Como criar uma VPN Point to Site no Azure com certificado

Azure, Microsoft

Fala pessoal, tudo bem com vocês? Hoje irei abordar como realizar a configuração de uma VPN Point to Site no Azure. Eu particularmente realizo 90% dos meus laboratórios no Azure, então resolvi criar uma VPN para realizar a conexão com meus servidores.

Vamos lá?

Então para iniciar as configurações, vamos iniciar criando uma Virtual Network, você pode criar a Virtual Network em um Resource Group novo, ou criar em um existente. No meu caso irei criar em um Resource Group novo.

Na nossa barra de pesquisa no Azure, vamos buscar por Virtual Networks

Em Virtual Networks vamos clicar em + Create para iniciar a configuração da nossa Vnet

Em subscription irei deixar a minha padrão.

Em Resource Group, irei criar um com o nome de LabPcosta

Em Name você deve definir um nome para sua Vnet

Em Region você deve definir a região da sua Vnet, irei selecionar Brazil South.

Vamos clicar em Next, para realizar as configurações de IP.

Como estou criando um Laboratório, irei deixas as opções padrões.

Na parte de configurações de segurança também não irei alterar. Vamos clicar em Review + Create.

Depois de validar as configurações, vamos clicar em Create para criar nossa VNET.

Aguarde até a configuração finalizar.

Nosso primeiro passo para a configuração da nossa VPN, foi realizada. Vamos continuar nossa configuração criando agora o nosso Virtual Network Gateway

Para isso, vamos novamente na nossa barra de pesquisa do Azure, e buscar por Virtual Network Gateways

Vamos clicar em + Create para iniciar a nossa configuração.

Vamos para as configurações.

Em subscription irei deixar a minha padrão (a mesma que usei para criar minha VNET)

Em Resource Group, o mesmo irá ser selecionado quando for selecionado a VNET para essa Virtual Network Gateway.

Em name irei chama-la de Pcosta, mas fique à vontade para colocar outro nome rsrs

Na parte da  região, irei selecionar a mesma da minha Vnet que foi a Brazil South

Em Gateway Type selecione VPN

Em VPN type selecione Route-Based

Em SKU irei selecionar o tipo Basic para mais detalhes recomendo que você leia a documentação.

Em Virtual Network selecione a Vnet que criamos no passo 1.

Em Gateway subnet address range, irei deixar o padrão que foi recomendado.

Em Public IP Address irei criar um novo e nomeá-lo de pcostaip

As demais configurações irei deixar como Disabled.

Vamos clicar em Review + Create.

Depois de validar as configurações, vamos clicar em Create.

Esse processo pode demorar alguns minutos.

Após finalizar, clique em Go to resource.

Vamos precisar também criar um certificado raiz autoassinado para acessar nossa VPN.

Para criar o certificado, vamos realizar o seguinte processo.

Irei realizar o processo da documentação da Microsoft.

No nosso computador com Windows 10 inicie o PowerShell como administrador

Nesse exemplo o certificado será criado com o nome PS2RootCert, ele também será instalado automaticamente depois de criado em “Certificates-Current User\Personal\Certificates” iremos precisar desse caminho para exportar o nosso certificado.

Com o PowerShell aberto digite o seguinte comando:

$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature `

-Subject “CN=P2SRootCert” -KeyExportPolicy Exportable `

-HashAlgorithm sha256 -KeyLength 2048 `

-CertStoreLocation “Cert:\CurrentUser\My” -KeyUsageProperty Sign -KeyUsage CertSign

Após realizar o procedimento pressione Windows +R e digite certmgr.msc

O meu Windows 10 que usei para criar o certificado está em PT-BR, irei em Pessoal\Certificados e irei buscar por PS2ChildCert

Irei clicar com o Direito e exportar o certificado.

Depois de exportar, irei abrir o meu certificado com o bloco de notas e copiar as linhas entre:

—–BEGIN CERTIFICATE—–

Copiar esse conteúdo.

—–END CERTIFICATE—–

Agora Vamos iniciar agora nossa configuração do Point to Site

Clique em Point-to-site configuration > Configure Now

Em Address Pool, defina o pool de endereços IP dessa VPN.

Irei definir como: 172.16.1.0/24

Na parte de Root Certificates em name iremos colocar o nome:  PS2RootCert e em Public certificate data iremos colar a parte que copiamos do certificado.

Clique em Save e aguarde a configuração ser salva. Esse procedimento pode demorar alguns minutos.

Depois de salvar, iremos voltar novamente em Point-to-Site Configuration

E Vamos realizar o Download do nosso Client VPN

Vamos descompactar o arquivo e instalar o nosso cliente.

O meu irei usar o WindowsAmd64

Vamos clicar em Yes para instalar.

Vamos agora na parte de VPN no nosso Windows 10

E vamos testar clicando em Connect.

Configuração realizada. Agora é só criar suas VMs e conectar via VPN para acesse-las.

COMO INSTALAR O VAMT (FERRAMENTA DE GERENCIAMENTO DE ATIVAÇÃO POR VOLUME)

Microsoft, Windows Server

Fala pessoal, tudo bem com vocês? Hoje irei abordar como realizar a instalação do VAMT a ferramenta de gerenciamento de ativação por volume da Microsoft.

O VAMT não é uma ferramenta tão nova, mas talvez você ainda não a conheça e ela possa lhe ajudar a gerenciar suas licenças Microsoft e verificar quais computadores estão com os softwares licenciados e instalar licenças de forma remota.

Para realizar a instalação do VAMT iremos precisar dos seguintes requisitos:

  • Servidor Windows com GUI e acesso à internet.
  • Versão mais recente do Windows ADK
  • Uma versão do SQL Server Express.

No meu ambiente de testes irei usar o Windows Server 2022 para realizar a instalação.

Lembrando também que o nosso servidor deve estar no domínio e a ferramenta VAMT requer privilégios de administrador local.

Vamos começar?

Primeiro, vamos começar baixando a versão mais recente do Windows ADK no seguinte link: https://docs.microsoft.com/pt-br/windows-hardware/get-started/adk-install

Irei baixar o ADK para Windows Server 2022.

Vamos abrir a .ISO

E executar o adksetup para iniciar a instalação.

Irei executar a instalação padrão, conforme a imagem.

Na próxima tela, irei deixar padrão e vou clicar ne next.

A próxima tela é os termos de licença, irei aceitar.

Nessa próxima tela, é onde iremos selecionar o VAMT para instalação.

Selecione a opção Volume Activation Management Tool (VAMT)

Clique em Install, após finalizar a instalação vamos clicar em Close.

Depois de instalado o ADK iremos baixar o SQL EXPRESS e instalá-lo no nosso servidor.

Link do SQL https://www.microsoft.com/sql-server/sql-server-editions-express

Usarei o SQL 2019 Express.

Vamos clicar em Basic para iniciar a instalação.

Nessa tela iremos aceitar os termos.

Nessa tela irei deixar a instalação no local padrão e clicar em install.

Aguarde enquanto o SQL EXPRESS é instalado.

Após finalizar a instalação iremos receber a seguinte tela, vamos clicar em Close.

Agora iremos iniciar o nosso VAMT, no menu iniciar você encontrará o ícone.

Essa será a primeira tela quando o VAMT for aberto pela primeira vez

Nessa tela, em Server iremos digitar:

.\SQLEXPRESS

Em database selecione Create New Database e crie uma nova database. Irei colocar o nome de Vamt

Irá aparecer um aviso, informando que será criada uma nova database com o nome Vamt, clique em Yes para continuar.

Esse erro será mostrado na tela, para resolver iremos precisar instalar o SQL Server Management Studio e conectar no SQL EXPRESS.

Estou usando no meu ambiente o SQL Server Management Studio 2014.

Iremos em database e iremos verificar que temos uma database criada com o nome vamt.

Vamos rodar uma nova query para realizar uma alteração para resolver o erro.

Segue a alteração que deve ser realizada no database

alter table base.GenuineStatusText alter column GenuineStatusText nvarchar(255) NULL

Vamos executar a query

Query executada com sucesso.

E tentar novamente conectar no VAMT.

Abra a console do VAMT e selecione o database vamt.

Agora verificamos que o acesso foi realizado normalmente.

Em um próximo post, irei mostrar como instalar as licenças e verificar quais computadores estão com os produtos ativados.

Essa foi a dica de hoje, ficou com alguma dúvida? Escreve um comentário que irei te responder. Grande abraço.

Criando conta gratuita no Azure DevOps

Azure, DevOps

Fala Pessoal, tudo bem com vocês? Hoje irei mostrar como criar uma conta gratuita no Azure DevOps. Estou iniciando os meus estudos com Azure DevOps, e irei realizar uma serie de Posts compartilhando dicas e tutoriais para vocês.

Para criar nossa conta, iremos precisar acessar o site:

https://azure.microsoft.com/pt-br/services/devops/?nav=min

Vamos clicar em Início gratuito, e vamos fazer o Login com a nossa conta Microsoft.

Na proxima tela, iremos colocar o nome da nossa organização e o local do nosso projeto.

Agora, vamos aguardar enquanto é criada nossa organização no Azure DevOps

Na próxima tela, iremos criar o nosso projeto e escolher se o mesmo será publico ou privado. Irei deixar o meu privado.

Clique em Create project para criar o nosso projeto.

Pronto, agora você pode utilizar o Azure DevOps.

O nível de dificuldade para a criação foi 0, irei abordar ao longo do tempo assuntos mais complexos.

Realizando Backup do Windows Server com Azure Backup

Azure, Microsoft, Windows Server

Fala pessoal, tudo bem com vocês? Hoje irei abordar um assunto que particularmente acho bem interessante e necessário em todas as empresas “Backup”

Acredito que você já esteja familiarizado com essa palavra Backup, porem hoje irei mostrar como realizar backup dos seus servidores com o Azure.

Antes de começar, a realizar esse procedimento você precisa dos seguintes recursos:

  • Conta no Azure (Você pode criar uma gratuita)
  • Servidor Windows (Para esse Lab que montei usei o Windows Server 2022)

Paulo, quais tipos de Backup consigo realizar com o Backup do Azure?

  • Vms do Azure
  • On-Premises (Esse que irei abordar)
  • Arquivos
  • SQL Server em servidores que estão no Azure e outros mais… Irei deixar um Link no fim.

Irei usar o MARS, para realizar o Lab

MARS é o serviço de backup do azure, no qual ele usa um agente para fazer os backups, e envia para um cofre de serviços de recuperação no Azure.

Não vou entrar muito afundo de como funciona todo o processo, mas caso você tenha interesse e eu recomendo que você leia a documentação.

Vamos começar?

Primeiro iremos conectar na nossa conta do Azure.

Iremos buscar por Recovery Services Vaults

Você também pode pesquisar pelo serviço.

Logo depois iremos criar um novo.

Aqui nessa tela, iremos selecionar nossa Subscription, nosso Resource Group, o nome do nosso Cofre e a região.

Irei deixar minha assinatura padrão, e em Resource Group, irei criar um novo.

No cofre, irei definir o nome de bkpvm2022

Irei deixar a região East US

Não irei definir Tags no momento, e irei colocar para Criar.

Aqui vejo que foi criado perfeitamente.

Irei clicar em Go to resource

Agora, iremos procurar na parte esquerda Backup e iremos preparar nossa infraestrutura para o nosso backup

Vamos em Where is your workload running e selecionar On-Premises

Em What do you want to Backup, temos varias opções, irei selecionar a parte de Files and Folders. Irei fazer apenas o Backup de arquivos e pastas. E logo depois iremos preparar nossa infraestrutura clicando em Prepare Infrastructure

Nessa tela, iremos realizar o Download do agente e também das credenciais que será necessário para continuar.

Com o Download concluído, vamos iniciar a instalação.

Vamos deixar tudo padrão em clicar em próximo.

Como não tenho proxy, irei clicar em próximo.

Irei deixar marcado para usar o Microsoft Update para verificar atualizações do agente.

Agora vamos clicar em instalar.

No final da instalação será pedido a vault credentials. No qual você deve fazer o download e salvar em um local seguro.

Agora vamos prosseguir com o registro, lembrando que você deve fazer o download da vault credentials.

Iniciando o assistente.

Aqui iremos colocar a vault credentials que realizamos o download.

Validando as credenciais.

Aqui está a identificação do nosso cofre. Vamos clicar em próximo.

Aqui precisamos colocar uma senha, ou gerar. Irei gerar uma nova senha e salvar no meu computador. Lembre-se de salva-la em outro local.

Esse é um aviso, pois salvamos nossa chave localmente.

Agora vamos clicar no meu iniciar e procurar por Microsoft Azure Backup

Tela inicial

Vamos clicar em Backup agendado para criar nossa politica.

Aqui é a tela inicial, onde fala um pouco sobre o assistente. Vamos clicar em próximo.

Na próxima tela vamos clicar em adicionar itens, e irei selecionar o system state e o disco C:

Vamos clicar em próximo, e vamos configurar nossa politica.

Irei deixar o meu backup dessa forma.

Aqui está nossa politica de retenção, irei deixar padrão e clicar em próximo.

Aqui iremos configurar nossa politica para os arquivos, também irei deixar padrão e clicar em próximo.

Também irei deixar padrão (Lembrando que isso é um LAB)

Aqui irei deixar para a transferência ser online e clicar em próximo.

Nessa tela irá mostrar as configurações que realizei, irei revisar e clicar em concluir.

Agora estou criando a nossa agenda de Backup. Após finalizar o nosso backup está configurado.

Segue documentação: https://docs.microsoft.com/pt-br/azure/backup/

Dicas de como funciona a ordem de procedência de uma GPO

GPO

Fala pessoal, tudo bem com vocês? Hoje irei falar sobre o a ordem de processamento das GPOs, ou seja, a ordem que as GPOs são aplicas.

A ordem de processamento começa com:

  1. Local
  2. Site
  3. Domain
  4. OU

Você pode criar uma GPO local, usando o gpedit.msc, em seguida vem a GPO de Site, logo depois Domínio e por fim em OUs.

Em OUs você pode granular as GPOs de uma forma que para mim acho ótima, onde posso por exemplo bloquear hierarquia de GPOs, em outras palavras posso desativar a hierarquia de uma determinada OU e ela só irá receberas GPOs que estão com Link para ela ou as GPOs que estão configuradas como ENFORCE

Uma outra dica, se você abrir o seu Group Policy Management e verificar a parte de Group Policy Inheritance, você verá a partede Precedence (Isso é bem importante na hora de verificar a ordem, pois olhando para os números, você pode encontrar por exemplo:

Nesse exemplo, para você qual será a primeira GPO a ser aplicada? Default Domain Policy? Não rsrs

As GPOs com o número mais baixo, serão processadas por último rsrs

Nesse meu print, você está vendo a palavra Enforced, o que isso significa? Significa que mesmo que eu bloqueie a hierarquia em uma OU, essas GPOs irão ser aplicadas da mesma forma rsrs. LEMBRE-SE A GPO MAIS RESTRITIVA É A QUE GANHARÁ.

Quando você definiu uma GPO como Enforce, ela automaticamente irá ficar com um número mais abaixo na ordem.

Irei abordar mais sobre isso em outro Post, gostou do conteúdo?

Até o próximo post.

Conheça o PowerShell DSC

PowerShell

Fala Pessoal, tudo bem com vocês? Hoje irei falar sobre PowerShell DSC. Já ouviu falar? Não sei se você curte fazer a mesma coisa varias vezes, particularmente, eu não gosto rsrs

O PowerShell DSC, é uma plataforma no qual permite que você gerencie sua infraestrutura como um código. Vou te falar um exemplo… você tem uma documentação de um servidor em um arquivo World, com um passo a passo de como instalar ou configurar determinado servidor.

Com o PowerShell DSC, posso criar uma documentação em código, no qual irá realizar o deploy desse servidor ou garantir que o mesmo está com as mesmas configurações que foram realizadas.

Você pode garantir que tal serviço esteja com o status de running, ou tal serviço esteja desabilitado. Ahh e esqueci de comentar que também tem no Azure rsrs

Conceitos Principais

A DSC é uma plataforma declarativa usada para configuração, implantação e gerenciamento de sistemas. Consiste em três componentes principais:

Configurações são scripts declarativos do PowerShell que definem e configuram instâncias de recursos. Após executar a configuração, a DSC (e os recursos que estão sendo chamados pela configuração) vai simplesmente “realizar”, garantindo que o sistema exista no estado disposto pela configuração. As configurações da DSC também são idempotentes: o Gerenciador de Configurações Local (LCM) continuará garantindo que os computadores sejam configurados no estado declarado pela configuração.

Os recursos são a parte de “realização” da DSC. Eles contêm o código que definem e mantêm o destino de uma configuração no estado especificado. Os recursos residem dentro de módulos do PowerShell e podem ser escritos para modelar algo tão genérico quanto um arquivo ou um processo do Windows ou tão específico quanto um servidor IIS ou em uma VM em execução no Azure.

Gerenciador de Configurações Local (LCM) é o mecanismo pelo qual a DSC facilita a interação entre recursos e configurações. Regularmente, o LCM sonda o sistema usando o fluxo de controle implementado pelos recursos para garantir que o estado definido por uma Configuração seja mantido. Se o sistema estiver sem estado, o LCM fará chamadas para o código nos recursos para “realizar”, de acordo com a configuração.

Fonte: https://docs.microsoft.com/pt-br/powershell/scripting/dsc/overview/overview?view=powershell-7.1

Aqui irei deixar um link, se você tiver interesse, irei postar mais sobre isso, e também irei colocar no meu Github.

RBAC Conhece?

Azure, Microsoft


Fala pessoal, tudo bem com vocês? hoje venho com um conteúdo diferente, hoje irei falar sobre RBAC(Role Base Access Control)

Se você usa, o Azure você precisa do RBAC rsrs, mas Paulo, o que seria isso? Basicamente, é uma parte do azure onde você pode delegar permissões para alguns usuários… Vou explicar de outra de outra maneira. Com o RBAC você pode delegar para um usuário uma permissão especifica no que ele pode fazer dentro do seu ambiente azure.

Você pode por exemplo, criar um usuário com o um privilegio FULL (ou seja, ele praticamente pode fazer o que bem entender dentro da sua plataforma… Ou você pode criar um usuário com permissão de apenas leitura, onde ele só irá enxergar os recursos, ou você pode filtrar ainda mais rsrs.

Uma coisa que eu, Paulo sempre preso, é o menor privilegio possível para um usuário que não precisa…

Vamos usar um exemplo, eu tenho meu user PauloCostaTI onde ele é o GLOBAL ADMIN, ou seja, eu possa fazer o que bem entender, na minha assinatura rsrs, mas tenho certeza que você não vai querer isso para usa empresa, pois isso pode gerar muuuuuuito CUSTO.

Entao, iremos usar o RABC, para minimizar o que cada usuario, pode acessar, fazer, criar, apagar e etc….

Granulando o acesso, voce tem mais seguranca no seu ambiente.

Em outras palavras o RABC, é um sistema de que vai granular as autorizacoes de cada usuario.



Mas Paulo, o que posso fazer com ele?

O que posso fazer com o RBAC do Azure?

Aqui estão alguns exemplos do que você pode fazer com o RBAC do Azure:

  • Permitir que um usuário gerencie máquinas virtuais em uma assinatura e outro usuário gerencie redes virtuais
    • Permitir que um grupo de DBA gerencie bancos de dados SQL em uma assinatura
    • Permitir que um usuário gerencie todos os recursos em um grupo de recursos, como máquinas virtuais, sites e sub-redes
    • Permitir que um aplicativo acesse todos os recursos em um grupo de recursos

Fonte: https://docs.microsoft.com/pt-br/azure/role-based-access-control/overview

Em poucas linhas, tentei passar uma visão básica do RBAC, no link acima você encontrara diversas informações, fique a vontade para criar laboratórios, e usar no seu dia a dia.

Sites e Replicação do Active Directory

Microsoft, Windows Server

Fala pessoal, tudo bem com vocês? Hoje irei falar sobre Sites e replicação do Active Directory. Você já trabalha com sites e replicações? Irei abordar nesse primeiro momento a teoria de como funciona.

Paulo, o que são Sites do AD? Os sites no AD irão representar a localidade do seu host e da sua rede. Como assim? Vamos supor que eu tenho 1 empresa que contem 2 filiais, cada filial fica em uma cidade diferente como por exemplo Recife e São Paulo, e também tenho redes diferentes em cada filial.

Com o Site, irei facilitar a identificação do servidor de AD mais próximo para realizar a autenticação.

E replicação Paulo? A replicação funciona de duas maneiras, são elas: intrasite e intersite. Provavelmente você ficou confuso com esses dois nomes rsrs, mais irei explicar de uma forma mais simples.

A replicação intrasite ela ocorre quando você tem por exemplo 2 DCs em 1 mesmo site (Sempre recomendo que você tenha no mínimo 2 DCs) essa replicação intrasite ocorre de uma forma bem mais rápida do que a intersite.

Sobre a intersite, ela ocorre quando a replicação é realizada entre sites diferentes. Usando meu exemplo, seria a replicação do site Recife com o site São Paulo. A Mesma demora um pouco mais para ocorrer e tem um Padrão de 3 horas.

Quando usamos vários ADs, é sempre recomendado que você verifique o estado da replicação para evitar possíveis problemas. Existe alguns comandos que você pode executar para monitorar essa replicação, também existem ferramentas de monitoração como o Zabbix que você pode usar.

Paulo qual é a mais simples de verificar? Eu particularmente para identificar possíveis falhas e até exportar para um csv por exemplo, eu uso o Active Directory Replication Status Tool, irei deixar o link da ferramenta aqui.

Irei deixar também dois comandos que você pode usar para verificar a replicação:

  • Repadmin
  • Dcdiag

No próximo artigo, irei montar um ambiente na pratica e colocar aqui. Agradeço por ter ficado até aqui, até o próximo post.

Como eu estudo para certificações?

Microsoft

Fala pessoal, tudo bem com vocês? Hoje irei falar um pouco de como eu me preparo para realizar as minhas certificações.

Sempre antes de começar a me preparar para uma certificação, nesse caso irei usar como exemplo Microsoft, eu entro no site exemplo da AZ-303 https://docs.microsoft.com/pt-br/learn/certifications/exams/az-303

Verifico as habilidades medidas e o peso de cada habilidade. Logo depois eu baixo a estrutura dos tópicos do exame.

Com o passar do tempo, comecei a focar primeiramente no que eu tenho pouco conhecimento, e organizo uma cronograma de estudos para isso.

Estou usando o NOTION (é um aplicativo de uso pessoal gratuito, mas também tem a versão paga).

Aqui está um exemplo de como organizo, coloco os assuntos, nível de conhecimento, materiais que estou estudando.

Antes de começar, eu sempre deixo marcada a prova.

Para cada tópico desses, faço a criação de questões e anoto assuntos importantes que achei durante o curso e realizo os laboratórios que considero muito importante.

Algumas pessoas, aprendem mais lendo livros, no meu caso eu aprendo mais com vídeos, então uso os conteúdos da PluralSight e Udemy para isso.

Também sempre procuro no Reddit, ou em outros locais como foi as provas de outras pessoas, se tiveram 60 questões, 2 casos de estudos e etc…

Para simulado, recomendo a https://www.measureup.com/microsoft/microsoft-technical.html

A mesma é simulado oficial da Microsoft, onde você pode ver onde você está errando mais e entender como será a prova, caso seja sua primeira prova Microsoft.

Uma ultima dica, realizou a prova e recebeu o FAIL, NÃO DESISTA, pegue os pontos que você menos acertou e estude novamente.

Já tive provas que reprovei 3 vezes, e é sempre colocar na cabeça para não desistir.