance.

Parent Partition

No servidor Hyper-V o Hypervisor reserva pelo menos 300MB, e o sistema operacional requer no mínimo 512MB. O recomendado é que se reserve ao menos 2GB de memória para o servidor Hyper-V.

Outra recomendação é não utilizar o servidor Hyper-V para outras funções. Caso isso ocorra é necessário designar mais memória para o servidor desempenhar as demais funções que lhe foi designada. Lembre-se que essa memória não é pré-alocada e a garantia de disponibilidade dessa memória para o sistema operacional deve ser planejada/monitorada juntamente com a alocação de memória realizada pelas VMs.

Memória Dinâmica

No Windows Server 2008 R2 SP1 foi introduzido o conceito de memória dinâmica que permite que a máquina virtual consuma a memória física do servidor Hyper-V à medida que a VM for requisitando. O uso da memória dinâmica permite aumentar a densidade de maquinas virtual por servidor físico. Entretanto, nem sempre a memória dinâmica é a melhor opção.

Para as VMs que rodam serviço que requerem uma quantidade fixa de memória, ou aplicações que tentam usar toda a memória disponível do servidor são bons candidatos a não usarem memória dinâmica. Nestes casos o melhor é usar memória estática.

Outro ponto importante é que o uso de memória dinâmica em varias VMs tende a usar memorias de vários nós NUMA, logo, se performance for um ponto crucial o uso de memória dinâmica pode não ser a melhor opção.

Importante ressaltar que a memória dinâmica só pode ser configurada para as VMs que executam os seguintes sistemas operacionais: Windows 7, Vista, Windows Server 2003, Windows Server 2008 e superiores. Caso se configure memória dinâmica para outros sistemas operacionais ele só vai usar a memória definida no Startup RAM.

Configuração da Memória Dinâmica

Item	Descrição
Startup RAM	É a quantidade mínima de memória necessária para a VM iniciar. É também a quantidade de memória física que a VM vai alocar inicialmente. A Microsoft recomenda 512MB para o Windows 7, Vista e Windows Server 2008, e 128MB para os Windows Server 2003.
Maximum RAM	O tamanho máximo de memoria que a VM pode alocar de memória física do servidor Hyper-V. Esse valor não pode ser menor que o Startup RAM e maior que 64GB. Tenha cuidado para não especificar um tamanho que memória que o sistema operacional da VM suporte. Por padrão o Hyper-V coloca 64GB.
Memory buffer	Controla a quantidade de memória física que cada VM deve tentar reservar como buffer. O valor é representado em porcentagem porque o tamanho de memória utilizado pela VM muda ao longo da sua execução. A formula que determina o tamanho do buffer é : Quantidade de memória utilizada pela VM / (valor do buffer / 100). Por exemplo, uma VM que esteja utilizando 1024MB de memória, com a configuração de buffer de 20%, vai alocar aproximadamente 204MB, totalizando 1228MB de memória física no servidor Hyper-V. Obs: O buffer não é mantido quando não se tem espaço de memória suficiente.
Memory weight	É uma forma de priorizar o uso de memória entre a VMs. No caso da utilização de memória do servidor Hyper-V começar a ficar escassa, a memória é alocada para as VMs com maior prioridade.

Authenticode e a possível lentidão para instalar produtos

ArturRLR — Thu, 08 Dec 2011 12:48:00 GMT

Quem já não teve a experiência de ter que instalar um produto em um ambiente Windows sem acesso a Internet e achar que demorou mais que o normal? Recentemente descobri que essa demora não é apenas uma percepção. Ela ocorre porque o Windows está tentando validar a assinatura digital de um pacote ou driver e a operação só continua após um timeout desta operação.

Authenticode é um tecnologia Microsoft para assinatura de código. Em resumo, quem publica um driver ou um pacote de software (.cat) pode assinar os mesmos com um certificado digital para que se possa verificar a integridade do código ou driver.

Em algumas instalações de produtos a tentativa de ser verificar o CRL da assinatura digital do Authenticode pode causar mais lentidão, e desabilitando algumas opções no IE pode acelerar a instalação em um ambiente que não tem acesso às URL publicadas no certificado. São eles Check for Publishers’s certificate revocation e Check for server certificate revocation.

A próxima pergunta seria qual o impacto de desabilitar essas opções?

Quando um certificado é emitido por uma autoridade certificadora (CA), para um site, por exemplo, esse certificado contém informações que permitem que o cliente valide se o certificado emitido não foi revogado pela autoridade certificadora. Por diversos motivos um certificado pode ser revogado. A periodicidade e obrigatoriedade de acesso a essa lista depende da aplicação que usa o certificado.

Existem dois mecanismos para que um cliente valide se um certificado foi revogado:

Certificate Revocation List - CRL : Neste método o cliente baixa um arquivo de uma URL fornecida no certificado que contém os certificados revogados. Dependendo da autoridade certificadora esse arquivo pode alcançar algumas centenas de bytes. O arquivo CRL pode ficar em cache por alguns dias ou mais e é assinado pela CA para evitar fraudes.

Online Certificate Status Protocol – OCSP : O cliente consome um web service, em uma URL pré-determinada, perguntando se um certificado específico foi revogado. A resposta também é assinada pela CA para evitar fraudes. A resposta é bem menor que baixar o arquivo CRL por completo. Se a requisição OCSP não completar em menos de 15 segundos, ocorre um timeout e a operação falha. Existe ainda uma variante chamada OCSP Stapling.

A opção Check for publisher’s certificate revocation habilita a verificação de certificados revogados para assinaturas de Authenticode ou quando se faz um download de um componente ActiveX.

A opção Check for server certificate revocation controla a verificação de certificados revogados em uma conexão HTTPS.

Eu recomendo que após a instalação do produto se retorne a habilitar as opções, para que não cause impacto em futuros serviços que utilizem uma CA interna e que requeiram validar os certificados revogados.

Maiores detalhes sobre CRL no artigo How Certificate Revocation Works

Performance dos VHDs

ArturRLR — Tue, 06 Dec 2011 17:02:00 GMT

A Microsoft vem utilizando o VHD desde 2003 no Virtual PC e com o Windows Server 2008 R2 a integração do VHD passou a ser feita no sistema operacional. Um disco VHD é um arquivo que encapsula uma imagem de disco físico

A integração e melhorias do Windows Server 2008 R2 em relação ao suporte ao VHD podem ser resumida em:

Suporte nativo
Possibilidade de iniciar um sistema operacional (Boot) com um arquivo VHD
Integração para montar e desmontar arquivos VHD por meio do Gerenciador de Disco (Disk Management)
Aumento significativo de desempenho

Já escutei algumas teorias sobre desempenho dos arquivos VHD em alguns clientes. Existe muita informação desconectada ou mitos do passado. Por isso, resolvi pegar alguns testes de desempenho de VHD realizados pela Microsoft para ajudar a desmistificar alguns pontos.

Vamos aos gráficos.

Essa parte foca na comparação de performance de I/O entre discos:

PhysicalDisk(Native) – Esse é o disco físico apresentado ao sistema operacional.
PassthruDisk(VM) – Acesso ao um disco físico direto de um servidor virtual.
FixedVHD(Native) – Um disco virtual apresentado ao sistema operacional.
FixedVHD(VM) – Acesso à um arquivo VHD por uma maquina virtual. A forma mais comum em um cenário de virtualização.

A comparação de performance dos tipos de VHD (Fixo, Dinâmico e diferencial) com o acesso ao disco físico são reveladoras também. Apesar da diferença de performance entre os disco fixo e dinâmicos não serem muito grandes, se recomenda (e algumas vezes só é suportado) utilizar discos fixos em ambientes de produção devido ao risco de corromper o VHD por falta de espaço durante a expansão de um disco dinâmico. Outro ponto é que a operação de expansão causa impacto na performance de I/O durante essa transação.

Abaixo uma tabela resumindo pontos a favor e contra sobre cada um dos tipos de armazenamento.

	Pros	Contras
Pass-through	Performance um pouco melhor Possibilidade de usar disco da SAN direto de uma VM Menor utilização de CPU Suporte discos acima de 2TB Não é possivel fazer snaoshots da VM O disco é usado exclusivamente e diretamente por uma unica VM Não podem fazer backup que utilizar o VSS do Hyper-V	Não é possivel fazer snapshots da VM O disco é usado exclusivamente e diretamente por uma unica VM Não podem fazer backup que utilizar o VSS do Hyper-V
Tamanho Fixo (Fixed sized VHD)	A melhor performance dos tipos de VHD Um simples arquivo VHD te fornece o melhor alinhamento de I/O. Mais robusto que os outros tipos de VHD. Contém mais benefícios de gerencimanto que os discos pass-through É possivel expandir o tamanho inicial do VHD. Não existe o risco do VHD precisar expandir e não existir espaço para o crescimento.	A alocação total do espaço aumenta pode ter um impacto no storage quando se tem varias VM com disco fixo. A criação de VHDs com tamanhos grandes pode levar tempo. Reduzir o tamanho do VHD após a sua criação não é possível.
Dynamically expanding or Differencing VHD	Boa performance Criação do VHD rápida Prove eficiente uso do espaço em disco, devido ao crescimento sob demanda. VHD com tamanhos pequenos tornam possível à movimentação de VMs na rede de forma mais eficiente. É possível compactar o VHD e com isso reduzir o tamanho físico do arquivo VHD.	Intercalação de blocos de dados e metadados pode causar problemas de alinhamento de I/O Degradação nas operações de escrita durante a expansão do VHD Os arquivos não podem exceder 2040GB. Pode ter uma VM pausada ou corrompida devido a falta de espaço em disco durante uma expansão. Reduzir o tamanho especificado no VHD não é possível. Disco Diferenciais não podem ser expandidos devido à herança do tamanho do disco do "pai".

O White Paper completo pode ser acessado em: http://download.microsoft.com/download/0/7/7/0778C0BB-5281-4390-92CD-EC138A18F2F9/WS08_R2_VHD_Performance_WhitePaper.docx

Consolidação de Serviços de Armazenamento com Windows Server 2008 R2 e SMB2

ArturRLR — Fri, 30 Sep 2011 03:05:00 GMT

O título deste post é o mesmo da apresentação que irei fazer no TechEd Brasil hoje pela manhã. Por isso resolvi escrever um pouco sobre o que vai ser falado.

SMB é o acrônimo de Server Message Block, que é um protocolo usado para compartilhamento de arquivos, impressoras e outros dispositivos. Ele é um protocolo cliente-servidor, baseado em sua grande parte no modelo resquest-response. Alguns documentos apontam que em 1987 ele já existia.

Uma importante característica do SMB é a de multiprotocolo, ou seja, ele pode rodar sobre IPX, NETBEUI, TCP/IP dentre outros caso seja necessário.

A primeira versão do SMB foi desenvolvida focada na rede local e na consistência da informação, dessa forma o protocolo se tornou “burocrático (chattiness)”, e com isso o seu desempenho em redes com maior latência não era satisfatório.

A versão 2.0 do SMB mudou muita coisa. O número de opcodes, um dos fatores que gerava a “burocracia” do protocolo 1.0 foi reduzida de um pouco mais de 100 para 19. O desempenho em links com alta latência foi aprimorada devido à capacidade de um único request compor varias ações, juntamente com a mudança do protocolo de síncrono para assíncrono. O SMB 1.0 limitava o número de usuários, compartilhamento e arquivos abertos a 65.536 (2^16). No SMB 2.0 esse valor pulou para 2^64, o que já dá uma diferença exponencial.

Uma das grandes novidades no SMB2 é a propriedade chamada de durability. Quando o servidor tem várias placas de rede (em subnets diferentes) o cliente SMB recebe uma lista desses IPs do servidor DNS em que ele pode se conectar. Caso ocorra uma falha uma das placas o cliente reconecta a sessão SMB na placa subsequente, sem interromper a operação em andamento, como por exemplo, a cópia de um arquivo.

O SMB2 durability requer Oplocks (opportunistic locks). Para mais detalhes sobre o que são oplocks de uma olhada em alguns exemplos.

O SMB 2.1 acrescentou suporte a MTU maiores e ao modelo de leasing de oplocks, para um melhor desempenho do protocolo. Maiores detalhes no artigo What’s New in SMB.

Todas essas mudanças aumentaram MUITO o desempenho do Windows 2008 e Windows 2008 R2 em relação à capacidade de usuários simultâneos utilizando o SMB. Em especial a versão Windows Server 2008 R2, que nos testes realizados conseguiram suportar praticamente o dobro de usuários que o Windows Server 2008. Isso se dá a melhoria nos algoritmos de rede, SMB e processamento dos pacotes.

Só tome cuidado para saber se você está realmente usando o SMB2 ou SMB 2.1. Não adianta estar executando o Windows 7 como cliente e o Windows Server 2003 como servidor, pois neste caso o SMB 1 será o protocolo utilizado, conforme a tabela abaixo:

Além dessas novidades todas, ferramentas como o CHKDSK e o ROBOCOPY foram repaginadas. Recomendo a leitura dos White papers: NTFS Chkdsk Best Practices and Performance e SMB 2.1 and Multithreaded Robocopy.

Por fim, o SMB2.2, presente no produto com codename Windows 8, traz muitas novidades. Essas são tão significativas que muda a forma de como produtos como SQL e Hyper-V se relacionam com storage. Fique atento!!

Erro ao conectar a uma maquina virtual

ArturRLR — Sun, 25 Sep 2011 02:06:00 GMT

Se voce trabalha com Hyper-V e por algum motivo o endereço IP do servidor Hyper-V foi alterado enquanto você estava conectado nele, deve ter recebido a mensagem:

"Cannot connect to the vitual machine. Try to connect again. If the problem persists contact your system administrator."

Neste caso, por algum motivo o Hyper-V procura resolver o nome do seu servidor e não consegue mais. Ainda não tive tempo de pesquisar melhor sobre isso e posteriormente atualizo esse post com essa informação.

O mais importante é compartilhar o workaround que resolve esse problema, pois já ví algumas pessoas reinstalarem o ambiente por não ser mais capaz de conectar nas máquinas virtuais para fazer as configurações iniciais e habilitar o RDP.

Basta que voce inclua na arquivo hosts (c:\windows\system32\drivers\etc) uma entrada com o seu endereço IP atual e o FQDN do seu host Hyper-V. Por exemplo, se o seu host Hyper-V se chama mercurio, com o IP 10.0.0.1 e o seu dominio contoso.com. A entrada ficaria assim:

10.0.0.1 mercurio.contoso.com mercurio

Automatizando a criação de máquinas virtuais com PowerShell

ArturRLR — Fri, 08 Apr 2011 14:50:15 GMT

Uma das coisas que eu acho entediante é montar laboratório para testes. Digo, no sentido de criar os servidores um a um, pois é uma tarefa demorada e trabalhosa. Muitos colegas utilizam o VMM (Virtual Machine Manager) em seus ambientes para facilitar nessa atividade e acho que é a solução ideal. Entretanto, nem sempre tenho disponível o VMM no ambiente do cliente e precisava de algo mais simples para montar várias máquinas virtuais de uma só vez. Então resolvi montar um script para facilitar a minha vida. Geralmente precisamos montar vários servidores de uma só vez. Dado isso, o script lê um arquivo CSV que define as configurações mínimas das máquinas virtuais que serão montadas.

IMPORTANTE - O script utiliza o modulo HyperV, que pode ser obtido em http://www.codeplex.com/psHyperV. Lá tem toda a informação de como instalar o módulo no computador onde o script vai rodar.

Abaixo a estrutura do arquivo CSV com três exemplos que irei comentar:

Name,CPU,Memory,NetName,IDEDisk,VHDParent
LAB01,4,4096,Rede Dados,W7Test.VHD,,
LAB02,1,1024,Rede Publica,new,,
LAB03,2,2048,Rede Dados,new,G:\VMs\Parent\parent.vhd
#LAB04,1,1024,Rede Dados,new,

O CSV tem 5 campos: Nome, CPU - quantidade de CPU, Memory - quantidade de memória em MB, NetName - nome da rede Hyper-V em que vai ser conectado, IDEDisk - Disco IDE que vai ser configurado na máquina virtual e por último VHDParent - o VHD do parente caso você escolha usar um diferential disk.

Analisando os registros do exemplo acima consigo explicar o funcionamento do script.

LAB01 – Quando fizer uma referência a um arquivo VHD explicitamente no campo IDEDisk, como na linha do LAB01, o mesmo deve existir no diretório padrão, dentro de um subdiretório com o mesmo nome da máquina virtual. Por exemplo, o VHD do LAB01, tendo como premissa o diretório padrão G:\VMs, deve estar em G:\VMs\LAB01\W7Test.VHD.
Esse é o caso de quando você criar uma VM base, faz um sysprep e copia a VM para um ou vários diretórios. A ferramenta mais indicada para copiar arquivos grande é o robocopy. Eu fiz um .bat que copia tudo que eu preciso, mas a estrutura principal é a linha abaixo:
robocopy [Diretório de Origem] [Diretório de Destino] *.vhd /mt:8

LAB02- Para criar um VHD novo basta colocar a palavra new no campo IDEDisk. Neste caso será criado o arquivo G:\VMs\LAB02\LAB-02-DriveC.VHD.

LAB03 – Quando for usar um disco diferencial, a referencia do VHDParent deve conter o caminho completo, pois muitas vezes os arquivos do tipo parente não ficam no mesmos discos que os arquivos das VMs.
Caso o nome da rede não corresponda a uma já existente no servidor Hyper-V, ou o arquivo VHD referenciado ou do parent não existam, o script não processa aquele registro e emite uma mensagem de Warning.

LAB04 - Não vai ser processado pois o caracter # na frente do nome diz ao script para pular o registro

Abaixo o script que eu chamei CreateVMs.ps1. Espero que ajude.

Import-Module 'C:\Program Files\modules\HyperV\HyperV.psd1'

Function Check-SwitchName([string]$strName, [string]$strComputerName) {
$VirtualServerSwitches = Get-WmiObject -NameSpace "root\virtualization" -Class "MsVM_VirtualSwitch" -ComputerName $strComputerName
foreach ($vmSwitch in $VirtualServerSwitches) {
if ($vmSwitch.ElementName -eq $strName) { return $true }
}
return $false
}

function Read-Default([string]$strmessage, [string]$strDefault)
{
Write-Host $strmessage -NoNewline -ForegroundColor White
if ($strDefault.length -gt 0) { Write-Host " [$strDefault] : " -NoNewline -ForegroundColor Yellow }
else { Write-Host ": " -NoNewline }
$result = Read-Host
if ($result.length -eq 0 ) {$result = $strDefault}
$result
}

[string]$defaultCSV = Get-Location
$defaultCSV += "\VMs.csv"
$csvFile = Read-Default "Please enter CSV file name" $defaultCSV
$fTest = Test-Path $csvFile
if ($fTest -eq $false) {
Write-Host $csvFile " File not found" -ForegroundColor Red -BackgroundColor black
Exit (1)
}
$strHostName = hostname
$VMHost = Read-Default "Please enter Hyper-V hostname" $strHostName

$strMachines = Import-CSV $csvFile

foreach ($strVm in $strMachines){
$vmName = $strVm.Name
$vmCPU = $strVm.CPU
$vmMemory = $strVm.Memory
$vmNetName = $strVm.NetName
$vmIDEDisk = $strVm.IDEDisk
$vmVHDParent = $strVm.VHDParent

    if ($vmName.substring(0,1) -eq "#") { continue }

if ($vmName -eq $null -or $vmCPU -eq $null -or $vmMemory -eq $null -or $vmName -eq $null -or $vmIDEDisk -eq $null) {
  write-host -ForegroundColor yellow -BackgroundColor black "Missing information, skipping record."
        continue
}

if ($vmIDEDisk.contains(":")) {
        write-host write-host -ForegroundColor yellow -BackgroundColor black "Skipping $vmName - Do not specify full path name for IDE disks."
        continue
    }

$bNew = $false
if ($vmIDEDisk.ToLower() -eq "new" ) {
    $vmIDEDisk = $(get-VHDdefaultPath) + $vmName + "\" + $vmName + "-DriveC.VHD"
    if ((Test-Path $vmIDEDisk) -eq $true) { Remove-Item $vmIDEDisk }

    $bNew = $true}
else {
    $vmIDEDisk = $(get-VHDdefaultPath) + $vmName + "\" + $vmIDEDisk
       if ((Test-Path $vmIDEDisk) -eq $false) {
       write-host -ForegroundColor yellow -BackgroundColor black "Skipping $vmName - Disk $vmIDEDisk not found"
          continue
    }
}

if ((Check-SwitchName $vmNetName $VMHost) -eq $false) {
  write-host -ForegroundColor yellow -BackgroundColor black "Skipping $vmName - VirtualSwitch $vmNetName does not exist"
        continue
}

$bParent = $false
if ($vmVHDParent -ne "" ) {
  if ($vmVHDParent.IndexOf(":") -lt 1) {
        write-host -ForegroundColor yellow -BackgroundColor black "Skipping $vmName - Please, specify full path name for VHD parent disk."
        continue
  }
  else {
   if ((Test-Path $vmVHDParent) -eq $false) {
        write-host -ForegroundColor yellow -BackgroundColor black "Skipping $vmName - VHDParent $vmVHDParent not found."
           continue
      }
  }
$bParent = $true
    }

# create a new virtual machine
$vm = New-VM $vmName -server $VMHost
Set-VMCPUCount $vmName $vmCPU |Out-Null
Set-VMMemory $vmName -Memory $vmMemory |Out-Null
Add-vmNIC $vmName $vmNetName |Out-Null

if ($bParent -and $bNew) {
        New-VHD -VHDPaths $vmIDEDisk -ParentVHDPath $vmVHDParent
        Add-VMDisk $vmName 0 0 -Path $vmIDEDisk
     }

     if ($bParent -eq $false -and $bNew) {
        New-VHD -VHDPaths $vmIDEDisk
        Add-VMDisk $vmName 0 0 -Path $vmIDEDisk
     }

     if ($bParent -eq $false -and $bNew -eq $false) {
     Add-VMDisk $vmName 0 0 $vmIDEDisk
     }

#Adds a DVD drive to IDE O slot 1
Add-VMDRIVE $vmName -controllerID 0 -lun 1 -DVD
}

Crise das infinitas identidades - parte 2

ArturRLR — Wed, 23 Feb 2011 00:51:34 GMT

No post anterior apresentei um cenário onde várias agências de uma mesma entidade, como o governo, pode se beneficiar de Claim Based Identity para criar uma aplicação de emissão de passagens e concessão de diárias, onde se cria um nível de abstração entre a autenticação e a autorização, em outras palavras, o usuário é autenticado localmente em seu órgão de origem e é autorizado (ou não) pela aplicação.

Acompanhando a mudança da indústria para o conceito de nuvem, seria possível ter a aplicação de emissão de passagens em um dos datacenter do Azure e as agências consumindo essa aplicação.

IMPORTANTE. Nem todas as empresas necessitam de aplicações que utilizem de Claim Based Identity. Para aplicações internas o uso da autenticação integrada ao Active Directory (AD) já seria o suficiente. POR OUTRO LADO, o uso de Claim Based Identity simplifica a lógica das aplicações Web. No caso dos tickets Kerberos, usados na autenticação do AD, estes contêm apenas a conta do usuário e os grupos que pertence. Se o aplicativo necessitar de alguma outra informação do AD é necessário adicionar código na aplicação para extrai-la. No Claim Based Identity o token já pode trazer essa informação ou qualquer outra que esteja em outra base de dados.

Outro ponto a considerar é que as novas tecnologias têm mudado os requisitos das aplicações para ser compatíveis com dispositivos móveis. Estes não fazem parte de um domínio corporativo. A autenticação dos usuários destes dispositivos vai ser orquestrada pelo serviço de claim, que faz com que a aplicação direcione a autenticação para os servidores que tem autoridade para autenticação do usuário, seguindo normas de segurança para que então possa acessar o recurso hospedado na nuvem.

Depois de tanto se falar em claim e token, você deve estar se perguntando o que são eles? Ao invés de tentar achar uma palavra que traduza cada termo, acho mais simples dizer que um claim é uma declaração sobre alguma coisa, definida por outra entidade como verdadeira. Um conjunto de claims é chamado de token.

Fazendo uma analogia com o mundo real, o conceito de claims e tokens é usado o tempo todo. Por exemplo, nos é definido por lei que apenas os maiores de 18 anos têm o direito de dirigir quando aprovados por exame escrito e prático de direção. Logo, a carteira nacional de habilitação é um token que tem diversas declarações sobre aquelas que às possuem, como CPF, categoria, data de nascimento e etc, emitidas pelo Departamento Nacional de Transito do Ministério das Cidades que asseguram que essas informações são verdadeiras.

Imagine que você é parado pela polícia, você entrega o seu documento de identidade para o guarda que faz primeiro uma rápida autenticação (não tão boa quanto no mundo digital), analisando a sua foto e nome com você. Uma vez estando devidamente identificado (autenticado) vem o processo que requer a autorização para dirigir, que neste caso combina as declarações da sua carteira de motorista com as declarações do documento do carro. - Nota: No mundo digital seria possível criar um único token que agrega informações de bases diferentes.

Você pode imprimir da Internet um documento que seu carro está sem pendências alguma e falar que esqueceu o documento de habilitação em casa e sua mulher certificar que você é habilitado, mas essas declarações não são de fontes previamente certificadas para isso, e então você não mais vai ter autorização de dirigir o seu carro até apresentar os "tokens" corretos.

Eu pensei em colocar mais detalhes técnicos de como tudo isso se encaixa, incluindo a integração com o Azure, contanto, tem um pessoal da Microsoft que vem trabalhando pesado nessa área e vem publicando vários materiais no site http://claimsid.codeplex.com/, com exemplos práticos e códigos para quem quiser se aventurar nessa área.

A crise das infinitas identidades

ArturRLR — Thu, 10 Feb 2011 19:49:00 GMT

Existe uma crise de identidade no mundo digital. Imagino que todos experimentam dessa crise diariamente nos diversos serviços e sites da Internet, onde a grande maioria gerencia o seu usuário e senha de forma única. Entretanto, quando pensamos nas empresas, imaginamos que por compartilharem da mesma infraestrutura de comunicação os sistemas internos utilizariam um mesmo usuário e senha. Infelizmente essa não é a realidade de muitas organizações.

As aplicações que detém a sua própria base de usuários são as que mais existem nos ambientes corporativos. Um dos principais motivos desse tipo de abordagem ser mais popular entre os desenvolvedores é que é mais facil e rápido fazer um mecanismo de autenticação próprio, eliminando muitas vezes opções para gerenciar a autorização na aplicação. Uma abordagem, como se diz no ditado: bonitinha, mas ordinária.

Essas aplicações são potencialmente inseguras. Não existe uma política de senha adequada, o desenvolvedor tem controle total sobre as contas e na maioria das vezes cria um problema operacional em relação ao gerenciamento das contas dos usuários daquela aplicação.

A utilização de um banco de dados de usuários centralizado, como é o Active Directory, integrada na aplicação é um modelo bem mais maduro e que provê automaticamente um método de autorização baseado nos atributos do Active Directory, como o grupo que o usuário pertence. O desafio neste caso é como fazer com que usuários de outros domínios possam utilizar o seu sistema, adicionando é claro a complexidade para o acesso pela Internet.

Para ilustrar melhor aonde quero chegar, vamos imaginar que o governo (por ser uma entidade com diversos órgãos) vai desenvolver um sistema unificado, ou seja, qualquer órgão terá que acessar esse sistema com seus usuários para a emissão de passagem áreas e concessão de diárias. Cada órgão tem sua própria base de usuários e o trabalho de gerenciamento e manutenção de cada uma delas permanece como está. Os desenvolvedores do sistema tem que se preocupar em montar a lógica de autorização baseadas em campos comuns que cada usuário tem, por exemplo, cargo, função, órgão, etc, e cada órgão é responsável por manter esses campos atualizados e fidedignos para que não ocorram problemas de acesso.

O usuário é autenticado pelo orgão que detem os seus dados - Entendemos por autenticação o processo que o usuário tem que provar quem ele é, tipicamente por meio de um usuário e senha. Uma vez que o usuário foi autenticado, a aplicação recebe um pacote montado, pré-definido pela aplicação, que é utilizado para verificar se o usuário que requisitou o acesso tem permissão para usar aquele recurso.

Esse sistema de emissão de passagem só poderia ser possível com a utilização de Claim Based Identity, que vou detalhar mais nos próximos post, que vão ser dedicados ao ADFS (Active Directory Federation Services).