.

Eu vou ...

Posts Recentes

Redes Sociais

Tags

Apoio


   
Global IT Community Association

Visitas

Locations of visitors to this page

Os meus Links

Arquivo

Como lidar com VMs e as quebras canal de segurança (secure channel) ao fazer snapshots.

Com a virtualização cada vez mais presente, a utilizações de cenários de teste utilizando o Hyper-V aumenta de uma forma significativa. Durante esses testes, a utilização de snapshots o tempo todo para proteger dos erros/teste e das falhas de alterações, é cada vez mais frequente. É um recurso fantástico, mas por vezes pode o colocar em problemas.

 

Em um mundo perfeito, quando estiver trabalhar com um cenário de teste que inclui um controlador de domínio e vários membros do domínio, ao necessitar de fazer um snapshot das máquinas virtuais, teria de fazer snapshot de todas as VMs utilizadas no cenário do ensaio e teria de fazê-lo, exactamente o mesmo tempo. Isto significa que todas as VMs iria ser salvas em uma configuração ideal.

 

O problema com esse mundo perfeito é que talvez queira uma única máquina para executar um teste e, em seguida, ser capaz de fazer rollback. Mas se não fizer snapshots de todas as VMs ao mesmo tempo, corre o risco de uma das máquinas virtuais alterar a sua senha de canal seguro (secure channel) durante o período de teste. Quando for reverter as alterações durante a sessão, e tentar fazer login, irá receber uma mensagem de erro dizendo que o relacionamento de confiança com o controlador de domínio está quebrado. A única opção é remover e adicionar novamente o computador ao domínio.

 

Existe uma solução para este problema. Pode desabilitar a conta do computador de alterar sua senha do canal seguro (secure channel), ou pode alterar a janela de alteração de senha para algo mais do que o padrão 30 dias. Ao fazê-lo eliminará o problema de não poder fazer logon. Agora, claro que gostaria de fazer isso em um ambiente de produção, mas não sem compreender totalmente as alterações e os riscos de segurança que advêm.

 

Para fazer a alteração, abra o editor da GPO (pode ser através do GPMC - Group Policy Management Console) e vá para

 

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\

 

Habilite a opção Domain Member: Disable machine account password changes ou edite a opção Domain Member: Maximum machine account password age e aumente o valor do padrão de 30 dias para um novo valor maior (até ao máximo de 999 dias)

 

Fazer uma destas opções deve impedi-lo de obter a mensagem de terrível que o canal seguro (secure channel) é quebrado.

Posted: sex, Nov 6 2009 21:06 by Marcos David Nogueira | with no comments
Filed under: , , , , , ,