Gestire i servizi di Windows 2003 server Web viewBene, ora vediamo come applicare il subnetting alle nostre reti ed in quale modo la subnetmask separa l’indirizzo necessario per

Gestire i servizi di Windows 2003 server

SommarioIntroduzione Al Networking.............................................................................................................................3

Windows Server 2003 - Installazione Servizio DHCP......................................................................................10

Windows Server 2003 : Active directory........................................................................................................29

Installazione e dominio...............................................................................................................................29

Creazione di utenti e gruppi.......................................................................................................................38

Unire un computer al dominio...................................................................................................................45

Windows 2003 File server e Protezione su NTFS............................................................................................50

Interpretazione dei permessi......................................................................................................................51

Assegnazione dei permessi.........................................................................................................................52

Condivisione di file in Windows.......................................................................................................52

Creare cartelle condivise...............................................................................................................53

Permessi di accesso alla condivisione......................................................................................53

Condivisioni nascoste.....................................................................................................................55

Come Configurare un file server: condividere le cartelle e gestire i permessi........................................55

Script di logon.............................................................................................................................................63

Profili utente...................................................................................................................................................71

Creazione della Home Directory dell’utente...........................................................................................71

Profilo utente itinerante o roaming........................................................................................................72

Profilo utente bloccato...........................................................................................................................73

Profilo centralizzato-bloccato comune a più utenti................................................................................73

Group Policy Object (GPO).............................................................................................................................74

Regole computer e regole utente...............................................................................................................74

Configurare un PRINTSERVER........................................................................................................................92

Windows Server Update Services (WSUS)....................................................................................................113

Replica Dei Domain Controllers....................................................................................................................148

File System Distribuito, DFS..........................................................................................................................160

Windows 2003 Accesso remoto...................................................................................................................173

Creazione delle Politiche di Accesso Remoto...........................................................................................173

Proprietà di Accesso Remoto dell'Account...............................................................................................174

Condizioni di una Politica di Accesso Remoto...........................................................................................174

Profilo di una Politica di Accesso Remoto.................................................................................................175

Server di Accesso Remoto........................................................................................................................176

1


Server VPN................................................................................................................................................177

Politiche di Accesso Remoto.....................................................................................................................178

Windows Server 2003 – gestione dei dischi.................................................................................................180

Windows 2003 Fault Tolerance: Monitoraggi, backup e restore.......................................190

Attivazione dei sistemi di controllo e di monitoraggio..........................................................190

Configurazioni RAID......................................................................................................................191

Backup e Restore...............................................................................................................................191

Strategie di backup.......................................................................................................................192

Backup in Windows.......................................................................................................................192

Backup di file e cartelle...............................................................................................................193

Backup dello stato del sistema.................................................................................................193

Pianificazione temporale dei backup......................................................................................194

Ripristino di file e cartelle...........................................................................................................194

Monitorare le prestazioni di Windows Server...............................................................................195

Monitor di sistema...................................................................................................................................195

Registri contatori (counters logs).............................................................................................................196

Monitoraggio della memoria................................................................................................................197

Monitoraggio dei dischi........................................................................................................................198

Monitoraggio del processore......................................................................................................199

Monitoraggio della rete................................................................................................................199

Avvisi....................................................................................................................................................200

Microsoft Exchange Server 2003..................................................................................................................203

2


Introduzione Al Networking Cosa è la Subnet Mask che inserite quando configurate i parametri del protocollo TCP/IP ?

Per chi ha sempre lavorato su reti locali (LAN) può sembrare un aspetto secondario o superfluo, ma quando avrete necessità di sicurezza o bisogno di dividere un range di indirizzi tra più sedi remote limitando inutili sprechi, allora il valore che attribuirete a questo parametro rivestirà un ruolo di primordine. In pratica, la subnet mask serve per far capire ai pc (nodi) se un dato indirizzo IP fa parte della propria LAN (livello 2 OSI) o se, per raggiungerlo, si renda necessario l’uso di un Router o di un altro apparato per l’instradamento (livello 3 OSI). Divide infatti i 32 bit dell’indirizzo IP in 2 parti. Una è la Network Mask, ed identifica proprio la rete, e l’altra è la Host Mask, quest’ultima si riferisce ai computer (nodi) che fanno parte della network mask.

Per consentire a tutti di comprendere più facilmente l’argomento di discussione, prima di passare ad argomenti tecnici, proverò a fare questo paragone:Supponiamo dobbiate scrivermi una lettera. La cosa essenziale per fare in modo che mi arrivi è, ovviamente, scrivere il mio indirizzo:

Nome CognomeVia, numero civicoCittà

Quando le poste dovranno smistare la lettera lo faranno seguendo un ordine preciso e cioè, dal parametro che identifica la zona più estesa, fino a quello che si focalizza sull’obiettivo:

Città - Via – Numero civico - Nome Cognome

Se scrivete ad un mio collaboratore dovete cambiare solo il nome, ma tutta la parte relativa all’instradamento rimane la stessa poichè identifica il posto dove ci troviamo.

La consegna dei pacchetti IP, in Internet, avviene secondo lo stesso principio, grazie all’uso del subnetting tutte le aree geografiche del pianeta sono state suddivise in sottoreti ed in base ai primi numeri che compongono l’indirizzo IP del computer che state contattando, la comunicazione verrà instradata in America, in Russia, in Italia ecc. ecc.

All’interno delle aziende, sono concessi questi tipi di indirizzi:

da 10.0.0.0 a 10.255.255.255 (1 Subnet di classe A)da 172.16.0.0 a 172.31.255.255 ( 16 Subnet di classe B)da 192.168.0.0 a 192.168.255.255 (255 Subnet di classe C)

Esistono anche altre subnet, ma sono dedicate agli ISP oppure sono utilizzate per configurazioni sperimentali.

3

http://www.umts-italia.net/files/posted_images/user_18110_1_1228683885_815088.jpg


Bene, ora vediamo come applicare il subnetting alle nostre reti ed in quale modo la subnetmask separa l’indirizzo necessario per l’instradamento da quello relativo agli host presenti in rete.Prendiamo per esempio il classico indirizzo privato di classe C:

IP: 192.168.0.2Subnet mask: 255.255.255.0Gateway: 192.168.0.1

Ora trasformiamo in bit l’indirizzo IP e la Subnetmask

Usate la tabella per mettete a confronto i binari della subnetmask e dell’ip dal bit 1 al bit 32. La maschera che riguarda l’instradamento e identifica la rete, è la parte dell’IP che arriva fino all’ultimo bit positivo (1) della subnet mask. La parte host la si ha mettendo sempre a confronto i due binari ed inizia dal punto in cui trovate il primo bit negativo (0) nella subnet.

Da ciò ne consegue che tutti gli indirizzi IP che iniziano per 192.168.0 (Network Mask) fanno parte della stessa LAN e non hanno bisogno del gateway per essere raggiunti. Rimangono quindi a disposizione gli ultimi 8 bit da distribuire ai nostri client. In questo caso, capire quanti IP abbiamo a disposizione nella Host Mask è relativamente semplice utilizzando questa conversione:

00000000=0 (indirizzo di rete)11111111=255 (indirizzo di broadcast)

Gli indirizzi che sono maggiori di 0 e minori di 255 potranno quindi essere utilizzati nella propria rete.I due indirizzi (0 e 255) li ho esclusi perché servono convenzionalmente 1 per identificare la rete e l’altro per il broadcart, ovvero la comunicazione simultanea con tutti i pc della LAN.

Spesso troverete gli indirizzi ip seguiti da una barra e da un numero. Quello è un modo molto comune e più veloce per scrivere la subnetmask. Se prendete lo stesso esempio di prima noterete che la subnet mask 255.255.255.0 in binario ha 24 bit positivi. Quindi lo stesso indirizzamento può essere descritto come 192.168.0.0/24. Bene, fatta questa premessa, iniziamo con qualche esempio pratico valutando alcuni casi ipotetici che vi si potrebbero presentare.

Esempio n.1

Supponiamo di avere a disposizione il classico indirizzamento di classe C 192.168.0.0/24, ma di dovere creare 2 reti di uguale misura e che non si vedano l’una con l’altra. Quello che dobbiamo fare è quindi, calcolare una Subnet Mask adatta, che lasci liberi solo la metà degli indirizzi.Vediamo cosa succede aggiungendo un altro bit positivo alla subnet di prima.

4

http://www.umts-italia.net/files/posted_images/user_18110_1_copia_1228683187_162245.jpg


Succede che il primo 0 dell’ultimo ottetto, che prima faceva parte della Host Mask ora fa parte della networkmask e non può più essere cambiato senza poi risultare estraneo alla rete. I bit disponibili nella host mask non sono più otto ma solo sette e quindi:

00000000=0 indirizzo di rete01111111=127 indirizzo di broadcast

Il numero di host disponibili si può calcolare anche con la classica formula usata per le combinazioni numeriche ovvero elevando il numero di stadi per singolo elemento(2 per il sistema binario) al numero di elementi. In questo caso 2^7 (128). A questo risultato vanno sempre sottratti i due bit usati per network ID e broadcast. Il totale è quindi 126 Host disponibili.Nella rete 192.168.0.0/25 gli indirizzi che vanno da 192.168.0.1 a 192.168.0126 sono IP di una unica rete.

Nell’esempio n.1 però avevate a disposizione il doppio degli IP. Nessuna paura, non li avete persi. E’ sufficiente passare a 1 il valore del primo bit dell’ultimo ottetto dell’indirizzo IP lasciando invariata la subnet mask ed il gioco è fatto.

10000000=128 indirizzo di rete11111111=255 indirizzo di broadcast

Gli indirizzi validi solo per questa subnet (192.168.0.128/25) sono quindi da 192.168.0.129 a 192.168.0.254 ed in una maniera molto semplice avete diviso 2 reti utilizzando la stessa classe C.Per completezza trasformando la subnet mask in decimale avremo 255.255.255.128.

Esempio n.2

Aumentiamo il livello di difficoltà però questa volta, avendo sempre a disposizione lo stesso range di indirizzi IP 192.168.0.0/24, dobbiamo collegare 3 sedi della stessa città creando una MAN (acronimo di Metropolitan Area Network). I siti A,B,C dovranno contenere ognuno almeno 50 PC e probabilmente verrà aperta una quarta sede. Sviluppare l’indirizzamento per il collegamento delle 3 sedi compreso quello dei router, come indicato dalla figura sotto:

5




Come facciamo? Semplice!Aggiungiamo qualche bit alla subnet di prima fino a che non otteniamo una sottorete che ospita un numero di pc o nodi adeguato alle nostre esigenze.

Se aggiungiamo un ulteriore bit portando la subnet mask a 26 bit spezzeremo in ulteriori due parti il numero di host di cui disponevamo con una sub di 25 bit. Il calcolo per sapere il numero di host disponibili lo avete già visto prima comunque, con una Sub di 26 bit rimangono liberi 32-26=6 bit per gli host, per cui 2^6 – 2= 62 host disponibili.Ad ogni modo faccio una tabella con il calcoli possibili relativamente alla classe C in uso. Partendo dall’ultimo ottetto completamente libero aggiungo ogni volta un bit di blocco della maschera.

Ora, con l’aiuto di questa tabella vediamo rapidamente che per le sedi A,B e C (che necessitano di 50 host) si rende necessario l’utilizzo di una subnet mask di 26 bit ovvero:

11111111.11111111.11111111.11000000 = 255.255.255.192

Per quello che riguarda l’indirizzamento dei router, in questo caso specifico, sono sufficienti subnetmask molto restrittive poiché per comunicare tra loro hanno bisogno di soli 2 IP. Da ciò assegno ad ogni router una maschera da 30 bit:

11111111.11111111.11111111.11111100 = 255.255.255.252

6




L’indirizzamento scelto sarebbe quindi il seguente:

Per una eventuale sede futura non rimangono molte subnet libere. Lasciando spazio per qualche altro indirizzamento dei router rimane solamente la subnet 192.168.0.224/27.

Comunque detto questo passiamo al posizionamento delle subnet calcolate sul disegno di prima, come indica la figura 2:

Ecco fatto, la classe C è stata divisa come richiesto e tutto il traffico può essere instradato da una sede all’altra.Ogni volta che un pc dovrà iniziare una comunicazione con un altro IP, prima verificherà se la network mask è identica alla propria. In caso affermativo stabilisce che l’IP in questione fa parte della stessa LAN ed inizia una comunicazione diretta. Per chi vuole approfondire entra in gioco il protocollo ARP e l’indirizzo di broadcast, ma in questa sede saremmo fuori tema.

In caso le network mask non collimino, allora il PC chiede aiuto al gateway o router affinché instradi il traffico verso l’IP richiesto.In realtà, affinché i router instradino correttamente il traffico verso una determinata subnet, è necessario istruirli e spiegargli quale o quali strade percorrere per arrivare alla meta.

Esempio n.3

Con l’aumento degli IP da gestire e della dimensione della rete le cose si complicano, 7




ma i calcoli da fare sono gli stessi già affrontati nell’esempio n.2. L’unica differenza è che molto probabilmente la vostra classe C non basterebbe .

Supponiamo di dovere collegare 3 MAN identiche a quelle dell’esempio n.2.Per la prima MAN abbiamo usato un indirizzamento tipo 192.168.0.0/24. Per la seconda e per la terza non faremo altro che usare rispettivamente le classi C 192.168.1.0/24 e 192.168.2/24.Se ci fate caso non ho scelto subnet a caso, ma contigue, in modo da potere identificare l’interno network in caso di ulteriori espansioni.Come si fa ad identificare 3 classi C con un unico networkID? Cercando una subnet mask comune a tutte e trè! Trasformiamo in binario le 3 classi C che utilizzeremo per questo esempio. Nell’ordine 192.168.0.1 – 192.168.1.1 – 192.168.2.1

La subnet mask in tabella (255.255.255.252.0) è comune a tutti e tre gli indirizzamenti e quindi la subnet 192.168.0.0/22 identifica l’unione delle tre MAN. Un domani, prevedendo espansioni, sarà molto più semplice instradarvi il traffico.

Comunque, tornando a noi, una soluzione per collegare tutte e tre le MAN potrebbe essere quella di utilizzare un unico router centrale. L’unica modifica da apportare riguarda l’ultima subnet mask usata per il collegamento degli ultimi 2 router nel secondo esempio. Se guardate la figura 3, noterete comunque in rosso tutte le modifiche effettuate, ed in verde i collegamenti che uniranno le MAN in una WAN.

Questa modifica è stata apportata poiché se andate a vedere le subnet che avevo dedicato ai router nell’esempio n.2 consentivano la presenza di soli 2 host. Infatti se trasformate in binario la subnet 192.168.0.200/30 (e questa volta lo faccio fare a voi) vi accorgerete che vi restano solo 2 bit utilizzabili per gli host. Il problema è che per collegare il router centrale avevo necessariamente bisogno di un terzo IP nella stessa

8




subnet. Poiché avevamo dello spazio libero dopo la 192.168.0.200/30 ho potuto liberare 1 bit della subnet mask ed ottenere ben sei Host utili.La subnet mask è quindi diventata 255.255.255.248 equivalente a: 11111111.1111111.11111111.11111000. ovvero 2^3 - 2=6 Host utili. La stessa cosa l'ho fatta nelle restanti 2 MAN ed ora, tutto il traffico che deve andare da una città all’altra può essere instradato. Controllate il disegno per maggiori dettegli.

Conclusioni:In ogni caso il networking si affina con molto esercizio, ed al di là dei calcoli che abbiamo fatto insieme o delle formule matematiche che troverete sui libri, per diventare veloci serve pratica e, possibilmente, ambienti di test flessibili e separati dall’ambiente produttivo.

9


Windows Server 2003 - Installazione Servizio DHCP In questo paragrafo dedicato al mondo Windows Server vedremo come configurare il servizio DHCP che risulta molto comodo in quanto evita la configurazione manuale delle impostazioni di rete nei client di dominio.

Andiamo quindi a vedere come procedere:

Dal menù Start andiamo nel pannello di controllo e clicchiamo su Installazione Applicazioni

Premiamo il pulsante Installazioni componenti di Windows

10

http://img513.imageshack.us/img513/8307/97503065et0.jpg

http://img519.imageshack.us/img519/6234/66913245du0.jpg


Selezioniamo all'interno dell'eleco proposto Servizi di rete, quindi premiamo sul pulsante Dettagli

Spuntiamo il checkbox corrispettivo al Protocollo DHCP e proseguiamo premendo il pulsante OK

11

http://img337.imageshack.us/img337/1305/30077934xi6.jpg

http://img515.imageshack.us/img515/5430/33258564al6.jpg


Proseguiamo premendo il pulsante Avanti

Concludiamo l'operazione premendo il tasto Fine

Passiamo ora alla configurazione del protocollo

12

http://img515.imageshack.us/img515/3756/89024771lx9.jpg

http://img301.imageshack.us/img301/750/99217744kn4.jpg


Premiamo il pulsante Start --> Tutti i programmi --> Strumenti di amministrazione --> DHCP

Come possiamo notare dalla freccia rossa rivolta verso il basso collocata sopra l'icona del server, il servizio è stato installato tuttavia non è partito correttamente, dobbiamo quindi ricordarci di riavviare il server

13

http://img294.imageshack.us/img294/299/62050971hw1.jpg

http://img513.imageshack.us/img513/9431/82265514si3.jpg


Vediamo ora come configurare il nostro range di indirizzi; facciamo click con il tasto destro del mouse sull'icona del nostro server, quindi selezioniamo Nuovo abito...

Partirà un semplice wizard che ci porterà passo passo alla configurazione, proseguiamo pramendo il tasto Avanti

14

http://img515.imageshack.us/img515/4505/36837967tk4.jpg

http://img513.imageshack.us/img513/7238/10yn3.jpg


A questo punto all'interno delle textbox ci verrà chiesto di inserire il nome ed una descrizione per identificare il nostro ambito, tali informazioni risulteranno utili per identificare rapidamente il tipo di utilizzo nell'ambito della rete; inseriamo un nome e proseguiamo premendo il tasto Avanti

Attenzione perchè adesso ci viene richiesto di inserire il pool di indirizzi da distribuire nell'ambito; nell'esempio mostrato in figura stiamo configurando una classe di indirizzi provata detta classe "C" (192.168.x.x), quindi se nel nostro caso il primo indirizzo sarà 192.168.1.1 che di solito è il nostro router dovremo partire dall'indirizzo successivo, quindi inseriamo nella textbox 192.168.1.2; proseguiamo inserendo il nostro indirizzo finale della rete, quindi inseriamo 192.168.1.254Premessa: se vogliamo lasciare degli indirizzi liberi all'interno del nostro ambito da dedicare ad esempio a dei server possiamo farlo tranquillamente, basta accorciare il range degli indirizzi. Ad esempio se all'interno della nostra struttura vogliamo lasciare i primi 10 indirizzi liberi per poterli inserire staticamente possiamo inserire come indirizzo iniziale il 192.168.1.11 e come indirizzo finale il 192.168.1.254. Nella stessa

15

http://img513.imageshack.us/img513/9485/11zn4.jpg

http://img513.imageshack.us/img513/2060/12op0.jpg


from, nella parte bassa ci viene chiesto di inserire la nostra subnet mask che che definisce il numero di bit di un indirizzo IP da utilizzare; nel nostro caso la classe è una 24 e la subnet sarà quindi 255.255.255.0. Vedremo poi in una guida successiva come possiamo calcolare le nostre subnet. Finito il tutto procediamo segliendo il tasto Avanti.

In riferimento a quanto detto sopra se avessimo scelto di tralasciare alcuni indirizzi dovremo quindi inserire il range in questa form che ci viene proposta; dal momento che nel nostro esmpio abbiamo scelto di non effettuare nessuna esclusione possiamo procedere premendo il tasto Avanti.

In questa form ci viene richiesta la durata del lease, ossia per quanto tempo ad un client viene assegnato un indirizzo; calcolando che la media giornagliera della ore lavorative di una giornata sono 8, consiglio d'impostare un minimo di 10 ore, in modo tale che se il client effettua un logoff durante il giorno il nostro servizio DHCP gli riassegna lo stesso ip. Procediamo premendo il tasto Avanti.

16

http://img243.imageshack.us/img243/9544/13ap3.jpg

http://img517.imageshack.us/img517/2536/14ou4.jpg


Quando di assegna un indirizzo ai client si forniscono anche delle opzioni come ad esempio l'indirizzo di un router che se nel nostro caso ne siamo in possesso, diventerà anche il nostro gateway. Decidiamo quindi di poter configurare questa opzione e selezioniamo il checkbox relativo a: Si, configurare le opzioni adesso e procediamo nello step successivo premendo il tasto Avanti.

Se il nostro router in questo caso è corrispondente all'indirizzo 192.168.1.1 inseriamo il relativo ip nella textbox e premiamo il tasto Aggiungi.

17

http://img515.imageshack.us/img515/5199/15bc3.jpg

http://img248.imageshack.us/img248/8590/16pj5.jpg


Continuamo nella nostra configurazione premendo il tasto Avanti

Inseriamo nella prima textbox il nome del nostro dominio padre che nel nostro esempio sarà sempre revhome.local e per configurare i client dell'ambito per l'utilizzo per i server DNS della rete, inseriamo nella textbox posta in basso il nome del nostro server ed il relativo indirizzo; oppure possiamo anche inserire il nome del nostro server e premere il pulsante Risolvi per vedere se il servizio DNS funziona corretamente. Se si troveremo il relativo indirizzo del nostro server nella textbox accanto al nome appena digitato.

18

http://img248.imageshack.us/img248/5682/17jp5.jpg

http://img513.imageshack.us/img513/23/18sq1.jpg


Dopo aver verificato che l'indirizzo sia corretto, possiamo confermare premendo il tasto Aggiungi.

Una volta aggiunto l'indirizzo del nostro server l'ip si spostarà in basso nelle listbox e possiamo proseguire premendo il tasto Avanti.

19

http://img101.imageshack.us/img101/3990/19nl3.jpg

http://img515.imageshack.us/img515/9141/20py7.jpg


Possiamo saltare questa form in quanto non rilevante ai fini della nostra configurazione e proseguiamo premendo il tasto Avanti.

Decidiamo di attivare l'ambito immediatamente, quindi scegliamo la checkbox corrispondente a: Si, attiva l'ambito adesso e proseguiamo premendo il tasto Avanti.

Bene, abbiamo finito, dobbiamo solo concludere l'operazione del nostro wizard premendo il tasto Fine.

Cosa sono le Prenotazioni o Reservation ?gli indirizzi IP gestiti dal dhcp sono detti dinamici cioè l'indirizzo può non essere uguale ogni volta che il client effettua il logon (dopo che siano scadute le ore impostate).Se vogliamo che ad un client venga assegnato sempre lo stesso indirizzo dobbiamo effettuare la cosiddetta prenotazione o reservation cioè la dedica di un indirizzo fisso

20

http://img515.imageshack.us/img515/4503/21gi0.jpg

http://img513.imageshack.us/img513/8131/23tz3.jpg


all'interno del nostro DHCP che verrà identificato in base al mac-address della scheda di rete del nostro client.

Andiamo a vedere come:

Dal nostro servizio DHCP facciamo click con il tasto destro del mouse sulla scheda Prenotazioni e scegliamo Nuova prenotazione...

Adesso inseriamo nella prima textbox il nome della nostra prenotazione, io consiglio di inserire il nome del nostro client, sarà più facile individuarlo in presenza di molte prenotazioni, nella seconda textbox inseriamo il numero dell'ip che vogliamo venga sempre distribuito al nostro client, nel nostro esempio scriviamo 192.168.1.15; proseguiamo inserendo nella terza textbox l'indirizzo MAC della scheda di rete del

21

http://img513.imageshack.us/img513/8499/26jo2.jpg

http://img515.imageshack.us/img515/3238/27yc4.jpg


client; Come possiamo fare per conoscere l'indirizzo MAC della scheda di rete ?Semplice ! Basta andare sul client interessato aprire il prompt dei comandi con Start --> Esegui --> Cmd e dentro alla finestra della shell scrivere questo comando: ipconfig /all (Vedi figura sotto)

L'ultima textbox ci consente di inserire anche una descrizione aggiuntiva, io consiglio di inserire il nome e cognome del possessore del client; infine nella casella dei tipi supportati scegliamo Entrambi e premiamo il tasto Aggiungi.

Infine concludiamo la nostra Prenotazione premendo il tasto Chiudi.In questo modo al client di Stefano verrà sempre distribuito il seguente indirizzo: 192.168.1.15

22

http://img513.imageshack.us/img513/1779/25ai7.jpg

http://img515.imageshack.us/img515/3604/28ih1.jpg


Bene, siamo quasi al termine della nostra procedura, adesso dobbiamo andare sui singoli client a modificare le impostazioni di rete in modo che il nostro DHCP possa configurarle in automatico; come possiamo fare ?

Vediamo come:

Dalla connessioni di rete andiamo a selezionare con il tasto destro del mouse la nostra rete (LAN o WIRELESS che sia) e clicchiamo su Proprietà

Selezioniamo il Protocollo TCP/IP e premiamo su Proprietà.

23

http://img140.imageshack.us/img140/3945/64671648by8.jpg

http://img227.imageshack.us/img227/4789/22405007pp0.jpg


Selezioniamo il checkbox corrispondente a: Ottieni automaticamente indirizzo IP e verifichiamo a sua volta che sia selezionato l'altro checkbox relativo a: Ottieni indirizzo server DNS automaticamente; concludiamo infine premendo il tasto OK.

Se i nostri client erano impostati con degli ip statici come possiamo fare per far si che prendano immediatamente le impostazioni appena configurate ?Facile: Premiamo il pulsante Start --> Esegui --> Cmd ed una volta aperto il prompt scriviamo questi 2 semplici comandi: ipconfig /release (non spaventatevi il client perderà la connessione con la rete) seguito da ipconfig /renew; il client prenderà subito le impostazioni distribuite dal nostro DHCP.

Escludere degli indirizzi

Nella guida Devi essere registrato per poter vedere questo link abbiamo visto come configurare il servizio DHCP in un dominio Windows Server e come si configurano le prenotazioni di indirizzi per i clients.Tuttavia in un range di indirizzi che va ad esempio dal 192.168.1.1 al 192.168.1.255 a volte potrebbe esserci la necessità di avere una serie di indirizzi statici che potrebbero essere attribuiti ad alcuni apparati hardware che non supportano il servizio DHCP.In un dominio Windows Server 2003 Active Directory con installato il servizio DHCP esiste la possibilità di dedicare all'interno del servizio una serie di indirizzi che, una volta configurati non verranno mai distribuiti dal DHCP.Questa serie o pool di indirizzi esclusi dalla distribuzione è chimata appunto ESCLUSIONE.

In questa guida che ha configurato un DHCP che esclude già l'indirizzo 192.168.1.1, il 192.168.1.254 ed il 192.168.1.255 andremo a vedere come escludere altri 15 indirizzi

24

http://img515.imageshack.us/img515/3213/21666776tg7.jpg


in una rete provata che, come indicato nell'esempio sopra, utilizza questi range:192.168.1.1 --> 192.168.1.255

Vediamo intanto l'attuale configurazione:

Clicchiamo sul pulsante Start --> Strumenti di amministrazione --> DHCP

Selezioniamo nella parte sinistra del form Pool di indirizzi e noteremo subito che nella parte destra appare nel pool di indirizzi una configurazione che ho segnato con la freccia rossa.Come possiamo notare esiste un indirizzo IP iniziale che è il 192.168.1.2 ed un indirizzo IP finale che è il 192.168.1.253. Entrambi sono segnalati da questa icona: Cosa significa tale configurazione ?Significa che gli indirizzi IP 192.168.1.1, 192.168.1.254 e 192.168.1.255 non verranno mai distribuiti dal nostro DHCP, oppure il nostro DHCP distribuisce solo gli indirizzi

25





compresi tra l'IP 192.168.1.2 e 192.168.1.253

Vediamo ora di impostare quanto abbiamo detto sopra, ossia escludere dal nostro range un altro pool di 15 indirizzi all'interno del nostro DHCP:Come esempio escluderemo il seguente pool di indirizzi: dall'IP 192.168.1.30 all'IP 192.168.1.45 che potremo dedicare ad apparti hardware che supportano solo indirizzi statici non distribuiti dal nostro servizio.

Facciamo click con il tasto destro del mouse su Pool di indirizzi e selezioniamo Nuovo intervallo di Esclusione

Ci verrà presentata la seguente maschera

26




Inseriamo nella prima texbox il primo indirizzo IP riportato nellìesempio, quindi il 192.168.1.30 ed inseriamo nella seconda textbox l'ultimo indirizzo IP, quindi il 192.168.1.45 e terminiamo l'operazione premendo il tasto aggiungi.

Come possiamo notare nella parte destra della nostra form è apparsa una nuova riga di configurazione che ha come indirizzo iniziale l'Ip 192.168.1.30 e come indirizzo finale l'Ip 192.168.1.45 il tutto segnato dalla seguente icona che riporta la descrizione "Indirizzo escluso dalla distribuzione".Ovviamente la nostra configurazione è terminata ed ora possiamo essere più che sicuri che il gli indirizzi IP che vanno dal 192.168.1.30 al 192.168.31.45 non verranno mai distribuiti ai clients del nostro dominio e quindi potremmo dedicarli ad altro senza mai creare conflitti di indirizzi IP doppi all'interno del nostro dominio.

Nell'esempio che abbiamo riportato siamo stati abbastanza fortunati perchè gli indirizzi che abbiamo voluto escludere erano consecutivi e quindi con una sola impostazione abbiamo potuto riservarli.Se invece la nostra necessità dovesse essere quella di escludere indirizzi non consecutivi, è chiaro che dobbiamo eseguire una configurazione per ogni indirizzo che vogliamo escludere in questo modo:

27





Nell'esempio che segue vedremo come escludere il singolo indirizzo IP 192.168.1.89, la procedura è la medisima della pèrecedente:

Con la differenza che nell'aggiunta di esclusione dovremo inserire il singolo indirizzo.

Ed il gioco è fatto !

28




Windows Server 2003 : Active directory

Installazione e dominioIn questo paragrafo esamineremo il processo d'installazione Active Directory e la conseguente creazione di un nuovo dominio con il sistema operativo di casa Microsft Windows Server 2003.Nei passi seguenti creeremo il nuovo dominio REVHOME.local di cui il nostro server Windows Server 2003 sarà il primo domain controller.

Per fare quanto detto abbiamo a disposizione due strade. Aggiungere uh nuovo ruolo al server o digitare al prompt dei comandi il comando di installazione del serizio

Decidiamo quindi di scegliere quella più breve e procediamo quindi come segue:Start -> Eseguie dentro la riga di comando scriviamo: dcpromodopo qualche istante di preinstallazione di alcuni componenti binari, si arriva al wizard introduttivo (vedi figura sotto).

Procediamo scegliendo il tasto Avanti

29

http://img117.imageshack.us/img117/8725/01tt3.jpg


Procediamo ancora scegliendo il tasto Avanti

A questo punto scegliamo l'opzione Controller di dominio di un nuovo dominio (come indicato nella figura) e confermiamo premendo il tasto Avanti

30

http://img153.imageshack.us/img153/4061/02eo2.jpg

http://img206.imageshack.us/img206/8265/03if6.jpg


Continuamo scegliendo l'opzione Nuovo dominio in un nuovo insieme di strutture e procediamo premendo il tasto Avanti

A questo punto dobbiamo installare il servizio DNS (Domain Name Service), quindi scegliamo l'opzione No, installa e configura il servizio DNS su questo computer e confermiamo premendo il tasto Avanti

31

http://img176.imageshack.us/img176/4725/04wa1.jpg

http://img392.imageshack.us/img392/5426/05br5.jpg


Adesso dobbiamo immettere nella textbox il nome il nome DNS completo per il nuovo dominio che, nel nostro esempio sarà: REVDOMAIN.local e proseguiamo premendo il tasto Avanti

Arrivati a questo punto dobbiamo inserire nella textbox il nome del dominio NetBios, che è che un nome alternativo utilizzato da alcune applicazioni ; il nome sarà proposto uguale al nome completo di dominio ma non siamo obbligati a mantenerlo, possiamo anche immettere un nome completamente diverso. Proseguiamo premendo il tasto Avanti

32

http://img392.imageshack.us/img392/3548/06ym8.jpg

http://img360.imageshack.us/img360/7756/07op2.jpg


Lasciamo i valori proposti per le posizioni dei files del database e dei files di registro e proseguiamo premendo il tasto Avanti

Stesso discorso vale per i files relativi alla cartella SysVol che contiene la copia dei files pubblici di dominio; Attenzione perchè, come indicato, la cartella SysVol dovrà trovarsi su un volume NTFS e procediamo quindi premendo il tasto Avanti

33

http://img360.imageshack.us/img360/3852/08vb2.jpg

http://img153.imageshack.us/img153/5120/09ub2.jpg


Attenzione perchè adesso dovremo scegliere le autorizzazioni predefinite per gli oggetti utenti e di gruppo e questo dovrà dipendere dalla nostra struttura degli altri server presenti; se allinterno della nostra foresta sono presenti server con versioni precedenti a Windows 2000 dovremo scegliere Autorizzazioni compatibili con sistemi operativi server precedenti a Windows 2000 ma questo comporterà agli utenti anonimi di poter leggere le informazioni relative al nostro dominio.In caso contrario dovremo procedere scegliendo l'opzione Autorizzazioni compatibili soltanto con sistemi operativi server Windows 2000 o Windows server 2003.Infine confermiamo il tutto premendo il tasto Avanti

Arrivati a questo punto dobbiamo inserire nelle due texbox la password da assegnare all'account Administrator se il server verrà avviato in modalità di ripristino dei servizi Active Directory e confermiamo premendo ancora il tasto Avanti

34

http://img392.imageshack.us/img392/6784/10cv7.jpg

http://img392.imageshack.us/img392/6460/11fq9.jpg


Questa è l'ultima form del wizard dove avremo la possibilità di rivedere le nostre informazioni inserite ed eventualmente tornare indietro per modificarle o addirittura annullare tutta la procedura premendo il tasto Annulla.Se invece siamo sicuri di ciò che abbiamo fatto proseguiamo premendo il tasto Avanti

Ecco che immediatamente parte la configurazione dell'Active Directory come mostra la figura; pazientiamo alcuni istanti per la conclusione della procedura.

35

http://img392.imageshack.us/img392/1862/12yd6.jpg

http://img153.imageshack.us/img153/9176/13eg4.jpg


Perfetto ! Il nostro dominio è stato creato e l'Active Direcoty anche, non dobbiamo far altro che confermare il tutto premendo il tasto Fine

Concludiamo, come richiesto riavviando il server premendo il tasto Riavvia

Come possiamo notare, una volta che il server è stato riavviato, nella finestra d'autenticazione avremo una texbox aggiuntiva dove compare il nome del nostro dominio; inseriamo la password ed effettuiamo il logon premendo il tasto OK

36

http://img392.imageshack.us/img392/4526/14tb4.jpg

http://img153.imageshack.us/img153/4421/15aq9.jpg

http://img360.imageshack.us/img360/9632/16vh7.jpg


Perfetto, il logon è avvenuto e se guardiamo nella voce Programmi -> Strumenti di amministrazione, noteremo che saranno state aggiunte le voci Active Direcotry e il servizio DNS.

Attenzione perchè prima di spostare tutti i nostri clients e server sotto il dominio dobbiamo effettuare nell'Active Direcoty la creazione degli utenti e dei gruppi.

37

http://img360.imageshack.us/img360/3346/17hz8.jpg


Creazione di utenti e gruppiIn questo paragrafo esaminiremo la procedura per la creazione di Gruppi di Protezione e il conseguente loro utilizzo all'interno delle directory condivise nel nostro dominio.Creeeremo infatti il gruppo chiamato Amministrazione del quale faranno parte gli utenti Mario Rossi, Bruno Bianchi e Giuseppe Verdi, i quali dovranno avere accesso alla cartella in share chiamata Amministrazione.

Passiamo subito a vedere come:

Dall'interno del nostro server Windows server 2003 premiamo sul pulsante Start --> Tutti i Programmi --> Utenti e computer di Active Directory ed passiamo ad esaminare la nostra interfaccia LDAP, come mostra la figura sotto:

Come possiamo notare nella cartella Builtin sono raccolti tutti i gruppi di protezione creati di default dal nostro dominio.

38

http://img218.imageshack.us/img218/7586/13282223zj0.jpg

http://img367.imageshack.us/img367/8062/92928442ih9.jpg


Procediamo cliccando con il tasto destro del mouse sulla cartella Builtin, quindi scegliamo Nuovo --> GruppoTengo a precisare che non siamo obbligati alla creazione dei gruppi proprio nella cartella indicata, ma potremmo crearne anche una a nostro piacimento.

Nelle textbox inseriamo il nome che vogliamo dare al nostro gruppo, nel nostro esempio scriveremo Amministrazione, quindi nella sezione Ambito del gruppo selezioniamo Globale e nel Tipo di gruppo selezioniamo Protezione ed infine confermiamo il tutto premendo il tasto OK.

Come possiamo notare il gruppo Amministrazione è stato creato ed è stato inserito all'interno della cartella Builtin... bene non dobbiamo far altro che farci doppio click sopra.

39

http://img367.imageshack.us/img367/4852/13302831dc2.jpg

http://img367.imageshack.us/img367/650/23472810bo8.jpg


Nella scheda Generale possiamo inserire nella textbox evidenziata, una descrizione più approfondita che sarà visualizzata all'interno dell'interfaccia della nostra Active Directory, in questo esempio scriveremo: Dipendenti ufficio Amministrazione e confermiamo premendo il tasto Applica.

40

http://img367.imageshack.us/img367/5682/74627163kk7.jpg

http://img367.imageshack.us/img367/8031/91956044xm3.jpg


Passiamo quindi alla scheda Membri ed andiamo ad inserire i dipendenti del nostro ufficio Amministrazione, premendo il tasto Aggiungi.

Siccome sappiamo che i nostri utenti creati si chiamano Rossi, Verdi e Bianchi, all'interno della textbox che chiede d'immettere i nomi degli oggetti da selezionare, scriviamo Rossi e premiamo il tasto Controlla nomi.

41

http://img261.imageshack.us/img261/6631/92715361dh5.jpg

http://img87.imageshack.us/img87/2087/59432485sc0.jpg


Come possiamo notare il nostro sistema ha contattato il dominio ed ha individuato che l'utante Rossi ne fa parte, premiamo infine il tasto OK per aggiungerlo quindi al nostro gruppo; adesso non dobbiamo far altro che ripetere la stessa operazione anche per gli altri 2 utenti che in questo caso sono Bianchi e Verdi.

Esiste tuttavia una procedura alternativa che può risultare molto comoda se per caso non ci dovessimo ricordare i nomi da inserire oppure i nominativi da aggiungere dovessero essere molti e quindi possiamo comunque procedere come segue:

Dalla form di selezione Utenti, Contatti o Computer premiamo il tasto Avanzate

Si aprirà una form successiva dove è possibile stabilire dei criteri di ricerca dei nostri utenti, premiamo quindi il tasto Trova

42

http://img261.imageshack.us/img261/2319/71it9.jpg

http://img261.imageshack.us/img261/7193/72cv1.jpg


Ecco che immediatamente nei risultati della nostra ricerca abbiamo individuato subito i nostri 3 utenti che dobbiamo rendere membri del gruppo amministrazione, a questo punto teniamo premuto il tasto CTRL e con il clieck sinistro del mouse selezioniamoli uno alla volta tutti e tre; concludiamo premendo il tasto OK.

43

http://img261.imageshack.us/img261/6735/73dx6.jpg

http://img367.imageshack.us/img367/3970/88795110cc4.jpg


Ed ecco che tutti e tre insieme i nostri amici Rossi, Verdi e Bianchi sono apparsi nell'elenco del gruppo di protezione, non dobbiamo far altro che confermare premendo il tasto Ok.

44


Unire un computer al dominio

In questo paragrafo, andremo a vedere come si aggancia un client Xp o Vista ad un dominio Windows Server.

Passiamo dunque a vedere come:

Dal nostro desktop facciamo click col pulsante destro del mouse sull'icona Risorse del Computer e premiamo su Proprietà

45

http://img219.imageshack.us/img219/6912/76787212bf8.jpg


Selezioniamo la scheda Nome Computer e premiamo il tasto Cambia

Nella scheda Membro di dominio selezioaniamo appunto su Dominio ed immettiamo il nome che nel nostro caso è REVHOME, infine premiamo il tasto OK

46

http://img354.imageshack.us/img354/6316/51404588eu0.jpg

http://img139.imageshack.us/img139/5791/43408216vk4.jpg


A questo punto ci verranno richieste le credenziali di amministratore di dominio, quindi inseriremo utente Administrator e password quella predefinita (descritta nella Devi essere registrato per poter vedere questo link guida) e concludiamo premendo il tasto OK

Attendiamo qualche istante in modo che il client contatti il nostro domain controller ed alla fine avremo il messaggio di conferma dell'avvenuta registrazione; non dobbiamo far altro che confermare premendo il tasto OK

A questo punto ci verrà chiesto ri riavviare il computer, e noi premeremo il tasto OK

47

http://img139.imageshack.us/img139/7452/80115924mf9.jpg

http://img522.imageshack.us/img522/1175/69265810nz8.jpg

http://img139.imageshack.us/img139/9628/44900387vr0.jpg


Verremo reindirizzati alla schermata delle proprietà di sistema, quindi procederemo premendo il tasto OK

Confermiamo premendo il tasto SI ed attendiamo il riavvio

48

http://img139.imageshack.us/img139/8336/93398342se5.jpg

http://img522.imageshack.us/img522/2743/78636896cb7.jpg


Come possiamo notare il client si è riavviato e se apriamo il nostro menù a tendina nella sezione Accedi a: sarà comparso il nome del nostro dominio; non dobbiamo far altro che effettuare il logon con le credenziali del nostro account

49

http://img139.imageshack.us/img139/9538/63037726bm3.jpg


Windows 2003 File server e Protezione su NTFS

Esempio di controllo di accesso ad una cartella condivisa

Sulle partizioni NTFS, Windows 2003 permette di specificare Permessi NTFS per files e cartelle.A differenza dei permessi di condivisione che valgono solo nel caso di accessi via rete e si possono specificare solo per cartelle, i permessi NTFS valgono localmente e si possono specificare per le cartelle ma anche per il singolo file.È possibile specificare anche i Permessi NTFS sia per il singolo utente che per gruppi di utenti ed anche per loro è consigliata la strategia A G DL P. NTFS permette di associare ad ogni file e cartella una access control list (ACL) che contiene la lista degli utenti, dei gruppi e dei computer che hanno accesso a tale risorsa ed il tipo di accesso concesso.Affinchè un utente possa accedere a tale risorsa, la sua ACL deve contenere almeno una access control entry (ACE) relativa al particolare utente o ad uno dei gruppi cui appartiene. In caso contrario l'accesso viene negato. Tramite i Permessi NTFS specificati su una cartella è possibile controllare chi e come può accedere alla cartella ed ai files e sottocartelle in essa contenuti. In dettaglio, abbiamo a disposizione i seguenti Permessi NTFS per una Cartella: NTFS folder permission Allows the user to• Read. Vedere files e cartelle contenute in tale cartella e vedere i suoi attributi, ownership e permessi.• Write. Creare nella cartella nuove cartelle e files, modificarne gli attributi e vedere ownership e permessi.• List Folder Contents. Vedere i nomi dei files e delle cartelle contenute nella cartella. • Read & Execute. Navigare attraverso le cartelle, lanciare eseguibili più i permessi di Read e List Folder Contents.• Modify. Eliminare la cartella più i permessi di Write e Read & Execute.• Full Control. L'unione di tutti i permessi precedenti.Tramite i Permessi NTFS per un File è possibile controllare in dettaglio chi e come può accedere a tale file. Ovviamente tali permessi, se specificati, hanno precedenza

50


rispetto a quelli che il file eredita dalla carella che lo contiene. In dettaglio, abbiamo a disposizione i seguenti Permessi NTFS per una Cartella:• Read. Leggere il files e visualizzarne gli attributi, l'ownership ed i permessi. • Write. Modificare il file, modificare gli attributi e vedere ownership e permessi.• Read & Execute. Eseguire applicazioni più i permessi di Read.• Modify. Modificare ed eliminare il file più i permessi di Write e Read & Execute.• Full Control. L'unione di tutti i permessi precedenti.Quando una partizione o un volume viene formattato NTFS, Windows 2000 automaticamente assegna sulla root il permesso NTFS Full Control al gruppo Everyone, che dunque avrà di default tale permesso NTFS su tutti i files e cartelle create in quella partizione o volume, a meno che non diversamente specificato.

Interpretazione dei permessiNell'interpretare i permessi, potrà capitare di incombere permessi contraddittori: ad esempio in una riga si consente l'accesso per un utente al quale era stato negato l'accesso del gruppo di cui appartiene. Il seguente è l'imperativo in grado di sciogliere l'equivoco:The Most Restrictive Permission Is the Effective Permissionletteralmente il permesso più restrittivo, è quello effettivo. Quindi in caso di contrasto di due ergole appartenenti alla stessa lista, prevarrà la scelta della regola più restrittiva.

Interpretazione dei permessi

Linea guida nell'assegnazione di permessi NTFS:• Rimuovere il permesso Full Control da gruppo Everyone.• Assegnare il permesso Full Control al gruppo Administrators.• Assegnare al Creator Owner Full Control delle sue cartelle dati.• Educare gli Users nell'assegnare i permessi NTFS ai propri file.Home directory:• Creare una cartella centrale denominata Users.• Condividere la cartella Users.• Rimuovere il permesso Full Control dal gruppo Everyone ed assegnarlo al gruppo Users.• Usare la variablie d'ambiente %Username% per creare le home directory.

Assegnazione dei permessiPer poter assegnare i permessi NTFS ad un qualsiasi ggetto si devono rispettare alcuni requisiti fondamentali, quali:• essere Owner;

51


• godere dell'insieme di permessi Full Control o quantomeno Special Access (Change Permission or Take Ownership).Permessi NTFS di defaultIl gruppo Everyone viene automaticamente assegnato con permessi Full Control ed i nuovi file ereditano i permessi della cartella nella quale vengono creati.

Assegnazione dei permessi

Best Practices• Assegnare i permessi NTFS prima di condividere le risorse.• Rendere gli eseguibili degli applicativi Read-Only per tutti gli Users.• Utilizzare la variabile d'ambiente %Username% per creare le directory home per gli utenti.• Assegnare all'account Creator Owner i permessi Full Control per le cartelle dati.• Usare nomi lunghi solo se si accede alle risorse localmente.

Condivisione di file in WindowsLe Cartelle Condivise sono uno strumento per permettere agli utenti di accedere al contenuto di cartelle tramite la rete.Le cartelle condivise possono contenere applicazioni, dati pubblici e dati personali, permettendo quindi un'amministrazione centralizzata di tali informazioni.È evidente come sia necessario però poter controllare con una certa accuratezza chi e come accede a tali cartelle, cioè occorre poter specificare dei Permessi di Condivisione relativamente ad un utente o ad un gruppo di utenti.Per condividere una cartella bisogna innanzitutto appartenere ad uno dei gruppi che hanno il diritto di poter condividere cartelle relativamente al computer in cui la cartella risiede.Quando condividiamo una cartella, dobbiamo inoltre poter controllare gli accessi a tale cartella assegnando opportuni permessi a ben precisi utenti e gruppi. Inoltre, potrebbe essere necessario limitare il numero di accessi contemporanei che è possibile effettuare a tale condivisione. Infine, in qualsiasi istante dobbiamo essere in grado di interrompere la condivisione, modificare il nome di condivisione, modificare i permessi.

Creare cartelle condiviseQuando si condivide una cartella:• si assegna ad essa il nome di condivisione;• si assegna eventualmente un commento che ne descriva il contenuto ed il proposito della condivisione;• si limita eventualmente il numero di utenti che si possono connettere contemporaneamente a tale condivisione.

52


• si assegnano i permessi a gruppi di utenti o singoli utenti.• opzionalmente, è possibile condividere la stessa cartella più volte.Per effettuare queste operazioni, selezionare la cartella in Windows Explorer e cliccando con il tasto destro scegliere Sharing.Utilizzando la scheda Sharing è possibile specificare le seguenti opzioni:• Share this folder. Selezionare tale opzione per condividere la cartella.• Share name. Specificare il nome che verrà assegnato alla condivisione e che verrà utilizzato dall'utente e dalle applicazioni ogni qualvolta intendano accedere ad essa. Di default viene proposto il nome della cartella. Tale campo è obbligatorio. Nella scelta di tale nome, tenere comunque conto che alcuni client potrebbero non essere in grado di visualizzare tutti i caratteri utilizzati.• Comment. Descrizione, opzionale, che ha lo scopo di identificare il contenuto e/o lo scopo della condivisione.• User Limit. Specificare il numero massimo di accessi concorrenti permessi a questa condivisione. Tale campo non è obbligatorio, poichè il valore di default Maximum Allowed fissa a 10 il numero massimo permesso per Windows 2000 Professional e nel caso di Windows 2000 Server è pari al numero di licenza acquistate.• Permissions. Tale pulsante permette di assegnare permessi di accesso a tale condivisione ad utenti singoli o gruppi di utenti. Tale opzione non è obbligatoria poiche di default viene assegnato il permesso di Full Control al gruppo speciale Everyone.

Finestra di set up della condivisione

Permessi di accesso alla condivisioneAd ogni utente, gruppo di utenti o computer può essere garantito o negato il permesso di accedere alla condivisione, ed in ogni caso tale assegnazione è valida solo per accessi da remoto e non per accessi locali.Dunque i permessi di condivisione permettono di proteggere la risorsa per accessi da remoto ma non per accessi locali, inoltre essi si applicano a cartelle e non ai singoli files (valgono per tutto ciò che è contenuto nella cartella).È possibile assegnare i seguenti permessi: • Read. Visualizzare i nomi delle cartelle, dei files, i dati contenuti nei files, gli attributi ed eseguire eseguibili.• Change. Oltre a tutto ciò che è garantito da Read, è possibile creare cartelle, aggiungere files, modificare files, modificare gli attributi, eliminare files e cartelle.• Full Control. Oltre a tutto ciò che è garantito da Change è possibile modificare i permessi, acquisire la proprietà dei files (Ownership). Di default tale permesso è assegnato al gruppo speciale Everyone.

53


Per quanto detto appare immediatamente evidente come, se non in casi eccezionali, quando si crea una condivisione la prima cosa da fare è rimuovere i permessi assegnati di default al gruppo Everyone ed assegnare ad ogni utente o gruppo di utenti i permessi strettamente necessari affinchè possano eseguire la loro attività. A tale proposito fare molta attenzione al fatto che i permessi di condivisione sono cumulativi: quando un utente accede ad una condivisione e in questa condivisione sono stati specificati sia permessi per l'utente che per alcuni o tutti i gruppi cui l'utente appartiene, allora il permesso risultante per quell'utente è la somma di tutti i permessi (in pratica il più ampio). Tale regola di cumulatività ammette una sola eccezione: se solo uno dei permessi è Deny, allora tutti gli altri permessi vengono sovrascritti ed il permesso risultante sarà un Deny. Alla luce di ciò si raccomanda di utilizzare il Deny con molta parsimonia, praticamente esclusivamente per gestire le situazioni in cui un utente appartiene ad un gruppo che risulta avere dei permessi di condivisione per una certa risorsa e si vuole che tali permessi non siano validi per lo specifico utente.Vediamo ora in dettaglio come impostare i permessi di accesso ad una condivisione, o come modificarli se già impostati.È possibile assegnare permessi di condivisione per una cartella residente sia su una partizione o vulume formattati come FAT, che FAT32 o NTFS. Si ricordi che, in quest'ultimo caso è necessario che l'utente abbia anche gli opportuni permessi NTFS.Per assegnare i permessi di condivisione ad utenti, gruppi e computer:Selezionare la cartella in Windows Explorer e cliccando con il tasto destro scegliere Sharing.Nella scheda Sharing scegliere Permission ed accedere alla finestra di diaologo Permissions.Selezionare Add ed in Select User Groups or Computers selezionare tramite Look in il dominio di cui interessa visualizzare gli utenti, i gruppi ed i computers.Selezionare l'utente, o il gruppo o il computer che interessa tramite Allow impostare il permesso che interessa.Per modificare le proprietà di una condivisione, selezionare la cartella in Windows Explorer e cliccando con il tasto destro scegliere Sharing. Di seguito le modifiche che è possibile apportare:Do not share this folder.Interrompere la condivisione. Tutti i settaggi, compresi i permessi, andranno persi.Modificare il nome di condivisione.Selezionare Do not share this folder per interrompere la condivisione, selezionare Apply e poi selezionare Share this Folder inserendo il nuovo nome di condivisione.Ovviamente nel frattempo avremo perso tutti i permessi precedentemente impostati. Permissions.Per modificare i permessi già impostati o aggiungerne di nuovi.New Share.Condividere nuovamente la cartella con un nome ed impostazioni diverse.Remove Share.Compare solamente se la cartella è stata condivisa più di una volta e permette di rimuovere una delle condivisioni.Se quando selezioniamo Do not share this folder un qualche utente ha una connessione attiva, il sistema operativo ci avverte che un utente ha una connessione attiva e che se procediamo potrebbe perdere dei dati.

Condivisioni nascosteWindows 2000 condivide automaticamente una serie di cartelle con lo scopo di permettere alcune funzionalità di sistema e permettere all'amministratore di svolgere le sue attività.

54


Tali condivisioni sono tutte caratterizzate dal fatto che il loro nome di condivisione termina con il simbolo $. Tale caratteristica impedisce che la condivisione venga visualizzata quando l'utente sfoglia l'elenco delle condivisioni di quel server, cioè rende tale condivisione una Condivisione Nascosta. Visto lo scopo per il quale sono concepite, sono conosciute come Condivisioni Amministrative.Alcuni esempi di condivisioni nascoste sono tutte le unità logiche corrispondenti alle varie partizioni e volumi, la cartella di sistema, la cartella che contiene i drivers delle stampanti condivise, la condivisione utilizzata per i meccanismi di interprocess communication (IPC) utilizzati dai programmi:C$, D$, E$, e così via ...Tali condivisioni nascoste permettono all'amministratore di connettersi a qualsiasi partizione e volume di una macchina in modo tale da poter svolgere attività amministrative.Admin$.La cartella di sistema (C:\Winnt, di default). Permette di accedere alla cartella di sistema senza che sia necessario conoscere la cartella fisica corrispondente.Print$.Permette ai client di scaricare i client della stampante condivisa dal server su cui la condivisione risiede. Corrisponde al path fisico Systemroot\System32\Spool\Drivers e viene creata quando condividiamo la prima stampante. I gruppi Administrators, Server Operators, e Print Operators hanno Full Control mentre il gruppo Everyone ha Read.IPC$.Permette l'implementazione dei meccanismi IPC. È possibile in ogni istante condividere ulteriori cartelle e fare in modo che siano condivisioni nascoste. Tali ulteriori condivisioni non risultano però essere delle condivisioni amministrative.L'unico modo per accedere ad una condivione nascosta è indicare per esteso il suo path UNC, cioè \\server\condivisione$.

Come Configurare un file server: condividere le cartelle e gestire i permessi

Entriamo adesso in gestione del computer e sotto il disco C:\ noteremo che è stata precedentemente creata una cartella chiamata Amministrazione; facciamoci click con il tasto destro del mouse e scegliamo l'opzione Condivisione e Protezione.

55

http://img367.imageshack.us/img367/8352/10wv9.jpg


Nella scheda Condivisione scegliamo l'opzione Condividi Cartella ed immediatamente ci accorgeremo che nella textbox sottostante ci verrà proposto lo stesso nome della cartella, che possiamo tranquillamente tenere come buono e clicchiamo sul pulsante Autorizzazioni.

56

http://img367.imageshack.us/img367/9013/11rt5.jpg

http://img366.imageshack.us/img366/7656/12xw7.jpg


E' di fondamentale importanza sapere che all'interno di un servizio di fileservering esistono due tipi d'autorizzazioni: quelle di condivisione e quelle di protezione; ricordiamo sempre che le autorizzazioni più restrittive, distribuite nella condivisione o nella protezione, vincono sempre su quelle meno restrittive. Nel nostro caso vogliamo attribuire alle autorizzazioni di condivisione i permessi di everyone (cioè per tutti gli utenti del nostro dominio) ma in quelle di protezione vogliamo attribuire il solo accesso al gruppo Amministrazione, quindi essendo più restrittive (in questo caso) le autorizzazioni di protezione solo i membri del gruppo Amministrazione, cioè gli utenti Rossi, Verdi e Bianchi, potranno avervi accesso.Diamo quindi all'utente Everyone i permessi di modifica cliccando nella checkbox indicata dalla freccia rossa e procediamo premendo il tasto Ok.

Passiamo adesso alla scheda Protezione: il nostro dominio ha assegnato di default delle autorizzazioni, che però a noi non stanno bene in quanto non rispecchiano quello che vogliamo fare; quindi procediamo come segue, cioè premendo il tasto Avanzate.

57

http://img366.imageshack.us/img366/3127/13rs7.jpg


Verrà aperta una form più dettagliata dove possiamo eseguire operazioni più avanzate rispetto alla precedente; la prima cosa che possiamo notare è che i permessi di protezione della cartella Amministrazione, ereditano da quella padre, cioè C:, quindi dobbiamo subito togliere il checkbox riguardante la propagazione delle autorizzazioni ereditabili dall'oggetto padre.

Adesso rimuoviamo tutte le autorizzazioni legate alla cartella amministrazione premendo il tasto Rimuovi.

58

http://img367.imageshack.us/img367/2336/14ew2.jpg

http://img367.imageshack.us/img367/2135/15qm2.jpg


Ecco fatto ! Tutte le precedenti autorizzazioni sono state tole ed è rimasto solo l'utente Administrator che per buona norma è sempore meglio lasciare; Confermiamo premendo il tasto OK.

Come possiamo notare l'utente Administrator è rimasto ma le autorizzazioni NO, vedi elenco casella Consenti, quindi premiamo sul checkbox di Controllo Completo ed automaticamente tutte le altre autorizzazioni verranno spuntate automaticamente.

59

http://img367.imageshack.us/img367/4247/16sd9.jpg

http://img261.imageshack.us/img261/770/17ev8.jpg


Proseguiamo nel nostro lavoro premendo il tasto Aggiungi per dare le altre autorizzazioni.

Nella form che ci viene presentata adesso, che è identica a quella di assegnazione degli utenti al gruppo, invece di assegnare gli utenti Rossi, Biachi e Verdi, inseriamo

60

http://img367.imageshack.us/img367/1314/18nb9.jpg

http://img261.imageshack.us/img261/8528/19oo9.jpg


direttamente il gruppo di protezione appena creato, quindi scriviamo all'interno della textbox il nome del gruppo cioè Amministrazione e premiamo sul tasto Controlla Nomi.

Ecco che immediatamente il nostro dominio Active Directory si è accorto della presenza del gruppo, infatti la scritta Amministrazione è stata individuata e sottolineata, confermiamo premendo il tasto OK.

Adesso dobbiamo dare i permessi di modifica e di scrittura per il gruppo selezionato, quindi spuntiamo il checkbox Modifica, come indicato dalla freccia bianca del mouse e noteremo subito che anche i permessi di scrittura verranno flaggati automaticamente come mostra la freccia rossa.

61

http://img261.imageshack.us/img261/6333/20gd0.jpg

http://img261.imageshack.us/img261/9966/21nq7.jpg


Concludiamo il tutto premendo il tasto OK.

Per verificare se tutte le precedenti operazioni sono andate a buon fine, clicchiamo il pulsante Start --> Esegui e dentro la riga di comando scriviamo \\revserver (che è il nome del nostro server Windows Server 2003) e premiamo il tasto OK.

62

http://img366.imageshack.us/img366/4588/22hd5.jpg

http://img261.imageshack.us/img261/4646/24yk5.jpg


Come possiamo notare è stata creata la schare per la cartella Amministrazione alla quale solo i membri del gruppo Amministrazione potranno avervi accesso e quindi gli utenti Rossi, Verdi e Bianchi.

Script di logonIn questo paragrafo parleremo della procedura per creare tramite script di logon le unità di rete da distribuire a tutti od alcuni clients di dominio. Le unità di rete sono molto diffuse all'interno degli script di logon in quanto garantiscono una distribuzione genuina e precisa delle cartelle condivise che vanno distribuite agli utenti appartenenti a determinati gruppi di fileservering. Premesso quanto sopra, quando si hanno molti utenti di dominio e molti PC che devono appunto eseguire del fileservering, il nostro amministratore di rete può semplicemnete amministrare da questa procedura i dischi da mappare ad ogni singolo utente, invece di spostarsi fastidiosamente su ogni singolo client e mapparli localmente.Di seguito andremo quindi a distribuire all'utente Mario Rossi il disco di rete "O:\" che punta alla cartella condivisa chimata "Amministrazione" della quale l'utente citato possiede i diritti di lettura e scrittura.

Andiamo subito a vedere come:

63

http://img367.imageshack.us/img367/8290/25hp5.jpg


Facciamo click sul pulsante Start --> andiamo su Strumenti di amministrazione --> quindi scegliamo Utanti e Computer di Actve Directory

Clicchiamo sull'Unità organizzativa "Amministrazione" dove sappiamo che al sul interno risiede l'utente Mario Rossi, quindi sulla parte destra della nostra interfaccia selezioniamo con il tasto destro del mouse il nostro utente e scegliamo l'opzione Proprietà.

64




Andiamo sulla scheda Profilo e nella textbox relativa allo script d'accesso inseriamo il nome del nostro file chiamto Amministrazione.bat, quindi confermiamo premendo il tasto OK; ora possiamo chiudere la nostra interfaccia Active Direcory.

Fino a quì tutto facile... adesso dobbiamo creare il nostro file "Amministrazione.bat" nella sezione corretta del dominio ed al suo interno creare lo script.Vediamo come:

Premiamo il pulsante Start --> Esegui e dentro alla riga di comando scriviamo: \\revserver (che è il nome del nostro domain controller primario), quindi facciamo doppio click nella cartella SYSVOL.

65




Proseguiamo facendo doppio click nella cartella revhome.local

Facciamo doppio click sulla cartella scripts.

66




In una parte qualsiasi della finestra facciamo click con il tasto destro del mouse, quindi scegliamo Nuovo --> Documento di testo.

Verrà creato il file "Nuovo Documento di testo.txt" che noi dovremo rinominare in "amministrazione.bat"; essendo il tipo di estensione diversa da quella scelta, ci comparirà una form che ci avviserà che modificando l'estensione il file potrebbe non essere utilizzabile e ci chiederà conferma della modifica dell'estensione. Non preoccupiamoci e premiamo il tasto Sì.

67




Bene ! adesso che abbiamo creato il nostro file, dobbiamo editarlo per creare lo scrpit, quindi facciamoci click con il tasto destro del mouse e scegliamo l'opzione Modifica.

Dentro al nostro file scriviamo le seguenti sintassi:nella prima riga: "NET USE O: /DELETE" (con questo comando, se il client possiede già una unità di rete mappata localmente, gliela togliamo)nella seconda riga: "NET USE O: \\REVSERVER\AMMINISTRAZIONE" (con questo comando gli mappiamo l'unità di rete del disco O:\ che punta alla cartella Amministrazione).

68




Dal menù File scegliamo Esci...

... quindi salviamo le modifiche premendo il tasto Sì.

Eseguiamo ora il logon su qualsiasi client di dominio con l'utente Mario Rossi e...

69




...se entriamo in Risorse del Computer possiamo notare che ad esso gli è stata mappato il disco di rete O: che punta alla cartella Amministrazione su revserver.Se poi vogliamo che i nostri utenti più indisciplinati non abbiano più la possibilità di mappare localmente dischi di rete lo possiamo fare tranquillamente con una GPO che vi illustrerò nei prossimi paragrafi .

70

http://www.umts-italia.net/files/posted_images/user_18110_13.jpg


Profili utente

Quando un utente si connette in rete, Windows verifica se l’utente ha un profilo centralizzato. In caso positivo lo carica, diversamente carica il profilo default. I profili funzionano solo su macchine Windows in cui il file system è NTFS. Per gli altri sistemi operativi occorre creare l’ambiente utente attraverso uno script di logon, oppure con System Policy Editor. I profili non possono essere usati su macchine Unix, MS-DOS, WfW.

Vediamo di seguito come associare un profilo ad un utente o ad un gruppo.

Profili utente predefinito e locale

Quando si crea un utente, e non si specifica il profilo, Win2000/2003/XP crea per default il suo profilo sotto la cartella Documents and Settings del sistema locale a cui l’utente ha fatto accesso. Tale cartella rimane sempre visibile a tutti gli utenti che hanno l’accesso alla partizione in cui è installato il S.O. La creazione del profilo avviene quindi solo nel computer locale a cui l’utente è connesso e quando l’utente si connette per la prima volta. Il profilo assegnato all’utente è il profilo predefinito.

Il profilo utente permette di impostare l’ambiente di lavoro dell’utente, poiché contiene le impostazioni per il desktop e per i programmi.

L’utente infatti, nel caso in cui nel suo profilo vi sia il file Ntuser.dat può modificare le impostazioni; in tal caso al successivo collegamento troverà, sul computer locale, le impostazioni modificate.

Selezionando Pannello di controllo Sistema (Avanzate) Profili utente Impostazioni, si può vedere che l’utente creato senza la specifica del profilo è di tipo locale. La figura che segue mostra le fasi suddette.

Creazione della Home Directory dell’utente

L’Home Directory è una cartella a cui può accedere solo il proprietario della cartella stessa. Tale cartella viene visualizzata nelle Risorse del computer di una qualunque Workstation del Dominio a cui l’utente fa accesso e permette all’utente stesso di operare sui propri file memorizzati sul Server, senza sfogliare Risorse di rete. L’Home Directory ha quindi una posizione centralizzata sul server.

Per creare la Home Directory di un utente effettuare i seguenti passi:

1. Creare sul Server una cartella condivisa con accesso in condivisione ad Everyone (es: Utenti)

2. In Utenti e Computer di Active Directory (A.D.), selezionare l’utente a cui si vuole assegnare una Home Directory (es. Modello)

3. Ciccare con il Tasto destro del mouse (TD) su proprietà 4. Aprire la scheda Profilo 5. In Home Directory (potete trovare anche Cartella Principale) selezionare Z o un altro

volume disponibile ed immettere //nome server/cartella condivisa/%username% (es: //PC-10/Utenti/%username%)

71


La figura mostra la scheda Profilo con il caricamento della Home Directory.

Se l’account è un utente modello, copiando questo account, anche gli altri utenti avranno la Home Directory sotto la stessa cartella condivisa (es:Utenti), ma con il proprio nome.

Profilo utente itinerante o roaming

Questo profilo permette all’utente di avere sempre lo stesso ambiente di lavoro, a prescindere dal computer Windows a cui si collega. Anche a questo profilo viene associato il file Ntuser.dat, e pertanto può essere modificato dall’utente.

Per rendere un profilo roaming occorre che venga specificato in quale cartella del server è contenuto tale profilo. Infatti se questo non viene specificato, il sistema crea un profilo locale, sotto la cartella di sistema Documents and Settings, avente lo stesso nome dell’utente.

Per creare un account utente roaming fare i seguenti passi:

1. Creare sul Server una cartella condivisa con accesso in condivisione ad Everyone (es: Profili)

2. In Utenti e Computer di Active Directory (A.D.), selezionare l’utente a cui si vuole assegnare una Home Directory (es. Modello)

3. Ciccare con il Tasto destro del mouse sull’utente e scegliere Proprietà 4. Aprire la scheda Profilo

72


5. Nel box Profilo Utente immettere il nome del computer server che deve ospitare il profilo, il nome della cartella che deve contenere il profilo roaming (es:Profili) ed il nome della cartella che deve contenere il profilo dell’utente, secondo la seguente sintassi: //nome server/cartella condivisa/%username% ( es: //PC-10/Profili/%username%)

Il nome di quest’ultima cartella può coincidere con il nome dell’utente (es: Modello o %username%), se si vuole individuare facilmente il profilo dell’utente stesso. La cartella che contiene tutti i profili (es: Profili), deve essere condivisa, altrimenti il sistema non riuscirà a raggiungerla passando tramite il server, e pertanto in fase di connessione segnalerà "il tuo profilo non è roaming, il sistema ti sta assegnando il profilo locale"; un esempio valido è \\Pc-10\Profili\%username%. Ovviamente PC-10 è il nome del server

Se non si vuole condividere la cartella, nel box Profilo Utente occorre specificare il Path completo senza ricorrere alle risorse condivise, in tal caso un esempio valido è D:\Profili\%username% .La voce %username% assegna alla cartella che deve contenere il profilo utente, lo stesso nome dell'utente.

Completate queste operazioni il profilo diventa roaming. Per effettuare il controllo selezionare Pannello di controllo Sistema Avanzate Profili utente; si può vedere che l’utente creato con la suddetta procedura è di tipo roaming.

Profilo utente bloccato

Un profilo utente bloccato, è un profilo che non può essere modificato dall’utente, pertanto spesso si utilizza per assegnarlo a più utenti che necessitano della stessa configurazione. Anche se un utente modifica le impostazioni, alla successiva connessione troverà quelle originali.

Se l’utente non è bloccato, tutte le modifiche che egli apporta (per es. sulle proprietà dello schermo) vengono salvate in netuser.dat.

Per bloccare un profilo occorre modificare Ntuser.dat in Ntuser.man, nella cartella in cui si trova il profilo stesso. Questa cartella sarà Documents and Settings se il profilo è locale, oppure la cartella condivisa che contiene i profili (esempio Profili) se è roaming. Il file da rinominare è quello che ha l’icona di Windows.

Se si copia il profilo di un utente bloccato anche il nuovo utente sarà bloccato.

Se l’intervento viene effettuato sulla cartella che contiene un profilo comune a più utenti, allora tutti gli utenti il cui profilo punta a tale cartella avranno il profilo bloccato.

Profilo centralizzato-bloccato comune a più utenti

Questo profilo permette ad un gruppo di utenti di avere sempre lo stesso ambiente di lavoro, a prescindere dal computer a cui si collega. Le operazioni da fare differiscono da quelle necessarie nel caso di un singolo utente solo perché il profilo dell’utente modello deve essere mandatory.

Pertanto le operazioni da fare sono:

1. Connettersi come amministratore. 2. Creare e condividere una cartella (per esempio Profili). 3. Creare un nuovo utente modello (Modello) 4. Connettendosi con l’account dell’utente modello (Modello), modificare le impostazioni. 5. Disconnettersi e connettersi come amministratore.

73


6. Modificare Ntuser.dat in Ntuser.man.

7. Creare un gruppo locale (per esempio Proff) e aggiungere ad esso gli utenti. 8. Cliccare su Risorse del computer Proprietà. Verrà visualizzata la finestra Proprietà del

sistema. 9. Selezionare la scheda Profili e da qui scegliere l’account utente modello (Modello). Cliccare

su Copia in. 10. Nel box Copia Profilo in, digitare il nome del server, il nome della cartella condivisa (Profili)

ed il nome della cartella che dovrà contenere il profilo comune (per esempio ProfiloProf). Quest’ultima cartella come al solito può avere un nome qualunque.

11. Specificare quale gruppo deve utilizzare questo profilo: Nella finestra di dialogo Copia in, nel box Autorizzati ad usare fare clic su Cambia

12. Selezionare il gruppo che deve usare il profilo selezionato (per esempio Proff) e fare clic su OK. Viene visualizzato il gruppo che può utilizzare il profilo.

13. Selezionare tutti gli utenti appartenenti al gruppo, che devono avere il profilo dell’utente modello, e premere INVIO.

14. Nella scheda Profilo di ogni singolo utente digitare il nome del server, il nome della cartella condivisa (Profili) ed il nome della cartella che contiene il profilo del gruppo.

Tutti gli utenti del gruppo hanno adesso il profilo bloccato. Per effettuare modifiche a tutto il gruppo basta ora connettersi come amministratore e modificare il profilo comune che si trova nella cartella condivisa (\Profili\ProfiloProf), in quanto tutte le modifiche effettuate sul modello si ripercuoteranno su tutti gli utenti del gruppo.

Group Policy Object (GPO)

Regole computer e regole utente

Le Group Policy Object, chiamate comunemente anche GPO, sono delle impostazioni / restrizioni che possono essere impostate e comandate direttamente dai domain controller, primari e secondari, e che hanno effetto su tutti i clients appartenenti al nostro dominio.In questa prima parte parleremo della proibizione sulla modifica delle impostazioni di rete LAN; per un utente classificato di medio livello è abbastanza semplice manomettere tali impostazioni, specialmente se all'interno della struttura conosce i

74


dati base per poter navigare in internet: quindi server DNS e GATEWAY.In Windows Server 2003 il management è piuttosto complesso, per questo ci viene in aiuto un software, che Microsoft ha rilasciato già da diverso tempo, che si chiama "Group Policy Management". Partendo dal presupposto che abbiate già scaricato il suddetto software, andiamo subito a vedere come svolgere l'installazione del pacchetto ed a configurare la prima GPO della guida. Partiamo quindi con l'entrare nel nostro Windows Server 2003 che dovrà essere anche il domain controller primario (vedi figura sotto)

Come detto anticipatamente, partendo dal presupposto che abbiate già provveduto a scaricare il pacchetto e l'abbiate salvato sul desktop, eseguiamo l'installazione facendo doppio click sull'icona gpmc.msc

Come potrete notare dal messaggio del primo wizard, il software si è accorto che la lingua non corrisponde con quella del nostro sistema operativo ma dal momento in cui la versione è disponibile solo in inglese, procediamo ugualmente premendo il tasto SI.

75




Proseguiamo premendo il tasto Next

Selezioniamo il checkbox relativo al messaggio "I Agree" (vedi freccia rossa) e proseguiamo premendo il tasto Next.

76




Concludiamo l'installazione premendo il tasto Finish

Se andiamo su Start --> Strumenti di amministrazione noteremo subito che è apparsa la nuova icona chiamata Group Policy Management, quindi facciamoci click sopra

77




Ecco l'interfaccia: come potrete notare dalla figura abbiamo la nostra foresta, il nostro dominio e sotto una voce chiamata "Default Domain Policy"; questa è la GPO padre, ossia al suo interno ci sono caricate tutte le regole base per le impostazioni dei nostri client. Appena più sotto possiamo notare un'altra voce chiamata "Group Policy Object", questa è la cartella dove, oltre alla Default Domain Policy, ci saranno contenute tutte le GPO che andremo a creare.

Bene, adesso andiamo a creare la nostra GPO: facciamo click con il tasto destro del mouse sulla cartella Group Policy Object e selezioniamo New.

78





Inseriamo nella textbox il nome che vogliamo dare alla nostra GPO, in questo caso la chiameremo "Protezione rete" e proseguiamo premendo il tasto OK.

Ecco che possiamo notare che sotto la cartella Group Policy Object troviamo la nostra GPO appena creata; facciamoci click sopra con il tasto destro del mouse e selezioniamo la voce Edit.

Il nostro software di management delle GPO ha aperto in automatico l'editor oggetti criteri di gruppo ove sono contenute le regole che vogliamo imporre ai nostri client; come si nota dall'interfaccia vi sono 2 tipi di regole:- quelle a livello computer che sono gestite dalla cartella padre: Configurazione computer- quelle a livello utente che sono gestite dalla cartella padre: Configurazione utente

In questo esempio volgiamo che l'utente Mario Rossi creato nel nostro dominio, indipendentemente dal computer al quale si vorrà loggare, debba subire la regola

79




quindi la nostra GPO sarà a livello utente. Espandiamo allora la cartella Modelli amministrativi --> Rete, quindi posizioniamoci sulla cartella Connessioni di rete. Nel riquadro di destra abbiamo le regole che possiamo applicare, cerchiamo allora nell'elenco quella che fa al caso nostro, ossia quella chiamata "Proibisci l'accesso alle proprietà di una connessione LAN"; come possiamo notare lo stato della regola (colonna più a destra) è impostato su non configurato, quindi per il nostro dominio la regola non è applicata; quello che vogliamo fare e attivarla, quindi selezioniamola e facciamoci doppio click sopra.

Selezioniamo il checkbox ove indica la fraccia rossa, ossia su Attivata e premiamo il tasto OK.

80




Adesso dobbiamo entrare senza chiudere la finestra in utenti e computer di Active Directory per andare a spostare l'utente Mario Rossi in una unità organizzativa diversa da quella di default, quindi dalla cartella chiamata Users; selezioniamo allora il nostro dominio con il pulsante destro del mouse e scegliamo Nuovo --> quindi Unità Organizzativa.

Inseriamo nella textbox il nome che vogliamo dare alla nostra unità organizzativa, nel nostro esempio scriviamo Amministrazione presuponendo che l'utente Mario Rossi appartenga all'ufficio Amministrazione e confermiamo premendo il tasto OK.

Adesso andiamo nella cartella Users ove è contenuto il nostro utente, selezioniamolo tenendo premuto il pulsante sinistro del mouse e con il drag & drop trasciniamolo nella unità organizzativa appena creata chimata Amministrazione.

81




A questo punto il sistema ci avviserà che lo spostamento di oggetti in Active Directory potrebbe impedire il corretto funzionamento del sistema ma noi proseguiamo premendo il tasto Si.

Bene, verifichiamo che il nostro utente Mario Rossi si trovi all'interno della unità organizzativa chiamata Amministrazione come ci mostra la figura; a questo punto possiamo chiudere la finestra relativa ad utenti e computer di Active Directory.

82




Ok, siamo tornati nella finestra relativa alle nostre GPO e come possiamo notare anche al suo interno è apparsa l'unità organizzativa appena creata in utenti e computer di Active Directory (in caso la cartella non dovesse essere apparsa basterà semplicemente rinfrescare la from premendo con il pulsante destro del mouse sopra alla foresta e scegliere Aggiorna); Adesso facciamo click con il tasto deestro del mouse sulla unità organizzativa chimata Amministrazione ed andiamo ad assegnargli la GPO creata precedentemente scegliendo lìopzione Link An Exsisting GPO.

La form ci mostra l'elenco delle GPO esistenti tra le quali possiamo trovare anche quella creata chiamata "Protezione Rete"; selezioniamola e proseguiamo premendo il tasto OK.

83




Ottimo, come possiamo vedere sotto l'unità organizzativa chimata Amministrazione abbiamo la nostra GPO assegnata, come ci mostra la figura.Abbiamo finito, l'ultimo passo che ci resta da fare è decidere se la GPO dovrà essere assegnata automaticamente dal nostro dominio (l'aggiornamneto avviene ogni 90 min) oppure forzare la restrizione con il comendo apposito; dal momento che vogliamo appliocare subito il criterio procediamo premendo il tasto Start --> Esegui e dentro la riga di comando scriviamo: gpupdate /force.Andiamo su un qualsiasi client di dominio ed effettuiamo il logon con l'utente Mario Rossi.

Andiamo nelle connessioni di rete del client e facciamo clieck con il pulsante destro del mouse sull'icona relativa alla connessione di rete LAN e come possiamo ben notare da come evidenziato dalla freccia rossa la selezione delle Proprietà è disattivata.

impedire la modifica delle impostazioni di internet explorerin questo paragrafo guida andremo ad analizzare come poter impedire ad utenti di medio / alto livello la modifica delle impostazioni di Internet Explorer con il conseguente impedimento della modifica dei parametri di navigazione. Come ci mostra la figura sotto è molto semplice modificare questi parametri, specie se conosciamo la scheda "Connessioni" nelle opzioni del browser.

84




Se premiamo il tasto Impostazioni LAN avremo l'accesso diretto a diverse impostazioni

85

http://www.umts-italia.net/files/posted_images/user_18110_11_copia.jpg



Una delle più comuni è la conoscenza del server proxy che ci permette di navigare in rete.

Per prima cosa entriamo nel nostro Windows Server che dovrà essere anche il nostro domain controller principale e dal menù Start --> Esegui scriviamo dentro alla riga di comando gpmc.msc, come ci mostra la figura sotto.

Coma possiamo notare troveremo all'interno del gruppo l'unità organizzativa chimata Amministrazione creata nella guida precedente che possiede la GPO che restriziona le proprietà di rete.

86




Facciamo click con il tasto destro del mouse sulla unità organizzativa Amministrazione e scegliamo Create and Link a GPO Here; a differenza della guida precedente che indicava prima come creare la GPO e poi assegnarla successivamente all'unità organizzativa, questa nuova opzione ci permette di creare la nuova GPO e linkarla contemporaneamente evitandoci un passaggio in più.

Inseriamo il nome della GPO che vogliamo dare, in questo caso la chiameremo "Protezione Internet" e procediamo premendo il tasto OK.

Come possiamo notare la GPO è stata creata, adesso dobbiamo solo configurarla, 87





quindi facciamoci click con il tasto destro del mouse e scegliamo l'opzione Edit.

All'apertura della form dell'Editor degli oggetti di gruppo espandiamo Configurazione Utente --> Modelli amministrativi --> Componenti di Windows --> Internet Explorer e selezioniamo Pannello di controllo Internet. Spostiamoci ora sulla parte destra della form dove troviamo l'opzione Disattiva la scheda Connessioni e facciamoci doppio click sopra.

Attiviamo la regola selezionando il checkbox relativo ad Attivata e proseguiamo premendo il tasto OK.

88




Chiudiamo il nostro Editor oggetti di gruppo premendo la X in alto a destra del form.

Come possiamo notare, essendo tornati nella nostra interfaccia Group Policy Management, oltre al link della GPO sotto l'unità organizzativa Amministrazione, se espandiamo Group Policy Object, troviamo anche la reale GPO appena creata... tutto in un passaggio.

89




Entriamo ora loggandoci nel nostro client di dominio ed apriamo il browser Internet Explorer e dal menù Strumenti scegliamo Opzioni Internet.

Come potete ben vedere la scheda Connessioni non è più visibile e quindi non più configurabile, impedendo ogni accesso non consentito agli utenti furbetti.

90




Configurare un PRINTSERVER

Introduzione

Un piccolo ufficio può avere più utenti che condividono una stampante collegata direttamente alla rete dati, in questo tipo di ambiente ogni utente spesso agisce in qualità di amministratore di ogni singola macchina o vi è una sola persona che effettua gestione d'amministrazione in aggiunta alle loro altre responsabilità. Con un server esistente e non limitato al traffico di rete, una connessione diretta IP può essere il modo meno costoso per configurare e condividere una stampante.Alcuni uffici con le stampanti condivise possono già disporre di un computer che esegue Windows 2003 Server, che agisce come un server di stampa. Poiché la funzione di server di stampa è incluso come una parte di questi sistemi operativi, può essere opportuno prendere in considerazione la condivisione della stampante tramite il server di stampa piuttosto che la diretta connessione IP per contribuire a ridurre l'overhead amministrativo.Un grande ufficio può essere invece un gruppo di persone il cui lavoro principale è l'amministrazione del sistema e la cui responsabilità primaria è il mantenimento e il sostegno dell'organizzazione dei computer e dei dati di rete. Spesso nelle organizzazioni di queste dimensioni, gli utenti sono scoraggiati, se non sono vietati, ad installare o modificare la loro configurazione del computer. Strumenti di amministrazione e funzioni come la stampa, può essere di notevole vantaggio.L'utilizzo di connessioni dirette IP per condividere le stampanti possono essere sufficienti per le esigenze di stampa di un piccolo ufficio o in ufficio nel quale quelle configurazioni non sono abbastanza grandi, o è abbastanza complesso richiedere un apposito amministratore di sistema. Tuttavia, negli uffici in cui il personale è in aumento , probabilmente verrà il momento in cui la condivisione di stampanti che utilizzano un server di stampa, diventerà più efficace e meno complicato la condivisione utilizzando connessioni dirette IP. L'uso di un server di stampa per condividere e gestire le stampanti, offre molti vantaggi sia per l'utente finale sia per l'amministratore, come ad esempio il numero di utenti che cresce e può anche offrire un modo per evitare molti dei problemi incontrati con le connessioni dirette IP della

91



stampante.Questa guida descrive alcuni problemi che possono essere sperimentati se si condividono le stampanti tramite connessioni dirette IP delle stampanti, oltre che a descrivere alcune delle principali caratteristiche e vantaggi come utilizzare un server di stampa per gestire le stampanti condivise. Comprendere i vantaggi che può offrire un server di stampa, vi aiuterà a comprendere quale sarà la migliore delle due soluzioni.

Caratteristiche

Un server di stampa aiuta a ridurre la mole di lavoro amministrativo e la gestione locale, centralizzando la gestione delle stampanti in remoto sull server di stampa; semplifica, inoltre, molte delle funzioni di di lavoro intenso da parte degli utenti quando si utilizzano connessioni dirette IP della stampante. Questa sezione descrive le principali caratteristiche del server di stampa e dei loro benefici per l'amministratore e l'utente finale.

Point and Print

Point and Print permette ad un utente di creare una nuova connessione a una stampante condivisa, senza richiedere all'utente di installare alcun software per la stampante.Inoltre, il Point and Print può aiutare ad evitare problemi di sicurezza, perché gli utenti non hanno bisogno di accedere alle loro macchine, al fine di installare il software per una nuova stampante. Point and Print installa il software sulla macchina automaticamente senza preoccuparsi che l'utente abbia l'accesso al computer come amministratore.

Gestione delle code di stampa

Un server di stampa facilita la gestione delle code di stampa, supporta il controllo delle prestazioni, e consente la definizione delle priorità e la programmazione di posti di lavoro nella coda di stampa.

Definizione delle priorità

Il server di stampa consente inoltre la priorità nei lavori di stampa; i lavori e le code di stampa possono essere assegnati in modo che quelli più critici vengono stampati prima rispetto a quelli meno critici. L'amministratore può stabilire una diversa priorità predefinita per ogni coda di stampa. Gli utenti che definiscono una priorità inferiore, evitando così disagi ad una più elevata priorità di stampa. La gestione della coda consente inoltre agli utenti di pianificare i lavori di stampa al momento più conveniente, consentendo in tal modo un uso più efficiente delle risorse.

Installazione e Configurazione

Lato server

In questa guida abbiamo a disposizione un Server Windows 2003 installato in lingua inglese e già configurato come printserver, perciò andremo semplicemnete a vedere cosa occorre predisporre per preparare la macchina al ruolo di printserver ed aggiungere la condivisione di una stampante ad un elenco di stampanti già presenti sul server.

92


Clicchiamo il pulsante Start --> Programmi --> Strumenti di amministrazione, quindi scegliamo Servizi

Scorriamo l'elenco fino a trovare il servizio Print spooler, verifichiamo che il suo stato sia impostato su automatico e sia avviato; se così non fosse esercitiamo pressione sui tasti evidenziati dal cerchio rosso per avviare il servizio.

93




Ora cliecchiamo nuovamente sul pulsante Start --> Settings, quindi scegliamo Stampanti e Fax

Dall'elenco di stampanti già installate andiamo a creare una nuova condivisione per una nuova stampante, quindi premiamo Aggiungi stampante dove ci mostra il cerchio rosso

94




A questo punto partirà il wizard che ci guiderà alla creazione della nuova stampante, proseguiamo premendo il tasto Avanti

Selezioniamo, come ci mostra la freccia rossa, Stampante locale agganciata a questo computer, quindi premiamo il tasto Avanti

95




Scegliamo l'opzione Crea una nuova porta, come ci mostra la freccia rossa, quindi apriamo la combobox e scegliamo Standard TCP/IP prt come indicato dalla freccia verde

Proseguiamo premendo il tasto Avanti

96




Ora partirà un secondo wizard relativo alla creazione della porta del protocollo, procediamo premendo il tasto Avanti

Inseriamo nella textbox indicata dalla freccia rossa l'indirizzo IP della stampante precedentemente configurato su essa, quindi premiamo il tasto Avanti

97




Concludiamo il primo wizard premendo il tasto Fine

Adesso il sistema ci chiede di inserire il driver della nostra stampante, se sappiamo a priori che il modello è presente nell'eleco di default di Windows, andiamo a selezionare il produttore ed il modello, altrimenti se il driver è stato fornito con un CD d'installazione o è collocato in rete, premiamo il pulsante Have Disk...

98




Premiamo il tasto Browse per definire il percorso nel quale si trova il nostro driver

Selezioniamo il drive del CD o un percorso di rete, quindi premiamo il tasto Open

Clicchiamo sul tasto OK

99





Selezioniamo il modello della nostra stampante, in quanto sappiamo che molti driver supportano anche più modelli, quindi premiamo il tasto Avanti

Se il driver della nostra stampante si trova già nel sistema operativo è consigliabile mantenere il driver scegliendo il checkbox indicato dalla freccia rossa; se invece vogliamo aggiornare o sostituire il driver scegliamo il checkbox indicato dalla freccia verde e concludiamo premendo il tasto Avanti

100




Ora inseriamo nella textbox indicata dalla freccia rossa il nome della nostra stampante di rete, facendo attenzione a non utilizzare nomi già esistenti se vi sono altre stampanti configurate in quanto il sistema non gestisce i nomi uguali, quindi premiamo il tasto Avanti

Selezioniamo il checkbox indicato dalla freccia rossa per condividere la nostra stampante ed inseriamo nella textbox indicata dalla freccia verde il nome di condivisione che vogliamo assegnare e concludiamo premendo il tasto Avanti

101




E' assolitamente consigliato inserire nella textbox indicata dalla freccia rossa la Locazione, dove per locazione generalmente si intende l'ufficio di ubicazione, questo ci tornerà molto utile quando sui clients andremo a cercare la stampante; procediamo premendo il tasto Avanti

Eseguiamo il test della pagina di prova per vedere se la nostra installazione è andata a buon fine selezionando il checkbox indicato dalla freccia rossa e premiamo il tasto Avanti per proseguire

102




Concludiamo il wizard premendo il tasto Fine

Come possiamo notare la nostra stampante è stata installata con successo ed è ora visibile nell'elenco delle stampanti, come ci mostra il cerchio rosso

Attenzione: potrebbe anche succedere che il servizio dhcp del server abbia distribuito alla nostra stampante un indirizzo precedentemente utilizzato da un'altra periferica, il quale è rimasto registrato nei DNS (Domani Name Services), specialmente se la stampante che stiamo installando è la sostituzione di un'altra; in questo caso avremo durante la fase d'installazione, in fase di digitazione dell'indirizzo IP, il seguente errore.

103




La porta è già in uso ! Nessuno problema, premete il tasto OK sul messaggio d'errore

Dopo essere usciti dal wizard andate nell'elenco delle stampanti e èremete il tasto Proprietà Server indicato dal cerchio rosso

104




Andate nella scheda Porte indicato dalla freccia rossa ed identificate l'indirizzo IP che deve essere presente nella lista indirizzi, quindi selezionatelo e premete il tasto Cancella Porta

Confermate premendo il tasto Si e se tutto va bene otterrete la liberazione della porta.

105




Concludete premento il tasto Chiudi

In alcuni casi invece potreste imbattervi nel seguente errore, ossia il sistema non vi permette l'eliminazione della porta in quanto essa è ancora in uso. In tal caso premete il tasto OK, Riavviate il server e ripete sia l'eliminazione della porta che l'installazione della stampante.

Lato client

Ora abbiamo la nostra stampante correttamente configurata ed installata sul nostro PRINTSERVER, vediamo cosa fare sui clients

106




Dal client premiamo il pulsante Start e selezioniamo Stampanti e fax

Clicchiamo su aggiungi stampante come indicato nel cerchio rosso

107




Una volta partito il wizard premiamo il tasto Avanti

Ora selezioniamo, come ci mostra la freccia rossa, Stampante di rete o collegata a un altro computer, quindi procediamo premendo il tasto Avanti

108




Selezioniamo il chekbox indicato dalla freccia rossa Cerca una stampante in Active Directory, quindi premiamo il tasto Avanti

Premiamo il tasto Trova

109





Dopo qualche istante si aprirà l'elenco delle stampanti configurate sul nostro PRINSERVER, individuiamo la nostra stampante appena creata sul server, indicata dalla freccia rossa e premiamo il tasto OK

Ora decidiamo se la stampante che vogliamo installare dovrà essere impostata come la nostra stampante predefinita (checkbox dentro al cerchio rosso) e procediamo premendo il tasto Avanti

Concludete il wizard premendo il tasto Fine

110




Ecco la nostra stampante correttamente configurata sul nostro client, nessuna richiesta d'installazione di driver, nessuna preoccupazione di gestione delle stampe, Pensa a tutto il server

111



Windows Server Update Services (WSUS)

Microsoft Windows Server Update Services, comunemente chiamato in termine informatico WSUS è la soluzione gratuita per la gestione degli aggiornamenti che consente agli amministratori di rete di tenere aggiornati i prodotti su piattaforma Microsoft aumentando la sicurezza del proprio ambiente di rete e riducendo la superficie d’attacco da virus e worms che sfruttano le vulnerabilità di protezione.Ma non solo ! Permette all'interno di una struttura aziendale di risparmiare notevolmente tempo e denaro ed evita sopratutto rallentamenti della rete internet perchè gli aggiornamenti sono scaricati una volta sola dal nostro server su cui è installata la piattaforma WSUS, evitando che ogni clients di dominio si scaricarsi aggiornamenti identici tra loro.Infatti se all'interno del nostro dominio abbiamo clients di uguale struttura a livello di sistema operativo, i clients scaricheranno esattamente gli stessi aggiornamenti rilasciati da Microsoft provocando un notevole traffico sulla rete internet, provocando inutili rallentamenti di navigazione.Con WSUS possiamo stabilire l'orario (preferibilmente notturno) di sincronizzazione con Windows Update, scaricare gli aggiornamenti e decidere come e quando distribuirli ai nostri clients di dominio.

In WSUS, successore di Software Update Services (SUS), sono state introdotte alcune caratteristiche per facilitare e migliorare la distribuzione degli aggiornamenti.

Tra queste:

Selezione degli aggiornamenti

WSUS rispetto a SUS, che consentiva solo di scegliere la lingua degli aggiornamenti da scaricare, permette di scegliere la piattaforma ed il tipo di aggiornamenti scaricabili durante il processo di sincronizzazione.

Supporto di più prodotti Microsoft rispetto a SUS

Nella fase iniziale WSUS oltre agli aggiornamenti per Windows 2000/XP Pro/2003 supporta anche Office XP, Office 2003, Microsoft SQL Server 2000, Microsoft SQL Server Desktop Engine (MSDE), Microsoft Exchange Server 2003, Isa Server 2004, Windows Defender. Microsoft ha intenzione di allargare il supporto anche ad altri suoi prodotti.

Client Targeting

WSUS offre la possibilità di creare gruppi di computer e di popolarli con i computer appropriati così da poter distribuire gli aggiornamenti tra i vari gruppi in modo mirato e indipendentemente.

Reports migliorati

I miglioramenti introdotti consentono di monitorare le varie attività del server WSUS

112

http://www.umts-italia.net/files/posted_images/user_18110_logo_wsus.gif


come lo stato degli aggiornamenti, l’attività di sincronizzazione, quali aggiornamenti sono richiesti dai computer, ecc.

Disinstallazione delle patch

WSUS consente la disinstallazione degli aggiornamenti a condizione che supportino tale caratteristica.

Componenti

Windows Server Update Services – Componente server

La parte server è basata sulla tecnologia del sito Microsoft Update da cui scarica gli aggiornamenti disponibili per distribuirli ai client o ad eventuali server WSUS subordinati in ambienti dove c’è l’esigenza di distribuire più server WSUS. La gestione del componente server viene effettuata attraverso un’interfaccia Web che permette di configurare la sincronizzazione degli aggiornamenti dal sito Microsoft Update , di approvare gli aggiornamenti da distribuire, il tipo di localizzazione degli aggiornamenti da sincronizzare, ed altre impostazioni.

WSUS client – Componente client

La parte client è una versione di Aggiornamenti automatici compatibile con WSUS che consente ai computer di scaricare gli aggiornamenti e comunicare con il proprio server. Windows XP service pack 2 e Windows Server 2003 Service Pack 1 contengo già il WSUS client mentre per gli altri client supportati è sufficiente connetterli ad un server WSUS in modo che aggiornino la versione di Aggiornamenti automatici con quella compatibile tramite la funzionalità client self-update.

Self-update, Windows XP e WSUS

WSUS client supporta i seguenti sistemi operativi:

- Windows 2000 Service Pack 3 e successivi- Windows XP e successivi- Windows Server 2003 e successivi

Questi sistemi operativi eseguono una versione di Aggiornamenti automatici che supporta la funzionalità di self-update.Quando un computer che supporta self-update si connette a Microsoft Update o ad un server interno per scaricare gli aggiornamenti controlla anche se esiste una nuova versione di Aggiornamenti automatici e se presente la installa.Windows XP senza service pack ha una versione di Aggiornamenti automatici che non supporta la caratteristica di self-update quindi se si hanno computer con Windows XP senza service pack e che non hanno mai usato SUS è necessario installare il SUS client per abilitare questa funzionalità.Dopo aver installato il SUS client sarà sufficiente far puntare questi computer ad un server WSUS ed il client Aggiornamenti automatici verrà aggiornato alla versione compatibile con WSUS.

Prefazione all'installazione di WSUS

L’installazione di WSUS può essere effettuata su una macchina con Windows 2000 SP4 o Windows 2003 ed è una procedura semplice guidata da un wizard.

113


Prima di passare all’installazione vale la pena elencare alcune linee guida nella preparazione del disco fisso per l’installazione di WSUS.

Preparazione disco

- La partizione di sistema e la partizione dove viene installato WSUS devono essere formattata utilizzando NTFS come file system.- Minimo 1 GB di spazio libero per la partizione di sistema.- Minimo 6 GB di spazio libero per il volume dove viene installato WSUS, Microsoft consiglia 30 GB.- Minimo 2 GB di spazio libero nel volume in cui viene installato Windows SQL Server 2000 Desktop Engine (WMSDE).

Scelta di un database per WSUS

WSUS scarica gli aggiornamenti dal sito Microsoft Update, gli aggiornamenti consistono in due componenti:

- L’aggiornamento stesso che viene distribuito ed installato dai client.- Il metadata che descrive l’aggiornamento, incluso il nome, la data di rilascio, il numero di revisione, a quali prodotti si applica e se richiede il riavvio della macchina.

Il metadata viene archiviato nel database dedicato al server WSUS dove vengono archiviate le impostazioni di configurazione del server WSUS, quali client richiedono gli aggiornamenti, quali aggiornamenti sono stati approvati, lo stato di installazione di ogni aggiornamento su ogni client ed alcune informazioni di inventario.

Ogni server WSUS richiede il suo database, i seguenti database sono stati testati per l’utilizzo con WSUS:

- Microsoft Windows SQL Server 2000 Desktop Engine (WMSDE), che è incluso con WSUS, ed installabile solo su Windows 2003.- Microsoft SQL Server 2000 Desktop Engine (MSDE), utilizzare questo database quando si installa WSUS su una macchina Windows 2000. MSDE rispetto a WMSDE ha alcune limitazioni riguardo alle performance ed alla dimensione del database (max 2 GB). Sia WMSDE che MSDE sono gratuiti.- Microsoft SQL Server 2000, è la soluzione completa di gestione per i database Microsoft. WSUS supporta SQL Server 2000 con Service Pack 3.

In questa guida vedremo l'installazione su Windows 2003Per una corretta installazione vediamo quali sono i requisiti software:

- Internet Information Services 6 (IIS6) installabile tra i componenti di Windows Server 2003 - Dot Net Framework 2 scaricabile da Devi essere registrato per poter vedere questo link- Microsoft Management Console 3 (MMC3) scaricabile da Devi essere registrato per poter vedere questo link- L'applicativo WSUS 3 scaricabile da Devi essere registrato per poter vedere questo link- La modifca di alcune GPO per inserire i nostri client all'inteno di una unità organizzativa gestita da WSUS

Iniziamo l'installazione vera e propria, partendo dal presupposto di essere già in 114


possesso dei componenti sopra citati, quindi procediamo come segue:

Installazione di Internet Information Services

Dal nostro server premiamo su Start --> Pannello di controllo --> Installazione applicazioni

Ora premiamo in tasto relativo ad Installazioni componenti di Windows

115




Scorriamo l'elenco dei nostri componenti e selezioniamo la voce Server applicazioni, quindi premiamo il tasto Dettagli

Spuntiamo il checkbox relativo a Internet Information Services (IIS) e verifichiamo che automaticamente venga selezionato anche la voce "Abilita l'accesso COM+ alla rete", quindi procediamo premendo il tasto OK.

116




Procediamo il nostro wizard premendo il tasto Avanti

Concludiamo premendo il tasto Fine.

Installazione di Dot Net Framework 2

117




Eseguiamo doppio click sul file dotnetfx.exe ed attendiamo la partenza del wizard

Procediamo premendo il tasto Avanti

118




Spuntiamo il checkbox relativo ad Accetto i termini del contratto di licenza Microsoft, come indicato dalla freccia rossa, e proceidamo premendo il tasto Avanti

Pazientiamo ancora qualche decina di secondi per lasciare al programma l'installazione dei suoi componenti

119




Infine terminiamo la nostra installazione premendo il tasto Fine

Installazione di Microsoft Management Console 3

Dopo aver eseguito doppio click sul file scaricato es essersi aperto il nostro wizard, procediamo come segue

Premiamo il tasto Avanti

120




Accettiamo il contratto di licenza Micosoft spuntando il checkbox relativo, come indicato dalla freccia rossa e proseguiamo premento il tasto Avanti

Terminiamo premendo il tasto Fine

Installazione di WSUS3 + SP1

121




Eseguiamo doppio click sul file WSUSSetup_30SP1_x86.exe scaricato dal link indicato precedentemente, ed attendiamo la partenza del wizard

Proseguiamo premendo il tasto Avanti

122




Selezioniamo il tipo di installazione di WSUS da eseguire scegliendo il checkbox relativo a "Installazione server completa inclusiva di console di amministrazione" e proseguiamo premendo il tasto Avanti

Accettiamo i termini del contratto di licenza Microsoft selezionando il checkbox indicato dalla freccia rossa e procediamo premendo il tasto Avanti

123




Il wizard si accorgerà che il componente Microsoft Report Viewer Redistributable non è installato e quindi ci segnalerà che senza questo componente non sarà possibile utilizzare l'interfaccia utente.Ci avviserà inoltre che l'installazione sarà possibile anche dopo aver installato WSUS.In realtà questo non è vero nel senso che più avanti ci accorgeremo che solo la sezione report non sarà disponibile, e che se ci interesserà potremo installare anche la caratteristicaProcediamo premendo il tasto Avanti

Adesso selezioniamo l'origine degli aggiornamenti, quindi premiamo il checkbox relativo a "Archivia aggiornamnti in locale" e lasciamo il percorso indicato di default "C:\WSUS" e prosegioemo premendo il tasto Avanti

124




Settiamo le opzioni del database scegliendo come indicato dalla freccia rossa "Installa il database interno di Windows in questo computer", lasciamo anche invariato nella textbox il percorso e procediamo premendo il tasto Avanti

Selezioniamo le preferenze del sito web lasciando il check su "Usa il sito web predefinito di IIS esistente e procediamo premendo il tasto Avanti

125




A questo punto inizierà l'installazione vera e propria di WSUS3, procediamo premendo il tasto Avanti

Poniamo particolare attenzione ai punti 1, 2 e 3 indicati della form e proseguiamo premendo il tasto Avanti

126




Deselezioniamo il checkbox relativo alla partecipazione al programma Analisi utilizzo di Microsoft Update e procediamo premendo il tasto Avanti

Ora decidiamo il server padre dal quale sarà possibile sincronizzare gli aggiornamenti, quindi scegliamo il checkbox relativo all'opzione "Sincronizza da un altro server di WSUS" come ci mostra la freccia rossa e nelle textbox sottostanti inseriamo il nome del nostro server e la porta utilizzata, come ci mostra la figura e procediamo premendo il tasto Avanti

127




Se all'interno del nostro dominio siamo in possesso di un server proxy dobbiamo settare le credenziali, altrimenti lasciamo la form come mostra la figura e proseguiamo premendo il tasto Avanti

Adesso premiamo il tasto Avvia Connessione per consentire di scaricare le informazioni di aggiornamento di Microsoft Update dal server padre ed attendiamo la fine della procedura

128




Ultimata la sincronizzazione premiamo il tasto Avanti

Adesso decidiamo in base alla struttura dei clients del nostro dominio in quali lingue vogliamo scaricare le patch, se siamo in una struttura mista dobbiamo settare più lingue, se invece i nostri client sono tutti in Italiano e sufficente lasciare il check solo sulla lingua Italiano.Una volta scelto le lingue procediamo premendo il tasto Avanti

129




Ora decidiamo i prodotti per i quali vogliamo scaricare gli aggiornamenti, quelli che consiglio sono indicati nelle 2 figure appena mostrate.Continuamo premendo il tasto Avanti

130




Scegliamo adesso le classificazioni dei prodotti degli aggiornamenti da sincronizzare, quelli consigliati sono indicati in figura e proseguiamo premendo il tasto Avanti

Nella figura sopra come esempio ho utilizzato una sincronizzazione manuale ma il consiglio è quello di un utilizzo di una configurazione al giorno.Procediamo premendo il tasto Avanti

131




Concludiamo la nostra installazione premendo il tasto Fine senza avviare nè l'avviamento della Console, nè l'avvio di sincronizzazione in quanto prima bisogna settare le GPO per abilitare i clients all'utilizzo del WSUS.

Modifica delle GPO per inserire i nostri clients all'interno di una unità organizzativa gestita da WSUS

Entriamo nell'applicativo Group Policy Management (verificando prima di avere installato l'applicativo; per eseguire l'installazione di Group Policy Management fate riferimento a Devi essere registrato per poter vedere questo link guida) dagli strumenti di amministrazione oppure digitando più semplicemente Start --> Esegui e dentro la riga di comando scrivete: gpmc.msc

Dalla nostra interfaccia premiamo click con il tasto destro del mouse sul nostro 132




dominio e selezioniamo l'opzione "New Organizational Unit"

Inseriamo nella textbox il nome che vogliamo assegnare, in questo caso scriveremo "WSUS", quindi proseguiamo premendo il tasto OK.

Ora selezioniamo con il tasto destro del mouse l'unità organizzativa appena creata e scegliamo l'opzione "Create and Link a GPO Here..."

Ora inseriamo nella textbox il nome della policy che vogliamo attribuire, in questo caso chiamiamola per semplicità con lo stesso nome della nostra unità organizzativa, quindi "WSUS"

133





Selezioniamo con il tasto destro del mouse la nostra policy e scegliamo l'opzione Edit

Una volta entrati nell'edito oggetti criteri di gruppo espandiamo Configurazione Computer --> Modelli amministrativi --> Componenti di Windows e selezioniamo Windows Update come ci mostra la freccia rossa.Nella parte sinistra della nostra interfaccia iniziamo a configurare le policy e cominciamo facendo doppio clieck sulla GPO Configura aggiornamenti automatici.

134




Cominciamo con attivare la GPO come ci mostra la freccia rossa, quindi settiamo le 3 opzioni:

- decidiamo come configurare il tipo di aggiornamento automatico scegliendo la voce dalla combobox "3 - Download ed avviso installazione come indicato dalla freccia verde- decidiamo il giorno pianificato per l'installazione scegliendo la voce "0 - Tutti i giorni" come indicato dalla freccia blu- decidiamo l'orario pianificato per l'installazione scegliendo la voce "03.00" come indicato dalla freccia arancione

Confermiamo il tutto premendo il tasto OK

135



Ora eseguiamo doppio click sulla GPO "Specifica il percorso del servizio di aggiornamento Microsoft nella rete Intranet"

Attiviamo la GPO come indicato dalla freccia rossa, poi inseriamo nelle textbox successive il nome del nostro server intranet e la porta utilizzata, quindi inseriamo come ci mostrano le freccie arancione e verde.Proseguiamo premendo il il tasto OK

136




Terza ed ultima GPO da settare è quella relativa all'impostazione ai non amministratori di ricevere le notifiche di aggiornamento, quindi facciamo doppio click sulla GPO ed attiviamola nel modo standard

Entriamo adesso in Utenti e computer di Active Directory ed andiamo nella sezione di sinistra cliccando sulla voce Computers; nella parte destra troviamo l'elenco dei clients del nostro dominio, selezioniamone uno a caso come esempio e con il drag & drop trasciniamolo sotto l'unità organizzativa WSUS

137




Solito messaggio di avviso, proseguiamo premendo il tasto SI

Come prova se tutto quello che abbiamo eseguito è corretto, entriamo nel nostro client e con il tasto destro del mouse clicchiamo su Risorse del computer --> scheda Aggiornamenti automatici, noteremo subito che la parte dei settaggi relativa proprio agli aggiornamenti automatici è tutta disattivata, o meglio non più modificabile, perchè adesso è gestita da WSUS

Perfetto ! Ora possiamo passare alla nostra applicazione

138




Eseguiamo Start --> Strumenti di amministrazione --> e scegliamo WSUS3 SP1

Cominciamo ad analizzare la nostra piattaforma e partiamo dalla sezione Tutti gli aggiornamenti; nella parte sinistra abbiamo l'elenco degli aggiornamenti precedentemente scelti durante l'installazione, mentre nella parte destra in alto troviamo l'elenco di tutti gli aggiornamenti scaricati dopo la sincronizzazioneLa cosa più importante è osservare lo stato dell'aggiornamento, ossia quello che ci mostra la freccia rossa; fino a quando un aggiornamento non è approvato, i nostri client non subiranno alterazioni.Nella parte centrale bassa troviamo i dettagli sull'aggiornamento selezionato.

139




140





Scendendo più in dettaglio possiamo trovare una distinzione degli aggiornamenti in base ai criteri scelti durante l'installazione, cioè:

- Elenco aggiornamenti ad alta priorità- Elenco aggiornamenti della protezione- Elenco aggiornamenti di WSUS

Spostandoci ancora più in basso espandiamo la voce Computers quindi tutti i compuetrs es infine selezioniamo Computer non assegnati e controlliamo nella parte centrale in alto che sia presente il nostro client che abbiamo deciso di assegnare all'unità organizzativa WSUS all'interno di AD

Passiamo ora alla cartella Sincronizzazioni; come precedentemente anticipato la sincronizzazione serve per registrare i client di dominio all'interno del WSUS, nonchè gli aggiornamenti da scaricare; è sufficente premere il tasto Sincronizza indicato dalla dreccia rossa ed attendere che il nostro WSUS scarichi gli aggiornamnti e sincronizzi i client.

141




A fine sincronizzazione ultimata basta verificare nella parte centrale bassa se lo stato della sincronizzazione è andato a buon fine, come ci mostra le freccie blu.

Continuamo a scendere passando ora alla cartella Rapporti che, come precedentemente indicato durante l'installazione, per poter usufruire di tale servizio è indispensabile installare Microsoft Report Viewer 2005 Redistributable

Infine concludiamo con la cartella Opzioni che non sto a illustrare più di tanto in quanto le opzioni sono quasi tutte settate durante l'installazione ma che sono comunque modificabili nella sezione indicata.

Vediamo ora come rilasciare degli aggiornamenti ai nostri client:

142




Prendiamo un aggiornamento qualsiasi e facciamoci click con il tasto destro del mouse, quindi scegliamo Approva

Ora indichiamo in quale gruppo vogliamo approvare l'installazione, facciamo click con il tasto sinistro del mouse e scegliamo Approvato per l'installazione

143




Se il nostro risultato è la figura sopra riportata vuol dire che la nostra patch è stata rilasciata correttamente, quindi procediamo premendo il tasto OK

Il nostro aggiornamento è stato rilasciato con successo, quindi premiamo il tasto Chiudi

144





Come possiamo notare dalla figura sopra riportata lo stato dell'aggiornamento è passato da approvare ad Installa, come ci mostra la freccia rossa.Particolare attenzione va riporatata su eventuali notazioni sullo stato dell'aggiornamento e sui dettagli dell'aggiornamento come ci indicano le frecce blu; in queste informazioni possiamo trovare note importanti come ad esempio se il tipo di aggiornamento richiede il riavvio del client.

Come ci mostra la figura sopra si possono rilasciare anche più di un aggiornamento alla volta, basta tenere premuto il tasto shift come in una normale selezione di files

Come possiamo notare nel giro di qualche decina di minuti il nostro client ha ricevuto gli aggiornamenti dal nostro WSUS

145




Replica Dei Domain Controllers

In un dominio Windows Server 2003 Active Directory con più Domain Controller è indispensabile che i DC siano perfettamente replicati e sincronizzati tra loro.Benchè questa sia una operazione assolutamente automatica, vi sono alcune cause che possono compromettere la replica, una delle più frequenti è l'errata configurazione dell'orario.

Tuttavia la mancata sincronizzazione può portare i diversi Domain Controller a funzionare autonomanete creando incongruenze molto pericolose in quanto i computer del dominio non riconoscono più con quale DC parlare.Ma la cosa ancora più grave è che una volta entrato in gioco questo meccanismo, l'unico modo per aggiustare la situazione è la Sincronizzazione manuale

In questa guida vedremo quindi come replicare 2 Domain controller (MAILSERVER = DC1 e DATASERVER = DC2) manualmente riportando la situazione nelle condizioni ottimali per il dominio.

Dal nostro DC1 premiamo il pulsante Start --> Programmi --> Strumenti di Amministrazione --> Siti e Servizi di Active Directory

146

http://www.umts-italia.net/files/posted_images/user_18110_dc.jpg



Espandiamo la struttura della cartella Sites come indica la freccia rossa

Espandiamo ancora la struttura relativa al nome della foresta come indica la freccia rossa

147




Espandiamo ancora la struttura della cartella Servers come indica la freccia rossa

Ora espandiamo la struttura relativa al nome del server DC2, che nel nostro caso si chiama DATASERVER

148




Selezioniamo con il pulsante sinistro del mouse il servizio NTDS Settings

Spostiamoci sulla perte destra della nostra form e selezioniamo con il pulsante destro del mouse il nome del server, quindi scegliamo l'opzione Replica ora

Fatto attendiamo solo il completamento dellla nostra operazione

I meccanismi della replicaAi fini di questi esempi, discuteremo solo della replica tra siti. Fondamentalmente, la replica tra siti è stata progettata per replicare rapidamente le modifiche ai controller di dominio all'interno dello stesso sito e viene eseguita utilizzando la notifica delle modifiche. Nel caso di replica tra siti DC1 informerà DC2 che dispone delle modifiche da replicare e DC2 richiamerà tali modifiche da DC1. Allo stesso modo, DC2 informerà DC1 quando dispone di alcune modifiche e DC1 richiamerà tali modifiche da DC2. Come si può notare, tutta la replica di Active Directory ha luogo nelle operazioni pull e non push.

149




Poiché Active Directory è in grado di garantire una scalabilità che consente di supportare centinaia di migliaia o persino di milioni di oggetti, è necessario suddividere il database di Active Directory in sezioni, definite contesti di denominazione. Ogni controller di dominio memorizza minimo tre contesti dei nomi nella copia locale del database di Active Directory.Contesto dei nomi dello schema Questo contesto dei nomi viene replicato in tutti gli altri controller di dominio nell'insieme di strutture e contiene informazioni sullo schema di Active Directory, che a sua volta definisce diverse classi e attributi dell'oggetto in Active Directory.Contesto dei nomi della configurazione Replicato anche in qualsiasi altro controller di dominio nell'insieme di strutture, questo contesto dei nomi contiene informazioni sulla configurazione a livello dell'insieme di strutture relative al layout fisico di Active Directory, nonché informazioni sugli identificatori di visualizzazione e sulle quote di Active Directory a livello dell'insieme di strutture.Contesto dei nomi del dominio Questo contesto dei nomi viene replicato in tutti gli altri controller di dominio all'interno di un solo dominio di Active Directory. Si tratta del contesto dei nomi che contiene i dati di Active Directory utilizzati più di frequente: utenti, gruppi, computer correnti, nonché altri oggetti che si trovano all'interno di un determinato dominio di Active Directory.Per ottimizzare al meglio il traffico di replica, i contesti dei nomi vengono replicati separatamente in modo che un contesto dei nomi che si modifica raramente, come il contesto dei nomi dello schema, non sottragga la larghezza di banda necessaria per il contesto dei nomi del dominio, che sembra cambiare più frequentemente.Poiché è possibile apportate modifiche alla directory da qualsiasi controller di dominio di Active Directory, sono disponibili due operazioni di scrittura delle quali la replica di Active Directory deve tenere traccia. Un tipo è rappresentato dalle scritture di origine, ovvero quando una particolare modifica è stata apportata direttamente in un controller di dominio particolare. Ad esempio, se si effettua la connessione a DC1 e si modifica la password di un utente, tale modifica viene considerata una scrittura di origine su DC1. È necessario, inoltre, che Active Directory tenga traccia delle scritture replicate. Come è possibile immaginare, ciò significa che una particolare modifica è stata replicata da un altro controller di dominio. La modifica considerata come scrittura di origine in DC1 verrà considerata una scrittura replicata nel momento in cui tale modifica viene replicata in DC2, DC3 e in qualunque altro controller di dominio all'interno del dominio.I controller di dominio di Active Directory gestiscono la trasmissione delle modifiche alla directory attraverso l'uso di metadati di replica. Ciò significa che, oltre a comunicare i dati reali che sono stati modificati da un controller di dominio in un altro (la carica di John Smith è stata modificata in "Direttore delle risorse umane"), Active Directory trasmette anche altre informazioni su tale modifica per consentire ai controller di dominio di gestire la replica nel modo più efficiente possibile, ad esempio il controller di dominio da cui ha avuto origine la modifica, l'ora in cui è avvenuta la modifica e altre informazioni essenziali.Il primo elemento dei metadati della replica che verrà affrontato è il numero di sequenza di aggiornamento (USN, Update Sequence Number). Ogni controller di dominio gestisce un USN specifico per quel controller di dominio. Ogni volta che viene apportata una modifica ad Active Directory da quel controller di dominio, il numero di sequenza di aggiornamento subisce un incremento di 1. Pertanto, se un controller di dominio dispone di un USN pari a 1000 alle 11.00 e 1005 alle 11.30, è chiaro che sono state apportate 5 modifiche al database di Active Directory in quel controller di dominio. Conoscere esattamente queste modifiche non ha alcuna importanza per quanto concerne l'USN. È possibile che siano stati modificati, creati o eliminati 5 oggetti differenti o qualsiasi combinazione, l'USN del controller di dominio crescerà sempre di 5 punti. Inoltre, i numeri di sequenza di aggiornamento sono interni a un

150


solo controller di dominio specifico e non hanno alcuna importanza se paragonati con altri controller di dominio. Un controller di dominio in un dominio potrebbe effettuare una modifica alle 11.30 che prevede l'assegnazione di un USN di 1051, mentre un secondo controller di dominio nello stesso dominio potrebbe apportare esattamente nello stesso momento una modifica che prevede l'assegnazione di un USN di 5084. Nonostante questi due controller di dominio abbiano chiaramente USN completamente differenti a causa di una modifica apportata quasi contemporaneamente, ciò non ha alcun rilievo sulla modalità con cui tali modifiche vengono replicate; il numero di sequenza di aggiornamento di un controller di dominio non ha alcun significato per altri controller di dominio se le due modifiche vengono messe a confronto.Ma questo non è l'unico modo in cui l'USN di un controller di dominio viene incrementato. Si tenga presente che una modifica al database di Active Directory può comportare una scrittura di origine o una scrittura replicata. Il numero di sequenza dell'aggiornamento in un controller di dominio viene incrementato da entrambi i tipi di operazioni di scrittura, il che significa che viene incrementato ogni volta che avviene la replica di una modifica in un altro controller di dominio. A questo punto è chiaro che ciascun controller di dominio necessita di un metodo per tenere traccia delle modifiche già replicate, altrimenti a ogni replica potrebbe trovarsi a inviare l'intero database di Active Directory tramite cavo. Per evitare che ciò si verifichi, ogni controller di dominio di Active Directory mantiene un valore definito vettore limite massimo (HWMV) per gli altri controller di dominio con cui esegue la replica. Ogni controller di dominio assocerà questo valore all'identificatore univoco globale (GUID) del controller di dominio remoto, per evitare qualunque confusione nel caso in cui un controller di dominio remoto venga ridenominato o rimosso dalla directory.Iniziamo con un semplice esempio, in cui due controller di dominio sono stati configurati nel dominio contoso.com, dc1.contoso.com e dc2.contoso.com. Poiché sono presenti soltanto due controller di dominio nel dominio contoso.com, DC1 e DC2 si replicano a vicenda. Si noti che si tratta di un esempio semplificato che non indica ancora l'intera storia della replica di Active Directory. Ulteriori dettagli verranno aggiunti più avanti.Ipotizziamo inoltre che l'attuale USN del DC1 sia 3000, che l'USN del DC2 sia 4500 e che, nel momento in cui cominciamo l'esempio questi due controller di dominio siano completamente aggiornati tra loro:

Passaggio 1: DC1 e DC2 sono aggiornati con i rispettivi dati. DC1 presenta un vettore limite massimo per DC2 di 4500, mentre DC2 presenta un vettore limite massimo per DC1 di 3000, come illustrato nella Figura 1.

Figura 1 Stato attuale dei due controller di dominio

Passaggio 2: Un amministratore crea un nuovo oggetto nel DC1 e l'USN del DC1 viene incrementato a 3001, come illustrato nella Figura 2. Si noti che il vettore HWMV del DC1 non è cambiato in DC2, perché DC1 non ha ancora informato DC2 che è in attesa di modifiche.

151

http://www.umts-italia.net/files/posted_images/user_18110_figura1.gif


Figura 2 Viene aggiunto un nuovo oggetto

Passaggio 3: DC1 informa DC2 che sono disponibili alcune modifiche. DC2 inizia la replica con DC1 per richiedere tutti gli aggiornamenti disponibili. Nella stessa richiesta, DC2 invia a DC1 il vettore limite massimo che viene memorizzato per DC1, come illustrato nella Figura 3.

Figura 3 Notifica delle modifiche

Passaggio 4: DC1 invia a DC2 la modifica che corrisponde a USN 3001, ovvero, l'oggetto creato su DC1 nel Passaggio 2. DC2 aggiorna il proprio USN a 4501 e il relativo HWMV per DC1 a 3001, come illustrato nella Figura 4.

Figura 4 Modifiche e aggiornamenti

Fin qui tutto bene. Ma ecco presentarsi un problema. DC2 dispone di una modifica da replicare. Se le uniche cose da portare avanti erano gli USN e i vettori limite massimo, a questo punto DC2 dovrebbe contattare DC1 per replicare la stessa modifica appena replicata da DC1 a DC2, il che creerebbe un ciclo di replica infinito e consumerebbe progressivamente sempre più larghezza di banda. Per evitare ciò, sono necessari alcuni pezzi del puzzle, il primo del quale è il vettore di aggiornamento (vettore UTD o semplicemente UTDV).L'UTDV è un altro pezzo dei metadati di replica che viene utilizzato per il blocco della propagazione; il suo scopo è evitare che la stessa modifica sprechi larghezza di banda mediante la replica ripetuta attraverso la rete. Ogni controller di dominio conserva una tabella UTDV per qualsiasi altro controller di dominio che memorizza una copia del contesto dei nomi in questione. Per il contesto dei nomi del dominio, ogni controller di dominio in un dominio conserva un UTDV per ciascun controller di dominio nel dominio; per il contesto dei nomi della configurazione e dello schema, viene mantenuto per ogni controller di dominio nell'insieme di strutture. La tabella UTDV tiene traccia non solo dell'USN più alto che ogni controller di dominio ha ricevuto dai

152





partner di replica, ma anche il valore USN più alto che ha ricevuto da ciascun controller di dominio che esegue la replica di un determinato contesto dei nomi. Per tenerne conto, ogni modifica replicata contiene anche le seguenti informazioni:

- Il GUID del controller di dominio che replica la modifica. Potrebbe trattarsi di una modifica che viene replicata come una scrittura di origine o come una scrittura replicata.- L'USN del controller di dominio che replica la modifica. Ancora una volta, ciò può avvenire da una scrittura di origine o replicata.- Il GUID del controller di dominio che ha dato origine alla modifica. Se questo GUID è uguale al GUID del controller di dominio che replica la modifica, si tratta di una scrittura di origine. Altrimenti, entra in gioco la tabella UTDV.- L'USN del controller di dominio che ha dato origine alla modifica. Ancora una volta, se questo USN è uguale all'USN del controller di dominio che replica la modifica, si tratta di una scrittura di origine. In caso contrario, non entra in gioco la tabella UTDV.

Per illustrare meglio questo processo, renderemo più complesso l'esempio aggiungendo un terzo controller di dominio, DC3. In questo esempio, DC1, DC2 e DC3 sono tutti partner di replica reciproci; DC1 si replica con DC2 e DC3, DC2 con DC1 e DC3, infine DC3 con DC1 e DC2:Passaggio 1: DC1, DC2 e DC3 sono aggiornati l'uno con i dati degli altri.Passaggio 2: DC3 esegue una singola operazione di scrittura di origine reimpostando la password per l'account utente jsmith. DC3 informa DC1 e DC2 che sono disponibili alcune modifiche. DC1 e DC2 contengono la scrittura di origine di DC3 e aggiornano le tabelle HWMV e UTDV per DC3, come illustrato nella Figura 5.

Figura 5 Aggiornamento delle tabelle HWMV e UTDV

Passaggio 3: Ecco dove entra in gioco il vettore di aggiornamento. DC2 informa DC1 che sono disponibili alcune modifiche. DC1 contatta poi DC2 che richiede tutte le modifiche nuove inviando a DC2 le seguenti informazioni:

- Il vettore limite massimo di DC1 per DC2, in questo caso 4501.- Tabella UTDV del DC1 (illustrata nella Figura 6), che indica l'USN di origine più elevato ricevuto da tutti i controller di dominio, compreso DC3.

153


http://www.umts-italia.net/files/posted_images/user_18110_figura6.jpg


Figure 6 Tabella UTDVIn base al valore HWMV di 4501, DC2 verifica che non sia stata replicata la modifica in questione a DC1 (vedere la Figura 7).

Figure 7 È necessario replicare una modifica

Tuttavia, in base alla tabella UTDV che DC1 ha trasmesso prima dell'avvio della replica, DC2 determina che DC1 non necessita effettivamente di questa modifica, poiché DC1 l'ha già ricevuta da DC3. A questo punto, DC1 aggiorna semplicemente la voce HWMV affinché DC2 rifletta l'USN incrementato, come illustrato nella Figura 8. Tuttavia, per risparmiare larghezza di banda, i dati reali non vengono inviati tramite cavo.

Figura 8 Blocco della propagazione

Passaggio 4: Questo stesso blocco della propagazione avrà luogo quando DC2 informa DC3 della presenza di modifiche disponibili e quando DC1 informa allo stesso modo DC2 e DC3. Tutti e tre i controller di dominio aggiorneranno le rispettive voci HWMV per i propri partner di replica, come illustrato nella Figura 8, ma i dati correnti non attraverseranno nuovamente il cavo poiché sono già stati trasmessi a ciascun DC nel Passaggio 2.

Risoluzione dei conflitti in un ambiente multimasterFino a qui i nostri esempi rientravano in un mondo perfetto, dove un solo amministratore alla volta apporta modifiche a un controller di dominio e nessuno si sovrappone alle operazioni di qualcun altro. Nel mondo reale, ciò non avviene mai. Poiché gli aggiornamenti a un oggetto di Active Directory possono essere eseguiti da qualsiasi controller di dominio nel dominio, cosa accade se i due amministratori apportano aggiornamenti in conflitto da due controller di dominio diversi? Esistono tre tipi di conflitti che possono verificarsi in un ambiente Active Directory, ciascuno dei quali utilizza un metodo diverso di risoluzione dei conflitti.Conflitti nelle modifiche delle proprietà . Un conflitto di questo tipo si verifica nel caso in cui due amministratori aggiornano lo stesso oggetto in maniera differente: un amministratore imposta una descrizione dell'utente su "Marketing", mentre un altro amministratore su un controller di dominio diverso imposta la descrizione di quell'utente su "Vendite e marketing".

154




Creazione di nuovi oggetti in conflitto . Questo conflitto si verifica se due amministratori creano contemporaneamente un oggetto con lo stesso nome, ad esempio due utenti denominati jsmith.Spostamento di un oggetto in un contenitore eliminato . Questo tipo di conflitto è molto più raro e ha luogo se un amministratore crea o sposta un oggetto in un contenitore, ad esempio un'unità organizzativa, mentre un altro amministratore su un controller di dominio diverso elimina quel contenitore.Per risolvere i primi due tipi di conflitti, è arrivato il momento di presentare due ulteriori parti di metadati di replica che vengono utilizzati principalmente per la risoluzione dei conflitti. Il valore versionID viene assegnato a ogni singolo attributo su un oggetto, con un valore iniziale di 1 la prima volta che viene creato l'oggetto e viene incrementato di 1 ogni volta che un singolo attributo viene modificato da qualunque controller di dominio. Pertanto, se l'attributo della descrizione di un determinato utente viene aggiornato rispetto al relativo valore predefinito (vuoto o <non impostato>) in "Reparto marketing", l'attributo della descrizione avrà un valore versionID di 2. Se, successivamente, la descrizione viene modificata in "Reparto vendite e marketing", l'attributo della descrizione avrà un valore versionID di 3, e così via. Questo valore versionID è incluso in ogni voce di replica insieme ad altre parti di metadati già presentati.È possibile utilizzare versionID anche per ridurre il traffico di replica. Ad esempio, se un amministratore su DC2 ha apportato diverse modifiche a un singolo attributo (digitando a volte erroneamente la modifica) per cui DC2 dispone di scritture di origine che corrispondono al valore versionIDs 2, 3, 4 e 5, DC2 replicherà soltanto la scrittura che corrisponde all'ultimo valore, versionID 5. Poiché le prime modifiche verrebbero comunque semplicemente sovrascritte, si ottiene un collegamento che consente di ridurre l'utilizzo inutile della larghezza di banda.Ogni modifica ad Active Directory include anche il secondo pezzo aggiuntivo di metadati utilizzato per la risoluzione dei conflitti, un timestamp, come parte dei metadati di replica, che indica quando è stata apportata la modifica.L'attributo timestamp viene utilizzato anche come misura proattiva dello stato di replica di Active Directory. Se un controller di dominio non ha visualizzato alcuna modifica con un timestamp relativamente recente di un controller di dominio particolare, inizierà a generare dei messaggi di errore che indicano la possibile presenza di problema con il controller di dominio in questione.Pertanto, come vengono utilizzati questi due attributi nella risoluzione dei conflitti? Esaminiamo singolarmente ogni tipo di conflitto.

Risoluzione dei conflitti nelle modifiche delle proprietàSi prenda in considerazione l'esempio dell'oggetto utente jsmith nel dominio contoso.com. Un amministratore nel DC1 modifica la descrizione di jsmith in "Marketing". Quasi contemporaneamente, un amministratore nel DC3 modifica la stessa descrizione dell'utente in "Vendite e marketing". A questo punto, le informazioni di DC1 e DC3 relative all'attributo di descrizione di jsmith vengono messe a confronto, come illustrato nella Figura 9.

Figure 9 Modifiche quasi simultanee

Se DC2 riceve entrambe queste modifiche contemporaneamente, dovrà necessariamente determinare quale sia quella "vincente". L'ordine degli spareggi per la risoluzione di conflitti è il seguente:

155



1. La modifica che ha il valore versionID più elevato sarà accettata come modifica "vincente"; quella "perdente" verrà sovrascritta. In questo caso, il valore di versionID è 2 per entrambi i record, dunque sarà necessario passare al secondo spareggio.2. Se entrambi i record hanno lo stesso valore di versionID, la modifica con il timestamp più recente verrà considerata come vincente; l'altra verrà sovrascritta. In questo caso, il timestamp della scrittura di origine di DC3 è successivo, pertanto la descrizione di jsmith verrà impostata su "Vendite e marketing". Nel raro caso in cui sia il valore versionID che il timestamp siano identici, sarà necessario un terzo spareggio definitivo:3. Se entrambi i record hanno lo stesso valore versionID e timestamp, qualunque scrittura proveniente dal controller di dominio con il GUID inferiore vincerà; la scrittura con il GUID superiore verrà sovrascritta. Pertanto, se il GUID del DC1 è 1234567890 e quello del DC3 è 2345678901, la scrittura di origine del DC1 avrebbe la meglio se entrambi i valori di versionID e timestamp fossero identici.Probabilmente verrebbe da pensare, "Non avrebbe più senso far sì che timestamp sia il primo spareggio?". Ciò non è prestabilito, come si potrebbe pensare. Se timestamp fosse lo spareggio principale nella risoluzione dei conflitti di Active Directory, l'unica cosa che dovrebbe fare un amministratore malintenzionato per diffondere le proprie modifiche sarebbe impostare di nuovo l'orologio su un controller di dominio particolare in modo che vincesse in base al timestamp.

Risoluzione dei conflitti nella creazione degli oggettiNel caso in cui venissero creati due oggetti con lo stesso nome, Active Directory utilizzerà gli stessi tre spareggi descritti nella sezione precedente per stabilire qual è l'oggetto "vincente". A differenza della sezione precedente, tuttavia, l'oggetto "perdente" non viene sovrascritto. Al contrario, tale oggetto viene ridenominato utilizzando il CNF dei caratteri (per l'oggetto di conflitto), seguito da due punti e dal GUID dell'oggetto "perdente". Ciò consente agli amministratori di stabilire in maniera più metodica quale oggetto deve essere conservato e quale invece eliminato.

Risoluzione dei conflitti dovuti allo spostamento di un oggetto in un contenitore eliminatoCome già accennato, la risoluzione di un conflitto dovuto allo spostamento di oggetto in un contenitore eliminato è un caso abbastanza raro che si verifica soltanto in uno dei due scenari illustrati di seguito. Nel primo, un amministratore su un controller di dominio crea un oggetto all'interno di un contenitore particolare, ad esempio Unità organizzativa di formazione, nello stesso momento in cui un amministratore in un altro controller di dominio elimina proprio tale contenitore. Il secondo scenario può verificarsi quando un amministratore in un controller di dominio sposta un oggetto in un contenitore nello stesso momento in cui un amministratore in un altro controller di dominio elimina quel contenitore.La risoluzione in questo caso è abbastanza semplice: Active Directory sposta l'oggetto rimasto "orfano" in un contenitore speciale all'interno di Active Directory progettato proprio a questo scopo, il contenitore LostAndFound che si trova al di fuori della radice di ogni dominio Active Directory. Per il dominio contoso.com, il contenitore LostAndFound dovrebbe trovarsi nel seguente percorso LDAP: LDAP://cn=LostAndFound.dc=contoso.dc=com. Se quando viene aperto lo snap-in Utenti e computer di Active Directory non viene visualizzato il contenitore LostAndFound, è sufficiente fare clic su Visualizza | Funzionalità avanzate.

Protezione dal ripristino USNUna delle situazioni più gravi che è possibile riscontrare in un ambiente Active Directory è anche una delle più semplici da evitare, una volta individuati la causa e il

156


modo per risolverla. Il ripristino USN è una condizione di errore che può arrestare completamente la replica sulla rete e viene causato consentendo a un controller di dominio di rimanere non in linea per troppo tempo e poi riattivarlo o ripristinando un controller di dominio utilizzando un metodo non supportato.Una causa implicita del ripristino USN ha a che fare con il modo in cui viene eseguita l'eliminazione degli oggetti nell'ambiente multimaster di Active Directory. Quando un oggetto viene eliminato definitivamente da un controller di dominio, l'oggetto viene contrassegnato per la rimozione definitiva in modo che tale oggetto possa essere replicato in altri controller di dominio, informandoli dell'eliminazione. In particolare, un oggetto contrassegnato per la rimozione definitiva dispone di un attributo isDeleted impostato su TRUE. Per ridurre la dimensione dell'oggetto contrassegnato per la rimozione definitiva, la maggior parte dei valori contenuti nell'oggetto, come la descrizione, le informazioni personali e l'appartenenza al gruppo di un oggetto utente, vengono rimossi (per ulteriori informazioni su questo processo, vedere l'articolo di Gil Kirkpatrick "Recupero degli oggetti contrassegnati per la rimozione definitiva di Active Directory".È possibile che si verifichi il ripristino USN perché questi oggetti non rimangono sospesi all'infinito. Per impostazione predefinita, vengono eliminati completamente dal database di Active Directory dopo 60 o 180 giorni (a seconda della versione di Windows Server® in esecuzione sul proprio computer la prima volta che è stato creato l'ambiente Active Directory). Questo periodo di 60 o di 180 giorni viene definito durata dell'oggetto contrassegnato per la rimozione definitiva. Tutti i controller di dominio devono essere in grado di replicare almeno una volta durante questo periodo altrimenti diventano inutili e creano un'opportunità per il ripristino USN. Fondamentalmente, il ripristino USN si verifica quando un controller di dominio è talmente obsoleto da non contenere più oggetti contrassegnati per la rimozione definitiva e che, pertanto, non è in grado di mantenere aggiornata la copia locale del database di Active Directory con gli altri controller di dominio. Per cautelarsi, qualunque controller di dominio che è stato non in linea per un tempo maggiore rispetto alla durata dell'oggetto contrassegnato per la rimozione definitiva non deve essere ripristinato; sarà opportuno, invece, crearlo da zero eliminando i vecchi metadati del controller di dominio di Active Directory seguendo i passaggi presenti nell'articolo della Microsoft Knowledge Base 216498 (support.microsoft.com/kb/216498).Il ripristino USN si verifica anche quando un controller di dominio viene ripristinato utilizzando un metodo non supportato oppure, più spesso, utilizzando uno strumento di creazione di immagini o di clonazione dei dischi. Nel momento in cui si verifica una situazione di questo tipo, il database di Active Directory ripristinato non realizza di essere tornato "indietro nel tempo" perché il metodo di ripristino non era supportato per Active Directory. Con Windows 2000 e la prima versione di Windows Server 2003 era difficile poter individuare un ripristino USN mentre Windows Server 2003 SP1 (e Windows Server 2008 disponibile a breve) dispone di controlli incorporati che consentono di rilevare eventuali ripristini non corretti di un controller di dominio. In queste nuove versioni del sistema operativo, un controller di dominio registrerà l'ID evento 1115, 2095, 2103 e 2110 nel registro eventi dei servizi di directory. Il testo di questi eventi, oltre ai passaggi necessari per il ripristino USN, sono rintracciabili nell'articolo della Knowledge Base 875495 per Windows Server 2003. È possibile trovare ulteriori informazioni sulla gestione del ripristino USN in Windows 2000 nell'articolo della Knowledge Base 885875, disponibile all'indirizzo support.microsoft.com/kb/885875.

157


File System Distribuito, DFS

Un file system distribuito (in inglese, Distributed File System, o DFS) è un particolare file system che permette la memorizzazioni di files e risorse in dispositivi di archiviazione distribuiti in una rete informatica.A differenza di un comune file system locale, i dati non vengono letti o archiviati su di un dispositivo locale, ma, attraverso un meccanismo client-server, su dispositivi remoti, collegati in maniera trasparente alla propria gerarchia di file.Un file system distribuito deve poter gestire i file in maniera trasparente e concorrente e, di solito, è dotato di sistemi di autenticazione e, a volte, di criptazione.Il primo file system distribuito venne sviluppato negli anni settanta, mentre NFS (introdotto nel 1985 da Sun Microsystems) divenne il primo file system distribuito realmente diffuso ed usato.Oltre a questo, particolarmente apprezzati sono stati l'AFS e il CIFS.

Client e serverUn file server provvede a fornire una serie di servizi ai client.Sui client è installata una interfaccia al file server che include alcune operazioni normalmente effettuabili su di un comune file server, come la creazione di un file, la sua cancellazione, la lettura e la scrittura.Il file server controlla un insieme di dispositivi di memoria che ospitano il filesystem locale e su cui agisce in base alle richieste dei client.

DistribuzioneIn un filesystem distribuito i dispositivi di memorizzazione sono dislocati in una rete: le richieste e le risposte devono essere trasportate attraverso tale rete e, invece di un dispositivo unico e centralizzato, il sistema ne può avere molti ed indipendenti.La configurazione e l'implementazione di un filesystem distribuito possono variare: in talune occasioni il server (chiamato gergalmente file server) viene eseguito su una macchina dedicata, in altre il sistema client accede simultaneamente a più file server

158

http://www.umts-italia.net/files/posted_images/user_18110_dfs.gif


oppure la stessa macchina ospita sia un server che un client.Esso può essere implementato come componente del sistema operativo o da una componente dello strato software usata per mediare le comunicazioni tra i sistemi operativi e i file system locali.

TrasparenzaIdealmente un filesystem distribuito appare all'utente come un normale filesystem centralizzato: la molteplicità e la dispersione dei server e dei dispositivi cui si riferisce possono essere celati.Anche l'interfaccia rivolta alle applicazioni che usa l'utente non dovrebbe poter distinguere tra file locali e file remoti: è compito del filesystem distribuito individuare e trasportare i dati per mezzo della rete.

PrestazioniIl modo più conveniente per misurare le prestazioni di un filesystem distribuito è nel quantificare l'ammontare di tempo impiegato per soddisfare una data richiesta.Nei sistemi convenzionali questo tempo consiste nell'accesso al disco locale e in piccola quantità di elaborazione da parte della CPU, nei sistemi distribuiti si somma il ritardo dovuto alle comunicazioni di rete.Tale ritardo include il tempo necessario a sottoporre la richiesta al server e quello per ottenere la risposta attraverso la rete, mentre occorre sommare il tempo necessario alla CPU per manipolare il protocollo di comunicazione in ciascuna direzione.Le prestazioni di un filesystem distribuito incidono sul suo livello di trasparenza: idealmente, un sistema distribuito dovrebbe avere una velocita' paragonabile a quella di un sistema convenzionale.

Aggiornamenti concorrenti ai filesUn filesystem distribuito deve provvedere non solo all'accesso dei client ai files, ma anche alla loro modifica: gli aggiornamenti operati da un client non possono interferire con gli accessi e le modifiche fatte da altri client.Meccanismi di controllo della concorrenza e locking possono essere inclusi nel filesystem stesso o resi disponibili da un protocollo parallelo.

Magazzini distribuitiUn magazzino distribuito è una rete in cui l'utente conserva le proprie informazioni in un certo numero di nodi della rete.Solitamente tale utente permette a sua volta agli altri utenti di usare la propria macchina come nodo.Le informazioni possono essere accedute o meno dagli altri utenti a seconda dell'implementazione della rete.

Protocolli per reti distribuite- 9P- AFS- CIFS/SMB- Coda- DCE/DFS- Google File System- Lustre- SFS- Mnet- Chord Project

Guida all'Installazione

159


Eseguiamo click su Start --> Strumanti di amministrazione --> File System Distribuito

Clicchiamo con il pulsante destro del mouse su File System Distribuito, quindi scegliamo Nuova directory principale...

160




A questo punto partirà il Wizard, procediamo premendo il tasto Avanti

Verifichiamo che il checkbox relativo a Directory principale di dominio sia flaggato e proseguiamo premendo il tasto Avanti

161




Verifichiamo che il nome del nostro dominio sia corretto, quindi premiamo il tasto Avanti

Premiamo il tasto Sfoglia per cercare il nome del nostro Server

162




Individuiamo il nostro controller di dominio nell'elenco dei computer presentato, quindi premiamo il tasto OK

Verifichiamo che nella textbox relativa al nome del server sia stato inserito il nome corretto con questa schematizzazione: NomeServer.NomeDominio.TipoDominio e proseguiamo premendo il tasto Avanti

163




Adesso nella textbox relativa indicata dalla freccia rossa dobbiamo scegliare un nome univoco per la directory principale, io consiglio di utilizzare questo nome dfsroot in quanto abbastanza particolare, quindi premiamo il tasto Avanti

Ora dobbiamo scegliere la cartella da condividere per il DFS ed i nostri utenti, se la cartella è già condivisa in rete possiamo inserire il path assoluto (\\NomeServer\CartellaCondivisa) se invece non la conosciamo premiamo il tasto Sfoglia

164




Espandiamo il disco nel quale si trova la cartella condivisa (nel nostro es. C:\Amministrazione) e premiamo il tasto OK

Verifichiamo che nella textbox indicata dalla freccia rossa vi sia il percorso appena scelto e premiamo il tasto Avanti

165




Bene, terminiamo il nostro Wizard premendo il tasto Fine

Rientriamo nella form del File System Distribuito ed eseguiamo click con il pulsante destro del mouse sulla radice principale, quindi scegliamo l'opzione Nuovo collegamento

166




Inseriamo nella textbox il nome del collegamento per la nostra cartella condivisa, nel es. ho scelto "FIN", poi nella successiva textbox scegliamo il percorso di destinazione, se non lo conosciamo premiamo il tasto Sfoglia

Individuiamo la cartella Amministrazione precedentemente condivisa e premiamo il tasto OK

167




Verifichoamo che nel percorso di destinazione della cartella condivisa sia stato inserito il path assoluto della condivisione e proseguiamo premendo il tasto OK

Rientriamo nuovamente nella form del File System Distribuito e noteremo subito che è stata creata l'istanza FIN.Ora, per verificare che le nostre precedenti configurazioni siano andate a buon fine eseguiamo click con il pulsante destro del mouse sulla cartella FIN, quindi scegliamo l'opzione Verifica stato

168




Verifichiamo attentamente che sopra alla cartella sia apparso un pallino bianco con un segno visto di spunta di colore verde

Molto bene ! Abbiamo Finito

Ora la cartella Amministrazione è raggiungibile sia dal path assoluto "\\reverserver\amministrazione" ma anche dal path del DFS "\\revserver\dfsroot\FIN".

169




Perchè tutto questo ?Perchè abituare gli utenti ad utilizzare SEMPRE il percorso del DFS ?

Perchè se un domani il nostro amministratore di rete volesse spostare la cartella Amministrazione su un altro server, locale o remoto che sia, gli sarà sufficente cambiare il percorso nel DFS ed i nostri utenti di dominio non se accrogereanno nemmeno.

170



Windows 2003 Accesso remoto

E’ possibile accedere “remotamente” ai servizi di un Sever Windows 2000. Affinché sia possibile avere accesso remoto deve esistere sempre almeno una Politica di Accesso Remoto. Per garantire ciò in un server di accesso remoto è sempre presente Politica di Accesso Remoto di Default che è sufficiente per gestire la maggior parte dei casi.

Tale Politica di Accesso Remoto di Default viene applicata a tutti quei tentativi di connessione che non soddisfano le condizioni di nessun altra politica definita.

La Politica di Accesso Remoto di Default è denominata Allow access if dial-in permission is enabled e viene creata automaticamente quando viene installato Routing and Remote Access.

Di seguito sono specificate le impostazioni di tale politica:

Condizione: Qualsiasi Giorno e Qualsiasi Ora. Permesso: Deny access. Profilo: Nessuno.

Dunque, per quanto detto nel caso siano presenti più Politiche di Accesso Remoto ogni tentativo di connessione viene giudicato in base alla prima politica di cui sono soddisfatte le condizioni. Nel caso in cui la richiesta di connessione non soddisfi le condizioni di nessuna politica, resta la Politica di Accesso Remoto di Default le cui condizioni sono sempre soddisfatte e dunque la richiesta viene accettata solo se nelle proprietà di dial-in dell'utente che sta richiedendo la connessione sta specificato Allow access

Creazione delle Politiche di Accesso Remoto

Dunque le Politiche di Accesso Remoto permettono di gestire le richieste di accesso remoto tramite la definizione di regole che possono essere molto semplici o estremamente complesse, in base a quelle che sono le esigenze della nostra organizzazione.

Gli elementi di base nella definizione delle Politiche di Accesso Remoto sono dunque:

I permessi di dial-in nelle proprietà dell'account utente in Active Directory. La creazione di una Politica di Accesso Remoto in Routing e Remote Access con le relative

condizioni e permesso. Il Profilo associato ad ogni Politica di Accesso Remoto.

171


Proprietà di Accesso Remoto dell'Account

Per configurare le proprietà di dial-in di un utente su un server stand-alone utilizzare lo strumento 'Computer Management' presente in Start\Programs\Administrative Tools e nel contenitore 'Local Users and Groups' cercare l'utente desiderato e facendo clic con il tasto destro selezionare 'Properties'.

Invece, per configurare le proprietà di dial-in di un utente in un dominio Active Directory utilizzare lo strumento 'Active Directory Users and Computers' presente in Start\Programs\Administrative Tools, cercare l'utente desiderato e facendo clic con il tasto destro selezionare 'Properties'e scegliere la scheda 'Dial-In'.

Utilizzando la sezione 'Remote Access Permission (Dial-In or VPN)' è possibile negare o permettere l'accesso remoto esplicitamente o, selezionando 'Control access through Remote Access Policy', fare riferimento al permesso associato alla politica di accesso remoto di cui tale utente soddisfa le condizioni al momento dell'accesso. Quest'ultima opzione è disponibile solamente in un dominio in 'Modalità Nativa'.

Utilizzando il check Verify Caller-ID è possibile fare in modo che il server verifichi che il numero telefonico del chiamante coincida con quello ivi specificato.

La sezione Callback Options permette di definire se il Callback venga o meno abilitato (No Callback) e nel caso venga abilitato se il numero a cui il server effettua la richiamata è stabilito dall'utente (Set By Caller) o una volta per tutte dall'amministratore (Always Callback To).

Infine è possibile assegnare all'utente remoto un indirizzo IP statico (Assign Static IP Address) e/o configurargli delle routes statiche (Apply Static Routes).

Condizioni di una Politica di Accesso Remoto

Se la richiesta...

172


Avviene tra le 8 a.m. - 5 p.m. di Lunedì-Venerdì. Proviene da un indirizzo IP che corrisponde a: 192.168.*.*. È di un utente del gruppo Vendite.

La Condizione di una Politica di accesso remoto è costituita da tutta una serie di attributi con relativi valori che verranno comparati con i corrispondenti attributi della richiesta di accesso remoto. Affinché una richiesta soddisfi una condizione, devono esserci corrispondenza con i valori di tutti gli attributi che costituiscono la condizione.

Di seguito elenchiamo quelle che sono le condizioni che è possibile specificare:

NAS IP Address. Una stringa che identifica l'indirizzo IP del network access server (NAS). Service Type. Il tipo di servizio RADIUS richiesto. Framed Protocol. Il protocollo dei pacchetti in entrata (PPP, AppleTalk, SLIP, Frame Relay,

e X.25). Called Station ID. Una stringa che identifica il numero telefonico del NAS. Calling Station ID. Una stringa che identifica il numero di telefono del chiamante. NAS Identifier. Una stringa che identifica il NAS da cui proviene la richiesta. NAS Port Type. Il tipo di media utilizzato dal chiamante (analogico, ISDN, e VPN). Day and Time Restrictions. Il giorno della settimana e l'ora del giorno in cui viene effettuata

la connessione. Client IP Address. Una stringa di caratteri che identifica l'indirizzo del client RADIUS. Client Vendor. Il produttore del NAS che richiede l'autenticazione. Client Friendly Name. Una stringa di caratteri che identifica il nome del client RADIUS che

richiede l'autenticazione.

Windows Groups. Il nome del gruppo di Windows 2000 cui l'utente che effettua la chiamata appartiene. Non esiste nessuna condizione per controllare il nome dell'utente.

Per creare una Politica di Accesso Remoto con le relative condizioni ed il profilo associato utilizzare il tool Routing and Remote Access presente in Start\Programs\Administrative Tools e:

Cliccare con il tasto destro su Remote Access Policies e selezionare New Remote Access Policy.

Utilizzando il wizard Add Remote Access Policy inserire il nome in Policy friendly name selezionare Next.

Per configurare le condizioni, per ognuna di esse, cliccare Add. In Select Attribute selezionare l'attributo da inserire e cliccare OK. Nella corrispondente

finestra di dialogo inserire le informazioni richieste da quell'attributo e cliccare su OK. Una volta inserite tutte le condizioni cliccare Next. Per garantire l'accesso a chi soddisfa le condizioni selezionare Grant remote access

permission, mentre per negarlo selezionare Deny remote access permission. A questo punto è possibile creare un Profilo o, cliccando Finish avere una Politica di

Accesso Remoto senza specificare nessun Profilo

Profilo di una Politica di Accesso Remoto

Il Profilo è...

Tempo massimo di connessione 90 minuti. 4 linee multilink.

173


Richiesta criptazione IP Sec.

Il Profilo relativo ad una Politica di Accesso Remoto permette di specificare quali sono le caratteristiche che devono essere soddisfatte dalla connessione per tutta la sua durata, pena la disconnessione immediata.

Per configurare il Profilo per una Politica di Accesso Remoto utilizzare il tool Routing and Remote Access presente in Start\Programs\Administrative Tools e:

Fare doppio click sul contenitore Remote Access Policies. Selezionare la Politica di Accesso Remoto desiderata. Cliccare con il tasto destro e scegliere Properties. Cliccare su Edit Profile ed utilizzare la finestra di dialogo Edit Dial-in Profile come di seguito

descritto: o Dial-in Constraints. Permette di determinare la durata massima della connessione,

la durata massima del periodo di inattività, il giorno, l'ora, il tipo di media (ISDN, VPN o altro) che sono permessi.

o IP. Permette di filtrare pacchetti IP in ingresso ed in uscita in base alle loro caratteristiche.

o Multilink. Permette di configurare le modalità del Multilink e di BAP (Bandwith Allocation Protocol).

o Authentication. Permette di definire i protocolli di autenticazione autorizzati. o Encryption. Permette di definire il livello di cifratura richiesto e le modalità di utilizzo. o Advanced. Permette di configurare parametri addizionali tipo quelli inerenti RADIUS

Server di Accesso Remoto

La modalità più semplice per permettere l'accesso alla rete ad utenti remoti è quella di definire su un server un server Dial-Up di accesso remoto.

Per configurare ed attivare tale server eseguire i seguenti passi:

Verificare la compatibilità dei dispositivi hardware (modem, adattatore ISDN o quant'altro) che si intendono utilizzare con Windows 2000, usando la Hardware Compatibility List (HCL) e, in caso di riscontro positivo, procedere alla loro installazione.

Utilizzare lo strumento Routing and Remote Access contenuto in Start\Programs\Administrative Tools e cliccando con il tasto destro sul nome del server selezionare Configure and Enable Routing and Remote Access.

Completare il wizard secondo quanto segue: o Common Configurations: Remote access server. o Remote Client Protocols: Se vi sono elencati tutti i protocolli che si intende utilizzare

selezionare Next, altrimenti procedere alla loro installazione. o IP Address Assignment: Selezionare un metodo di installazione degli indirizzi IP ai

client. Se si decide di definire sul server RRAS un range di indirizzi, piuttosto che appoggiarsi ad un server DHCP, occorre specificare tale range di indirizzi.

o Managing Multiple Remote Access Servers: Selezionare se intende o meno utilizzare un server RADIUS. In caso di risposta positiva bisogna specificare il nome del server RADIUS, il nome di un eventuale server RADIUS di backup e la password da utilizzare per dialogare con tali server.

Configurare eventualmente politiche di accesso remoto, e tutti i settaggi inerenti le modalità di autenticazione e cifratura.

174


Quando il server di accesso remoto dial-up parte la prima volta, Windows 2000 rileva automaticamente tutti i dispositivi hardware (modem, adattatori ISDN ...) installati e configura una porta modem per ognuno di essi.

Windows 2000 provvede anche a creare automaticamente una porta per ogni connessione ad una porta seriale o parallela che dovesse rilevare.

È possibile, da questo momento in poi, modificare la configurazione di tali porte utlizzando il contenitore Ports presente nel lo strumento Routing and Remote Access contenuto in Start\Programs\Administrative Tools:

Accedere alle proprietà del contenitore Ports. In Ports Properties selezionare una device e quindi Configure. In Configure Device selezionare Remote access (inbound) per abilitare le connessioni in

ingresso. Nel caso in cui si stia configurando una porta modem inserire in numero di telefono in

Phone number of this device. Selezionare OK in Configure Device e Ports Properties.

Server VPN

Tra gli svantaggi di un server di accesso remoto di tipo dial-up ricordiamo essenzialmente il problema dei costi dovuto alla necessità di effettuare chiamate spesso extraurbane ed alla necessità di disporre di tante connessioni fisiche quanti sono i client che si vuole accedano contemporaneamente al server da remoto.

Utilizzare lo strumento Routing and Remote Access contenuto in Start\Programs\Administrative Tools e cliccando con il tasto destro sul nome del server selezionare Configure and Enable Routing and Remote Access.

Completare il wizard secondo quanto segue:

Verificare la compatibilità dei dispositivi hardware (modem, adattatore ISDN o quant'altro) che si intendono utilizzare con Windows 2000, usando la Hardware Compatibility List (HCL) e, in caso di riscontro positivo, procedere alla loro installazione.

Utilizzare lo strumento Routing and Remote Access contenuto in Start\Programs\Administrative Tools e cliccando con il tasto destro sul nome del server selezionare

175


Configure and Enable Routing and Remote Access.

Completare il wizard secondo quanto segue: o Common Configurations: Virtual private network (VPN) server. o Remote Client Protocols: Se vi sono elencati tutti i protocolli che si intende utilizzare

selezionare Next, altrimenti procedere alla loro installazione. o IP Address Assignment: Selezionare un metodo di installazione degli indirizzi IP ai

client. Se si decide di definire sul server RRAS (Routing and Remote Access Services) un range di indirizzi, piuttosto che appoggiarsi ad un server DHCP (Dynamic Host Configuration Protocol), occorre specificare tale range di indirizzi.

o Managing Multiple Remote Access Servers: Selezionare se intende o meno utilizzare un server RADIUS. In caso di risposta positiva bisogna specificare il nome del server RADIUS, il nome di un eventuale server RADIUS di backup e la password da utilizzare per dialogare con tali server.

Configurare eventualmente politiche di accesso remoto, e tutti i settaggi inerenti le modalità di autenticazione e cifratura.

Quando il server di accesso remoto VPN parte per la prima volta, Windows 2000 crea e configura automaticamente 128 porte PPTP (Point to Point Tunneling Protocol) ports e 128 porte L2TP (Layer Two Tunneling Protocol) ports. Il numero di porte virtuali disponibili non è limitato da considerazioni legate al numero di dispositivi hardware bensì semplicemente da considerazioni relative alle performance.

È possibile, da questo momento in poi, modificare la configurazione di tali porte utlizzando il contenitore Ports presente nel lo strumento Routing and Remote Access contenuto in Start\Programs\Administrative Tools:

Accedere alle proprietà del contenitore Ports. In Ports Properties selezionare una device VPN, WAN Miniport (PPTP) o WAN Miniport

(L2TP), quindi Configure. In Configure Device selezionare Remote access (inbound) per abilitare le connessioni in

ingresso. Opzionalmente, è possibile aumentare o diminuire il numero di porte virtuali disponibili. Selezionare OK in Configure Device e Ports Properties.

Politiche di Accesso Remoto

Le Politiche di Accesso Remoto ci permettono di controllare in maniera molto dettagliata chi si connette, come si connette, quando si connette e, una volta connesso, quali sono le caratteristiche della connessione.

176


Conoscere come sono fatte e quali sono i criteri che regolamentano la loro applicazione, ci permette di utilizzare tale strumento in maniera molto proficua.

La prima osservazione da fare riguarda il fatto che le informazioni relative alla configurazione delle Politiche di Accesso Remoto non sono memorizzate in Active Directory, come ci si potrebbe aspettare, bensì localmente al server per il quale vengono definite.

Una politica di accesso remoto consiste di tre componenti:

Condizioni. Le condizioni sono un insieme di parametri, come ad esempio la data e l'ora, l'appartenenza a gruppi, il numero di telefono o l'indirizzo IP del chiamante, che devono coincidere con i parametri del client che sta effettuando la chiamata. La prima politica di accesso remoto le cui condizioni coincidono con quelle del client è quella che viene applicata. Dunque deve esistere almeno una politica di accesso remoto, vale la prima di cui il client soddisfa le condizioni (per cui il loro ordine è significativo) e se non sono soddisfatte le condizioni di nessuna politica la connessione viene rifiutata.

Permesso. Nel caso in cui vengano soddisfatte le condizioni relative ad una politica allora la connessione viene permessa o negata in base ad una combinazione del permesso specificato nelle proprietà dell'account utente e del permesso specificato nella politica.Questo permette di avere una certa flessibilità specificando una politiche che permette o nega l'accesso ad un certo gruppo di utenti con certe caratteristiche e specificando poi l'eccezione per particolari utenti che pure appartengono a quel gruppo.

Profilo. Quando le condizioni di una politica sono soddisfatte ed il permesso concede la connessione, viene applicato a tale connessione un profilo. Nel profilo sono contenute quelle che devono essere le caratteristiche della connessione (per esempio la durata) e la loro violazione provoca la terminazione della connessione

Vediamo ora qual'è la logica seguita nella valutazione delle Politiche di Accesso Remoto. Tale logica giudica le richieste di connessione mixando le condizioni, i permessi della politica e dell'utente che richiede la connessione e le impostazionii specificate nel profilo.

La logica di valutazione delle Politiche di Accesso Remoto è la seguente:

I parametri del client che sta effettuando la chiamata vengono confrontati con le condizioni specificate nelle Politiche di Accesso Remoto

o Se essi non coincidono con le condizioni di nessuna Politiche di Accesso Remoto allora la chiamata viene rifiutata.

o Se essi coincidono con le coindizioni di una Politica di Accesso Remoto, allora tale politica viene usata per determinare l'accesso.

Innanzitutto vengono controllate la proprietà di dial-in relative all'account utente che sta richiedendo la connessione:

o Se essa è settata a Deny access, la connessione viene negata. o Se essa è settata a Allow access, la connessione viene accettata e viene applicato

il permesso della politica. o Se essa è settata a Control access through Remote Access Policy (opzione

disponibile solo nei domini in Modalità Nativa), viene applicato il permesso relativo alla politica. Se esso permette l'accesso la connessione viene accettata e viene applicato il permesso della politica, altrimenti viene rifiutata.

Nel caso in cui la connessione sia stata accettata i parametri del richiedente vengono continuamente confrontati con quelli del profilo e non appena non dovesse essere più riscontrata corrispondenza, la connessione viene terminata.

177


Windows Server 2003 – gestione dei dischi

In un Server Windows 2003 è di fondamentale importanza sapere che esiste una gestione vera e propria del management dei dischi e delle loro dimensioni.Infatti è possibile dal solo sistema operativo eseguire operazioni di espansione delle dimensioni del disco dal semplice prompt dei comandi della shell.

In questa guida andremo a vedere un esempio molto semplice di come eseguire con pochissime istruzioni come espandare le dimensioni di un disco del nostro sistema operativo.La premessa d'esempio che segue è la seguente:

Abbiamo nel nostro Windows Server 2003 un disco di sistema C:\ di dimensioni di 25gbEd un altro disco supplementare con spazio non ancora allocato sempre di 25gbLo scopo è, in una prima fase indicizzare il disco creando una partizione primaria chimata Dati di 15gb ed assegnare l'opportuna lettera per l'unità.

Vediamo quindi come procedere:

Eseguiamo click col tasto destro del mouse su Risorse del Computer e scegliamo 178

http://www.umts-italia.net/files/posted_images/user_18110_diskpart_1236676641_315551.jpg



Gestione

Nella parte sinistra della nostra form clicchiamo su Gestione Disco e soffermiamoci nella parte destra analizzando quando vediamo:come possiamo notare abbiamo il nostro disco "0" di sistema chimato C: da 25gb, in più abbiamo un altro disco "1" con spazio non allocato di altri 25gb.Quello che sostanzialmente contraddistingue lo stato dei 2 dischi è il colore di quella riga che si trova in alto, si vedano figure sotto:

La freccia rossa indica la striscia blu sul disco "0" che sta a significare che il disco è attivo ed indicizzato, mentre la freccia verde inidca la striscia nera sul disco "1" che indica appunto lo stato non attivo.

179


http://www.umts-italia.net/files/posted_images/user_18110_hd_copia.jpg

http://www.umts-italia.net/files/posted_images/user_18110_rdc_copia.jpg


Infatti se visualizziamo le nostre risosre del computer potremo subito appurare che al momento vi è un solo disco nel nostro sistema operativo, ossia il disco C:\

Torniamo alla nostra gestione dei dischi e posizionandoci in un punto qualsiasi dello spazio non allocato, eseguiamo click con il tasto destro del mouse e scegliamo Nuova partizione...

Immediatamente partirà il Wizard che ci guiderà nella procedura di creazione, quindi proseguiamo premendo il tasto Avanti

180




Assicuriamoci che sia selezionata nel nostro checkbox come tipo di partizione la Partizione Primaria come indica la freccia rossa, quindi proseguiamo premendo il tasto Avanti

Adesso inseriamo nella nostra textbox le dimensioni del nostro disco, nel nostro esempio impostiamo in un primo momento uno spazio di 15gb e proseguiamo premendo il tasto Avanti

181




Assegnamo ora la lettera da attribuire al nostro disco, nel nostro esempio la "E" va benissimo e procediamo premendo il tasto Avanti

Ora scegliamo, come ci indica la freccia rossa, di formattare la nostra unità disco, quindi la sciamo invariate gli altr1 2 valori, cioè quelli relativi al tipo di partizione (che in Windows 2003 è sempre NTFS) e le dimensioni unità di allocazione (Predefinite), ed impostiamo nella relativa textbox indicata dalla freccia verde l'etichetta del nostro disco, che nel nostro esempio è Dati.Assicuriamoci di flaggare il checkbox relativo all'esecuzione delle formattazione veloce, vedi freccia arancione e procediamo premendo il tasto Avanti.

182




Perfetto non ci resta che terminare la nostra procedura guidata premendo il tasto Fine

Tornando nella nostra gestione dei dischi avremo questo:

Ossia un disco E:\ di circa 15gb (non spaventatevi se in realtà ce scritto 16, il sistema arrotonda sempre)

183




Come possiamo notare la procedura è andata a buon fine, lo dimostra il fatto che nelle nostre risorse del computer ora abbiamo 2 dischi, quello di sistema C:\ da 25gb ed il nuovo appena creato E:\ da circa 15gb come mostrano le freccie rosse.

Ottimo ora la parte più difficile, si fa per dire In un ambiente virtuale o quando si è in possesso di uno storage le dimensioni sono molto elevate, nel nostro caso stiamo parlando solo di gb ma questo rende bene l'esempio di come dobbiamo comportarci quando ci troviamo a gestire anche centinaia di gb.

Procediamo aprendo la nostra shell, quindi eseguiamo Start --> Esegui e dentro alla riga di comando scriviamo: cmd, alla fine otterremo questo:

Ora dobbiamo espandere la nostra partizione da 15gb a 25gb, vediamo come fare:

184




Dentro alla shell scriviamo diskpart ed attendiamo che il prompt venga modificato come indicato dalla freccia rossa.

Visualizziamo l'elenco dei nostri dischi con il comando list disk (freccia rossa) e noteremo subito il nostro disco "1" da 25gb (freccia verde) mentre sappiamo bene che lo spazio del disco è solo 15gb.

Selezioniamo il disco con il comando select disk 1 (freccia rossa) ed attendiamo la risposta del sistema che nel nostro caso deve essere: Il disco attualmente selezionato è il disco 1 (freccia verde)

185





Ora richiamiamo la lista delle partizioni con il comando list partition (freccia rossa) e noteremo che la nostra partizione "2" è di soli 16gb (freccia verde).

Selezioniamo la nostra partizione su cui operare con il comando select partition 2 (freccia rossa) ed attendiamo il messaggio di buona riuscita: La partizione attualmente selezionata è la partizione 2 (freccia verde).

Non ci resta che scrivere la parolina magica extend (freccia rossa) ed attendere il messaggio: Estensione volume completata (freccia verde).

186





Infine digitiamo exit (freccia rossa) per uscire dalla modalità DISKPART ed avremo il seguente messaggio: Chiusura di diskpart in corso... (freccia verde) e poi avremo di nuovo il prompt (freccia arancione).

Rientrando nella gestione dei dischi, ora la nostra situazione sarà questa:

Il nostro disco E:\ con 25gb di spazio

Windows 2003 Fault Tolerance: Monitoraggi, backup e restore

La capacità di un sistema di eseguire normalmente le operazioni malgrado la presenza di errori hardware o software si definisce fault tolerance. Si tratta di uno degli argomenti maggiormente descritti nei testi di gestione delle reti.

Attivazione dei sistemi di controllo e di monitoraggioUna delle procedure atte ad aumentare la fault tolerance è, senza dubbio, il sapere ciò che avviene all'interno della rete e ciò che transita attraverso i router ed i firewall.

187




In questo caso sarà possibile risalire alle cause di un inconveniente ed, anche, al responsabile.Di norma i server Windows 2000/2003 dispongono di un sufficiente strumento di monitoraggio che consente l'auditing di ciò che avviene. Purtroppo questo non è attivato in modo completo di default, per cui è necessario intervenire per scegliere ciò che si vuole monitorare.Nel sito di aiuto di Windows 2003 server sono riportate le categorie sulle quali è possibile attivare il monitoraggio:

Audit account logon events Audit account management Audit directory service access Audit logon events Audit object access Audit policy change Audit privilege use Audit process tracking Audit system events

Di queste è molto importante la prima, per controllare gli accessi alla rete.Il monitoraggio deve essere configurato attraverso un Criterio di gruppo per computer, ovviamente nei quali sia installato Windows 2000 professional o Windows XP professional.

Configurazioni RAIDLe procedure di sicurezza in questi casi possono prevedere l'attivazione di backup programmati dei server, la creazione di immagini dei dischi, l'uso di sistemi disco RAID (Redundant Array of Independent Disks )in configurazione mirroring (RAID1) che prevede l'uso di due dischi o in configurazione RAID 0+1 con quattro dischi.Nella configurazione RAID1 i dati vengono scritti in modo speculare su due dischi , per cui nel caso uno dei due si rompesse sarebbe sufficiente sostituirlo e ripristinare da quello superstite.La configurazione RAID0+1 prevede anche lo striping dei dati su due dischi che sono speculari ad altri due. In questo caso alla sicurezza del mirrorin si aggiungono le maggiori performance in scrittura e lettura dello striping.

188


Backup e RestoreLe procedure di backup hanno lo scopo di mantenere disponibile copie aggiornate dei dati sia di utente sia relative ai sistemi operativi al fine di poter recuperare eventuali malfunzionamenti che portino alla perdita dei dati presenti nella loro naturale locazione. Il backup può essere effettuato direttamente sul calcolatore locale utilizzando ad esempio un Hard Disk aggiuntivo o il CD, oppure tramite rete copiando i file su di un dispositivo connesso ad un altro calcolatore, normalmente un server di rete.In genere è bene effettuare il backup su di uno o più dispositivi distinti da quello su cui risiedono normalmente i dati stessi al fine di evitare che un guasto del dispositivo che lo renda inservibile provochi la perdita dei dati originali così come delle copie.A questo scopo si utilizzano Hard Disk dedicati su server di rete, a loro volta protetti per esempio con sistemi RAID di cui si è parlato nel modulo 7, oppure dispositivi accessori quali dischi estraibili, cassette, dischi ottici, eccetera.Per essere efficace un backup deve essere pianificabile a livello di amministrazione di sistema e in modo indipendente dalle azioni dell'utente. Infatti il singolo utente, occupato in altre attività può facilmente dimenticare di svolgere le azioni di backup ed esporsi quindi ad una potenziale perdita di dati.È opportuno effettuare operazioni di backup in momenti in cui il sistema sia poco o per nulla utilizzato, ad esempio alla sera o nei fine settimana. Due sono le ragioni principali per questo:• se gli utenti stanno modificando i dati quando viene effettuato un backup, quest'ultimo potremmo non salvare l'ultima versione dei documenti e quindi venire meno al suo scopo;• per sua natura il backup comporta la copia di grandi moli di dati e quindi intensive operazioni di lettura e scrittura dai dischi e di trasferimento di dati sulla rete e quindi interferisce con il normale funzionamento del sistema.Se effettuato quando i calcolatori non sono utilizzati il backup risulta più efficace e si minimizza la sua influenza sul normale funzionamento dell'ambiente di rete. Inoltre per diminuire i tempi di backup si può ricorrere a strategie di compressione e/o di backup incrementale o differenziale:• Un backup differenziale effettua il backup di ciò che è stato modificato rispetto ad un backup completo di riferimento.• Un backup incrementale effettua il backup di ciò che è stato modificato rispetto al backup precedente, eventualmente anch'esso incrementale.I backup differenziali ed incrementali copiano solamente una parte dei dati e risultano quindi più efficienti per occupazione di spazio di memoria e per velocità. D'altro canto la procedura di recupero dei dati risulta generalmente più complessa.

Strategie di backupUna strategia di backup tipicamente combina diverse tipologie di backup: alcune di queste strategie privilegiano i tempi di backup, mentre altre privilegiano i tempi di ripristino.Di seguito sono illustrati alcuni esempi:• Esempio 1: Normale e Differenziale. Viene effettuato un backup Normale il Lunedi ed un backup Differenziale dal Martedi al Venerdi. In caso di fallimento bisogna ripristinare il backup Normale del Lunedi e l'ultimo Differenziale disponibile. Tale strategia favorisce i tempi di ripristino rispetto a quelli di backup.• Esempio 2: Normale e Incrementale. Viene effettuato un backup Normale il Lunedi ed un backup Incrementale dal Martedi al Venerdi. In caso di fallimento bisogna ripristinare il backup Normale del Lunedi e tutti gli Incrementali disponibili, nell'ordine in cui sono stati effettuati. Tale strategia favorisce i tempi di backup rispetto a quelli di ripristino.

189


• Esempio 3: Normale, Differenziale e Copy. Questa strategia è la stessa dell'Esempio 1, con la differenza che al Mercoledi viene effettuato un backup di tipo Copy per catturare una immagine completa dei dati pur senza influire sulla strategia di backup in corso. Ha il vantaggio di avere un'immagine di metà periodo, qualora qualcosa dovesse corrompere il backup originale.

Backup in WindowsWindows 2003 comprende un tool di backup denominato Backup e situato in Start\Programs\Accessories\System Tools. Utilizzando tale strumento è possibile:• Effettuare il backup di files e cartelle.• Effettuare il backup del sistema.• Schedulare delle attività di backup.• Ripristinare files e cartelle.Utilizzando tale strumento è anche possibile effettuare un Emergency Repair Disk (ERD).È possibile effettuare cinque tipi di backup. La principale differenza tra essi riguarda la presenza o meno di marcatori (marker), conosciuti anche come attributi di archivio. La loro assenza segnala un backup avvenuto.Si hanno dunque le seguenti tipologie di backup:• Normal. Effettua il backup di tutti i files e le cartelle selezionate. Elimina i marcatori per segnalare l'avvenuto backup.• Copy. Effettua il backup di tutti i files e le cartelle selezionate. Lascia i marcatori. Server per effettuare un backup completo senza influire su strategie di backup un corso d'essere.• Differential. Effettua il backup di files e cartelle che hanno il marcatore e lascia i marcatori intatti.• Incremental. Effettua il backup di files e cartelle che hanno il marcatore ed elimina tali marcatori.• Daily. Effettua il backup di files e cartelle che hanno subito modifiche durante la giornata.

Backup di file e cartelleUtilizzando lo strumento Backup situato in Start\Programs\Accessories\System Tools è possibile effettuare il backup di files e cartelle su volumi formattati FAT, FAT32 o NTFS.Tale strumento mette a disposizione un wizard che ci aiuta nella definizione del processo di backup e di ripristino, anche se è comunque possibile realizzare tali attività manualmente.Quando si effettua un backup bisogna specificare, oltre al tipo di backup, le seguenti informazioni:• I volumi, files e cartelle di cui effettuare il backup.• La destinazione del backup.• Opzioni di backup come, ad esempio, l'eventuale creazione ed il path di un file registro, una descrizione, eccetera.• Se sovrascrivere i backup esistenti o aggiungere il nuovo backup a questi.• Opzioni avanzate come, ad esempio, la verifica del backup e l'attivazione della compressione hardware.Per poter effettuare il backup ed il restore di dati su un computer Windows 2000, bisogna avere appropriati privilegi e diritti, come di seguito indicato:• Tutti gli utenti possono effettuare il backup dei files e delle proprie cartelle propri o per i quali hanno il permesso di Read.• Tutti gli utenti possono effettuare il ripristino dei files e delle cartelle per i quali hanno il permesso di Write.

190


• Gli appartenenti ai gruppi Administrators, Backup Operators e Server Operators possono effettuare il backup ed il ripristino di tutti i files e tutte le cartelle indipendentemente dai permessi.

Backup dello stato del sistemaUtilizzando lo strumento Backup situato in Start\Programs\Accessories\System Tools è possibile effettuare il backup dello Stato del Sistema: se il sistema si corrompe, tramite tale backup ed il CD di installazione di Windows 2000 è possibile ripristinare lo stato del sistema come al momento del backup.Il backup dello Stato del Sistema comprende le seguenti componenti:• Registri.• Component Services class registration database.• Files di avvio del sistema.• Database dei Certificate Services, se tali servizi sono installati e configurati (non per macchine Windows 2000 Professional).• Active Directory (solo per Controllori di Dominio).• Cartella Sysvol (solo per Controllori di Dominio).Non è possibile selezionare singolarmente tali componenti.

Pianificazione temporale dei backupSi definisce Job di backup un singolo processo di backup dei dati.È estremamente importante pianificare ed eseguire attività di backup con una certaregolarità, allo scopo di poter ripristinare più dati possibili in caso di perdita degli stessi.Per facilitare l'esecuzione regolare di Job di backup, lo strumento Backup è integrato con Task Scheduler, per cui è possibile schedulare Job di backup in maniera tale che essi vengano eseguiti regolarmente ed in periodi ben determinati, magari coincidenti con momenti di scarso carico di lavoro per il sistema e/o per la rete.Per scheulare un Job di backup utilizzare la scheda Scheduled Jobs dello strumento Backup situato in Start\Programs\Accessories\System Tools, fare doppio click sul giorno in cui si vuole iniziare l'esecuzione del Job e completare il wizard specificando:• Di cosa si vuole effettuare il backup (Tutti i file, Solo files e cartelle selezionate, Lo stato del sistema).• Tipo di supporto utilizzato e nome del file di backup.• Tipo di backup.• Verifica del backup.• Se aggiungere tale Job a job precedenti eventualmente contenuti sul supporto o sovrascriverli.• Etichetta associata al backup.• Account utilizzato dal Job (con opportuni privilegi).• Nome del Job.• Schedulazione.

Ripristino di file e cartelleUtilizzando lo strumento Backup situato in Start\Programs\Accessories\System Tools è possibile effettuare il ripristino di files e cartelle in caso di perdita dei dati.Tale strumento mette a disposizione un wizard che ci aiuta nella definizione del processo di ripristino, anche se è comunque possibile realizzare tali attività manualmente.Quando si effettua un ripristino bisogna specificare le seguenti informazioni:• I files e le cartelle da ripristinare.• La destinazione del ripristino. Di default sarà corrispondente a quella da cui è stata effettuato il backup, ma può essere modificata.

191


• Opzioni di ripristino come, ad esempio, se sovrascrivere i file esistenti. Bisogna ripristinare su NTFS files e cartelle che risiedevano su una partizione NTFS al momento del backup, allo scopo di non perdere tutti i settaggi inerenti i permessi, Encrypting File System, la definizione di quote ed altro.

192


Monitorare le prestazioni di Windows Server Un buon amministratore di rete garantisce l'efficienza e l'affidabilità dei sistemi da lui curati. Per mantenere tali caratteristiche è necessario effettuare un attento monitoraggio delle prestazioni dei server. In linea generale, il monitoraggio permette di ottimizzare o mantenere efficiente una rete basata su macchine client che usufruiscono dei servizi erogati dai server.In termini generali, le prestazioni indicano il grado di rapidità con cui un computer completa le attività di sistema e le applicazioni, rapidità che potrebbe essere frenata da un lento accesso ai dischi rigidi, da un’insufficiente quantità di memoria disponibile per tutti i processi in esecuzione oppure dalla velocità effettiva delle interfacce di rete.Il principale strumento di analisi delle prestazioni su Windows Server è la console Prestazioni (Performance), che contiene gli strumenti Monitor di Sistema (System Monitor) e Avvisi e registri di prestazioni (Performance Logs).

Monitor di sistemaCon il Monitor di sistema è possibile verificare in tempo reale i servizi di sistema e le risorse hardware utilizzate; è possibile monitorare sia il sistema dove si esegue lo strumento sia un server remoto. Il monitor visualizza i dati relativi a dei contatori liberamente selezionabili, in base alle nostre esigenze. Al nostro monitor possiamo aggiungere:

oggetti prestazione, che in genere corrispondono ai principali componenti hardware, ad esempio memoria, processori e così via;

contatori, associati ad ogni oggetto prestazione, rappresentano aspetti specifici di un sistema o di un servizio. Ad esempio, il contatore Pagine/sec associato all'oggetto Memoria tiene traccia dell'indice di paging della memoria.Per monitorare le prestazioni di un computer diverso da quello in cui verrà eseguito il servizio Avvisi e registri di prestazioni, fare clic con il tasto destro sulla finestra del monitor, aggiungere un contatore, fare

193


clic su Selezionare gli oggetti contatore dal computer e specificare il nome UNC (Universal Naming Convention, es. \\server2 ) del computer che si desidera controllare; eventualmente utilizzare la casella di testo Esegui come per specificare credenziali amministrative per il computer remoto.

Registri contatori (counters logs) Se l’obiettivo è quello di memorizzare i dati prestazionali, anzi che limitarsi alla loro analisi in tempo reale, si deve utilizzare lo strumento Avvisi e registri di prestazioni, con il quale è possibile creare un registro contatore, personalizzabile con l'aggiunta di oggetti e contatori.Per la creazione di un registro contatore, procedere come segue:

1. Aprire Prestazioni (Performance nelle versioni in lingua inglese) da Start, Pannello di controllo, Strumenti di amministrazione.

2. Espandere Avvisi e registri di prestazioni e posizionarsi su Registri contatori. Sulla destra potrete visualizzare l'elenco dei registri contatori esistenti, colorati di verde se il registro è in esecuzione, di rosso se in stato di arresto.

3. Rimanendo nell’area a destra, con il tasto destro scegliere Nuove impostazioni registro, digitare il nome del nuovo registro contatore e scegliere OK.

4. Si aprirà la scheda Generale; fare clic su Aggiungi oggetti e selezionare gli oggetti prestazioni da aggiungere o fare clic su Aggiungi contatori per selezionare i contatori da registrare. Come già indicato, possono anche essere selezionati oggetti e contatori relativi ad un sistema remoto.

5. Se si desidera modificare le informazioni predefinite sulla pianificazione e sui file, apportare le modifiche nelle schede File registro e Pianificazione.

6. Dopo aver creato un registro contatore, un registro traccia o un avviso, è possibile salvarlo per un utilizzo futuro, anche su altri sistemi: fare clic su di esso con il pulsante destro del mouse nel riquadro dei dettagli e quindi scegliere Salva impostazioni con nome. Sarà quindi possibile specificare un file htm in cui salvare le impostazioni. Per riutilizzare le impostazioni salvate per un nuovo registro o avviso, fare clic con il pulsante destro del mouse sul riquadro dei dettagli, quindi scegliere Nuove impostazioni registro da o Impostazioni nuovo avviso da. Esiste anche la possibilità di aprire il file HTML in Internet Explorer per visualizzare un grafico di Monitor di sistema.Un registro contatore può essere memorizzato sotto diverse forme:

File di testo (delimitato da virgole): questa opzione definisce un file registro delimitato da virgole con estensione .csv. Utilizzare questo formato, ad esempio, per esportare i dati del registro in un foglio di calcolo.

File di testo (delimitato da tabulazioni): definisce un file registro delimitato da tabulazioni con estensione .tsv.

File binario: Questa opzione definisce un file registro sequenziale in formato binario con estensione .blg. Utilizzare questo formato per registrare istanze di dati intermittenti, ovvero che si interrompono e riprendono dopo che è iniziata l'esecuzione del registro.

File circolare binario: questa opzione definisce un file registro circolare in formato binario con estensione .blg. Utilizzare questo formato per registrare continuamente i dati nello stesso file registro, sovrascrivendo i record precedenti con i nuovi dati quando vengono raggiunte le dimensioni massime del file.

Database SQL: questa opzione consente di definire il nome di un database SQL esistente e un set di registri all'interno del database in cui leggere o scrivere i dati sulle prestazioni. Utilizzare questo formato di file se si desidera raccogliere i dati sulle prestazioni a livello di organizzazione piuttosto che a livello di server.Vediamo ora nel dettaglio quali sono i contatori e i valori da monitorare per le principali componenti del nostro sistema:{tab=Memoria}

194


Monitoraggio della memoriaSe il vostro sistema appare lento, il primo elemento da verificare è certamente la memoria RAM. Un quantitativo insufficiente di RAM può rallentare in modo consistente le operazioni, le applicazioni e i servizi in esecuzione nel server, rappresentando quindi un collo di bottiglia (bottleneck) per l’intero sistema.Il paging eccessivo è il primo indicatore di un quantitativo insufficiente di RAM. Il paging è il processo mediante il quale blocchi di codice vengono spostati dalla memoria fisica RAM alla memoria virtuale su hard disk, rappresentata da un file detto di paging, o file di swap.La memoria virtuale è sempre in uso anche quando la memoria fisica richiesta da tutti i processi non supera il valore di RAM installata nel sistema; tuttavia quando questa richiesta si avvicina al valore limite della RAM disponibile, il sistema operativo sposterà con maggiore frequenza blocchi di dati dalla RAM al file di paging, liberando memoria fisica per altri utilizzi, ma facendo uso eccessivo di operazioni di lettura/scrittura su disco, a discapito di tutte le altre operazioni in esecuzione sul sistema.I principali contatori da utilizzare per determinare se la memoria è un collo di bottiglia sono i seguenti:

Pagine/sec: visualizza la frequenza con la quale le pagine vengono lette dal disco o scritte sul disco per risolvere gli errori di pagina gravi. Gli errori di pagina si hanno quando il sistema cerca in RAM pagine non più disponibili, perché spostate nel file di paging. Il suo valore medio, misurato su un periodo campione, dovrebbe essere inferiore a 5.

Byte disponibili (Available bytes): indica la quantità totale di memoria fisica disponibile. Il contatore presenta normalmente bassi valori, poiché Windows Disk Cache Manager usa memoria extra per la cache di sistema (memoria fisica corrente utilizzata per memorizzare le pagine dei file aperti) e restituisce memoria quando i processi ne fanno richiesta. Tuttavia bassi valori di Byte disponibili, pari o inferiori al 5% della memoria fisica totale, possono indicare un'insufficienza generale di memoria oppure il mancato rilascio di memoria da parte di un programma.

Byte vincolati (Commited bytes): indica il totale di memoria virtuale allocata dai processi. Se questo valore è superiore alla ram fisica è necessario aggiungere memoria. Un elevato valore di questo contatore rispetto alla ram installata causa l'eccessivo utilizzo del file di paging, con rallentamento dell’intero sistema.

Byte del pool non di paging (Pool Nonpaged Bytes): indica il numero di pagine che non possono essere spostate nella memoria virtuale e che quindi devono rimanere nello spazio della memoria fisica. Se questo valore subisce un incremento senza un corrispondente aumento delle attività nel server, l’incremento stesso potrebbe essere dovuto ad un processo con memory leak ("falla nella memoria"), ossia un consumo non voluto di RAM a causa della mancata deallocazione dalla memoria di variabili/dati non più utilizzati da parte del processo. Pertanto questo valore dovrebbe mantenersi costante, senza incrementi.Riepilogando in tabella, ecco le azioni risolutive:Contatore Valore accettabile Valore desiderato Azioni risolutivePagine/sec Inferiore a 5 Basso Individuare i processi che

causano un paging eccessivo;aggiungere RAM

Byte disponibili Non inferiore al 5% della memoria fisica totale

Alto Individuare i processi che causano un paging eccessivo;aggiungere RAM

Byte vincolati Inferiore alla memoria fisica totale

Basso Individuare i processi che causano un paging eccessivo;aggiungere RAM

Byte del pool non di paging

Deve risultare stabile, senza incrementi

Stabile Individuare i processi che causano un “memory leak”

Poiché un'elevata attività di paging comporta un utilizzo considerevole del disco, i problemi di memoria insufficiente che provocano il paging possono essere confusi con i colli di bottiglia del

195


disco. Pertanto, se il paging non sembra imputabile all’'insufficienza di memoria, verificare, oltre ai contatori della memoria, i contatori relativi all'utilizzo del disco, quali:

Disco logico\% Tempo disco Disco fisico\ Lunghezza media coda del disco

Se si riscontra una bassa frequenza di operazioni di lettura delle pagine tramite il monitor Memoria\Pagine/sec. ma contemporaneamente alti valori di %Tempo disco e Lunghezza media coda del disco, i rallentamenti del sistema potrebbero essere causati da un collo di bottiglia del disco. Se, invece, all'aumento della lunghezza della coda corrisponde un aumento di lettura delle pagine su disco, il problema dipende da un'insufficienza di memoria.{tab=Dischi}

Monitoraggio dei dischiI principali contatori da monitorare per la verifica delle attività del disco sono:

Disco fisico: % Tempo disco (% Disk Time): indica la percentuale di tempo dedicata dal disco ad attività di lettura/scrittura. Il valore medio non dovrebbe mai essere superiore al 90%

Disco fisico: Lunghezza media coda del disco (Current Disk Queue Lenght): numero di richieste del sistema in attesa di accesso al disco. Il valore non dovrebbe mai superare il valore dato dal numero di cilindri più 2 (la maggior parte dei dischi utilizza un unico cilindro): ad esempio, per un singolo hard disk il valore non dovrebbe superare il 3. Al contrario, i dispositivi RAID utilizzano più cilindri, dati dal numero di hard disk che compongono il RAID. Un dispositivo RAID hardware viene visualizzato come un disco fisico in Monitor di sistema.

Media Byte/Trasf. Disco (Avg. Disk Bytes/Transfer): indica il valore medio di byte trasferiti nel disco durante le operazioni di lettura e scrittura. Più efficiente sarà la sezione dischi del nostro sistema, maggiore sarà il valore visualizzato.

Byte da/a disco /sec. (Disk Bytes/sec.): indica i byte trasferiti nel disco durante le operazioni di lettura e scrittura. Più efficiente sarà la sezione dischi del nostro sistema, maggiore sarà il valore visualizzato.

Disco logico: % spazio disponibile (LogicalDisk\% Free Space): quantità di spazio disponibile su un disco logico (unità C, D, etc..)Riepilogando in tabella, ecco le azioni risolutive:Contatore Valore accettabile Valore desiderato Azioni risolutive% Tempo disco Inferiore al 90% Basso Se c'è del paging, verificare i

monitor della memoria fisica per chiarire la causa del pagingUtilizzare unità disco più velociUtilizzo di un sistema RAID

Lunghezza media coda del disco

Non superiore al numero dischi + 2

Basso Deframmentare il discoUtilizzare unità disco più velociUtilizzo di un sistema RAID

Media Byte/Trasf. Disco

Come rilevato in situazioni standard, o più elevato

Alto Deframmentare il discoUtilizzare unità disco più velociUtilizzo di un sistema RAID

Byte da/a disco /sec.


Alto Deframmentare il discoUtilizzare unità disco più velociUtilizzo di un sistema RAID

E' importante ricordare che l'assenza di un quantitativo adeguato di memoria fisisca RAM porta ad un'elevata attività di paging, con un utilizzo considerevole del disco. Pertanto i problemi di memoria insufficiente che provocano il paging possono essere confusi con una lentezza del disco. Se il paging non sembra imputabile ai dischi, verificare il contatore Pagine/sec relativo all'utilizzo della memoria, il cui valore non dovrebbe essere superiore a 5.{tab=Processore}

Monitoraggio del processoreIl monitoraggio del processore può essere eseguito sia con gli strumenti della console Prestazioni (Performance), sia con il Task Manager. Su Task Manager, il primo parametro da verificare è la percentuale di tempo in cui il processore è impegnato nelle operazioni di calcolo, visualizzabile alla voce “Utilizzo CPU” (CPU Usage). Sulla

196


console Prestazioni, i contatori da utilizzare per determinare se il processore è un collo di bottiglia per il sistema sono i seguenti:

% Tempo processore (% Processor time): indica la percentuale di tempo che il processore impiega per eseguire processi non-idle. Ogni processore infatti impiega parte del suo tempo ad eseguire processi idle (inattivi), che consumano cicli quando non vi sono altri processi in esecuzione; il valore viene calcolato sottraendo il tempo dei processi idle dal 100%; ciò che rimane è la percentuale di tempo che il processore impiega per normali processi, percentuale che dovrebbe mantenere un valore medio inferiore all’85%.

Sistema: lunghezza coda processore (Processore Queue Lenght): indica il numero di richieste in coda per il processore. In pratica rappresenta il numero di processi pronti per l’esecuzione, ma in attesa che il processore si liberi. Generalmente, è considerato accettabile un valore medio di coda non superiore a 2.

Code di lavoro del server: lunghezza coda (Server Work Queues, queue lenght): indica la lunghezza corrente della coda di lavoro del server relativa al processore selezionato. Questo valore dovrebbe mantenersi sotto il 4: una lunghezza di coda costantemente sopra il valore 4 indica una congestione del processore.

Interrupt/sec: numero di interrupt di processo ricevuti dal processore. Gli interrupt, o interruzioni, sono generati da componenti hardware quali i controller degli hard disk e le interfacce di rete. Un valore continuo oltre il 1000 generalmente è sintomo di problemi; come regola generale, un significativo aumento di questo valore, senza un corrispondente aumento delle attività nel server, indica problemi di tipo hardware.Riepilogando in tabella, ecco le azioni risolutive:Contatore Valore accettabile Valore desiderato Azioni risolutive% Tempo processore

Inferiore all'85% Basso Individuare il processo che utilizza un eccessivo tempo processore.Installare un processore più veloce o aggiungerne un altro.

Sistema: lunghezza coda processore

Inferiori a 2 Basso Installare un processore più veloce o aggiungerne un altro.

Code di lavoro del server: lunghezza coda

Inferiore a 4 Basso Individuare il processo che utilizza un eccessivo tempo processore.Installare un processore più veloce o aggiungerne un altro.

Interrupt/sec Inferiore a 1000 Basso Verificare il controller che genera gli interrupt

{tab=Rete}

Monitoraggio della reteIl monitoraggio della rete consiste normalmente nell'osservare l'utilizzo delle risorse del server e nel misurare il traffico complessivo della rete. I principali contatori da monitorare per la verifica delle attività di rete su Windows Server sono:

% Utilizzo rete (% Network utilization), disponibile sul Task Manager di Windows: indica la percentuale di banda di rete in uso per l’interfaccia di rete locale. Il suo valore dovrebbe stare al di sotto del 30%.

Interfaccia di rete: Byte inviati/sec.: numero di byte inviati tramite l’interfaccia di rete. Interfaccia di rete: Byte totali/sec.: totale dei byte inviati e ricevuti tramite l’interfaccia di rete. Il

valore dovrebbe essere elevato, in tal caso si è in presenza di un alto numero di trasmissioni con successo.

Server: Byte ricevuti/sec.: è un valore da confrontare con la larghezza di banda totale a disposizione per l’interfaccia di rete. Il valore dovrebbe essere inferiore al 50% della capacità.Riepilogando in tabella, ecco le azioni risolutive:Contatore Valore accettabile Valore desiderato Azioni risolutive% Utilizzo rete (su Task Manager)

Inferiore all'30% Basso Upgrade dell'interfaccia di rete o degli apparati di rete

Interfaccia di rete: Byte inviati/sec.


Alto Upgrade dell'interfaccia di rete o degli apparati di rete

Interfaccia di Come rilevato in situazioni Alto Upgrade dell'interfaccia di 197


rete: Byte totali/sec.

standard, o più elevato rete o degli apparati di rete

Server: Byte ricevuti/sec.

Inferiore al 50% della capacità di banda totale

Basso Upgrade dell'interfaccia di rete o degli apparati di rete

Valori anomali dei contatori di rete spesso indicano la presenza di problemi nella memoria, nel processore o nei dischi di un server. E’ quindi consigliabile osservare i contatori di rete insieme ai contatori Processore\% Tempo processore, Disco fisico\% Tempo disco e Memoria\Pagine/sec. Se, ad esempio, a un consistente incremento di Pagine/sec corrisponde una riduzione del contatore Byte totali/sec gestito da un server, è probabile che il computer non disponga di memoria fisica sufficiente per le operazioni di rete.{/tabs}

AvvisiQuando i valori di determinati contatori diventano superiori o inferiori rispetto a un limite specificato, è possibile impostare la scrittura di un messaggio nel log eventi, l'esecuzione di un'applicazione o l'invio di un messaggio in rete, il tutto tramite lo strumento Avvisi, presente in Avvisi e registri di prestazioni all'interno della già citata console Prestazioni di Windows.Un avviso può essere utilizzato per controllare periodicamente i valori di determinate prestazioni. L'amministratore può specificare un valore di soglia per ogni contatore.Oltre che dall'interno del server stesso, gli avvisi possono essere gestiti dalla postazione client dell'amministratore, aprendo la console Prestazioni, andando su Avvisi, e selezionando Impostazioni nuovo avviso. Nella scheda Generale delle Proprietà della scheda di segnalazione, si dovrebbe fare clic su Aggiungi. Si possono impostare contemporaneamente avvisi di monitor che riguardano più server in rete. Se ad esempio vogliamo ricevere un avviso che ci informa sullo spazio libero nell'unità disco di un server, nella finestra di dialogo Aggiungi contatori è necessario selezionare o digitare il nome di un server, selezionare l'oggetto Disco Logico, selezionare il contatore % Spazio disponibile, selezionare il volume appropriato e fare clic su Aggiungi.

198


In questo modo, si può aggiungere un contatore per ogni volume desiderato su ogni file server. Dopo aver cliccato su chiudi, nella scheda Generale è necessario selezionare il contatore per il quale impostare la soglia di avvertimento, impostando ad esempio Minore di 10 per ricevere un avviso quando lo spazion libero nell'unità è inferiore al 10%.

Sulla scheda Azione, è consigliato lasciare abilitata la voce "Registra una voce del registro..." per far sì che l'evento venga visualizzato nel registro eventi applicazione della macchina dove vengono eseguiti i monitor. Inoltre è possibile impostare l'esecuzione di un'applicazione o l'invio di un messaggio attraverso la rete. Sulla scheda Pianificazione, è possibile specificare uno schema in base al quale vengono avviate le analisi. In alternativa, è possibile avviare e interrompere la segnalazione manualmente. Quando viene inviata una segnalazione dal sistema, oltre alla ricezione del messaggio di rete (se impostato), nel log eventi viene visualizzato il nome esatto del contatore, il nome del computer, il volume della lettera di unità e il superamento della soglia specificata.

199


Internet information server

Un server web è un servizio (e quindi un’applicazione) in esecuzione su un computer host (server) in attesa di connessioni per fornire una serie di informazioni codificate secondo uno specifico protocollo o linguaggio. In pratica un server web permette ad un client (il vostro browser: Internet Explorer, Firefox, Safari, Opera o altro) di collegarsi mediante la porta 80 (specifica del protocollo TCP/IP) e di richiedere informazioni secondo un determinato protocollo. Il server Web, alla richiesta, fornisce le informazioni codificate mediante un determinato linguaggio (HTML, XML, XHTML).

Figura 1. Connessione server-client nel flusso HTTP

Questa guida ha l'intenzione di descrivere nel particolare la configurazione del server web di Microsoft: Internet Information Services (IIS) versione 6.0. Questa applicazione fa parte del sistema operativo Microsoft Windows 2003 Server e si trova sul Cd di installazione del sistema operativo.

Microsoft Internet Information Services, spesso abbreviato in IIS, è un complesso di servizi server Internet per sistemi operativi Microsoft Windows. Inizialmente venne distribuito come Option Pack per il sistema operativo Windows NT, venne poi integrato in Windows 2000 e Windows Server 2003.

L'applicazione server intercetta le richieste FTP o http dal browser del client recupera i file richiesti e li invia sulla rete: non è in grado, di per sé, di eseguire elaborazioni Server-side ma ne delega l'esecuzione ad applicazioni ISAPI. Microsoft stessa fornisce una serie di applicazioni tra le quali il modulo per Active Server Pages ed ASP.NET. Altri sviluppatori hanno reso disponibili i moduli per il supporto ai linguaggi PHP e Perl.

200


Installazione

La versione di IIS progettata per essere eseguita su un sistema operativo host specifico non può essere installata su nessun altro sistema operativo. IIS non è indipendente dal sistema operativo. Ad esempio, IIS 6 non può essere installato su Windows 2000 (versione precedente a Windows 2003) e IIS 5 non può essere installato su Windows NT 4 (versione precedente a Windows 2000), e la versione 6 non può essere installata su Windows XP. Questa limitazione è dovuta alla strettissima integrazione fra IIS e il sistema operativo specifico.

Analizziamo ora i passi necessari per installare IIS 6 su Windows 2003 Server.

Per prima cosa, ipotizzando di aver già il sistema operativo Windows 2003 installato, inseriamo il cd di installazione di Windows 2003 Server.

Per procedere con l’installazione selezionare il menu Start e quindi Pannello di controllo. Quindi selezionare Installazione Applicazioni, successivamente Installazione componenti di Windows. Quindi si seleziona Server Applicazionie successivamente Internet Information Services (IIS).

Vengono visualizzate una serie di righe ciascuna con la possibilità di essere aggiunta o eliminata dall’installazione mediante il relativo segno di spunta. Andiamo ad analizzare ogni singola voce, quelle necessarie o secondo il mio parere molto utili hanno un asterisco all’inizio:

1. Estensioni del server Bits: Permette il controllo della larghezza di banda sul trasferimento di file.

2. Estensioni del server di frontpage 2002: permette di installare l’insieme delle funzionalità aggiuntive relative alle estensioni di Front page (utile solo se si usa frontpage come editor di pagine web).

3. *File comuni: l’insieme di tutti i file necessari al corretto funzionamento del server web, senza questa opzione il servizio non può funzionare.

4. *Servizio FTP (File Transfer Protocol): applicazione per la condivisione dei documenti e contenuti secondo lo specifico protocollo FTP.

5. *Servizio SMTP (Simple Mail Transfer Protocol): sistema di gestione della messaggistica, invio dei messaggi di posta elettronica.

6. Servizio NNTP(News Network Transfer Protocol): sistema di gestione delle news (usenet news su internet).

7. *Servizio Web: è a sua volta suddiviso in: o *Active Server Pages: l’opzione installa tutte le funzionalità

necessarie all’esecuzione dei file “.asp”normalmente disabilitata.o Internet Data Connector: permette la connessione tra il sito web

e il database (sistema ormai obsoleto).o Remote Administration (HTML): Installando questa opzione si

abilita la possibilità di amministrare remotamente il server web con un browser, rispetto alle precedenti versioni è possibile amministrare anche server diversi da quello in cui è installata l’estensione.

201


o Remote Desktop Web Connection: l’opzione, se abilitata, installa il controllo ActiveX che permette ad internet Explorer di connettersi al computer via terminal server, usando una pagina web.

o *Server Side Includes: questa funzionalità abilita la possibilità di inserire script server side nelle pagine di codice.

o WebDAV Publishing: questa opzione abilita la possibilità di usare lo standard WebDAV (Distributed Authoring and Versioning) per pubblicare i documenti.

o *Servizio Web:insieme delle funzionalità base per il protocollo HTTP.

8. *Gestione Internet Information Server: installa il componente che permette di gestire il server web dalla Microsoft Management Console (MMC).

9. Stampa Internet: questa funzione permette di condividere le stampanti mediante il protocollo http.

Figura 2. Terza finestra di installazione (si apre cliccando su Internet Information Server)

Una volta selezionate le voci di interesse (un esempio è dato dalle figure sopra) si procede all’installazione. È importante ricordare che eventualmente in ogni momento, seguendo la procedura indicata, possono essere rimossi o aggiunti alcuni componenti. Ad esempio il server SMTP può essere aggiunto in un secondo tempo selezionando l’apposita casellina (checkbox).

202


Figura 3. Risultato della chiamata http://localhost

Una volta completata l’installazione il server Web è funzionante e può essere provato digitando http://127.0.0.1oppure http://localhostall’interno del browser.

203

http://localhost/

http://127.0.0.1/


La cartella Inetpub

Normalmente appena è installato il servizio viene creata una cartella del tipo “c:\inetpub”che al suo interno contiene quello che è l'insieme delle cartelle per far funzionare il sito principale e il server SMTP. Nulla vieta che una volta installato si possa cambiare tutte queste impostazioni. All'interno di inetpub troverete anche altre cartelle, ognuna definita da alcune funzioni specifiche, così come descritto di seguito.

adminscripts –cartella dove sono contenuti gli script per eseguire alcune funzionalità di amministrazione come creare siti web o directory virtuali.

ftproot –cartella base per il sito ftp creato durante l'installazione (buona norma disattivarlo nel caso in cui non servisse)

mailroot –cartella contenente altre sottodirectory per il corretto funzionamento del server SMTP predefinito.

nntpfile –cartella per il corretto funzionamento del server NNTP. wwwroot –cartella in cui si trovano i file e le sottodirectory per il

corretto funzionamento del Default Web Site

Utilizzo degli strumenti di configurazione

Per poter gestire i siti web e tutte le altre funzionalità fornite con IIS 6.0 si usa la MMC (Microsoft Management Console), un framework che permette di controllare un insieme non omogeneo di funzionalità, ad esempio IIS 6.0, SQL Server 2000, Windows services, e quasi tutte le funzioni Amministrative di windows mediante degli add-on che sono chiamati snap-in. In ogni caso l’interfaccia di amministrazione di IIS 6.0 lo ritrova all’interno del menu; Programmi /Strumenti di amministrazione / Internet Information Services.

Una volta aperta la console si visualizza un albero come quello mostrato in Figura 4.

Figura 4. Interfaccia della MMC relativa a IIS

204


Nella colonna di sinistra possiamo trovare un icona che rappresenta il server dove è installato il servizio web, il nome indica il nome della macchina ospite (host). Cliccando sul "più" (+) accanto al nome si aprono alcune nuove voci relative alle funzionalità installate, ad esempio siti FTP, Pool di applicazioni, siti Web, Estensioni servizio Web, Server virtuale SMTP predefinito.

Analizziamo ora i vari sottoservizi di IIS 6.0, da questa guida è esclusa la descrizione del pool di applicazioni e del server NNTP. Il pool di applicazioni serve a configurare i diversi comportamenti delle applicazioni (Aspe Asp.net) all’interno dei singoli siti e richiede conoscenze di programmazione e debugging che esulano da questa guida. Il server NNTP serve invece a creare un’applicazione in grado di gestire una usenet news (una Rete di collegamento ad Internet, per l'interscambio di“conferenze” di messaggi (newsgroup). Partiamo, come è naturale, dal server di gestione dei siti Web.

Creazione di un nuovo sito web

Per creare un nuovo sito Web è necessario cliccare con il tasto destro del mouse sull’apposita cartellina, in questo caso Siti Web, e scegliere Nuovo, una volta che si è aperta una nuova finestra fate clic su Avanti.

Si apre una finestra dove è necessario indicare il nome del sito. È solo una descrizione e non influisce sulle proprietà o impostazioni del sito. Successivamente è necessario inserire l'indirizzo internet (IP) del computer da associare al sito e la porta, normalmente 80; è possibile inoltre specificare il nome internet da associare al sito quando si utilizza la funzionalità di virtual hosting. Successivamente, premendo Avanti, viene richiesto il percorso sul disco dove verrà montata la directory del sito Web, e se si vuole l'accesso anonimo al sito. Successivamente viene richiesto quali permessi associare alla directory del sito:

lettura: i file sono leggibili via web. esecuzione: possono essere eseguiti file eseguibili tipo .exe, .com, cgi e così

via esecuzione script: possono essere eseguiti script asp scrittura: è possibile scrivere all'interno del sito esplorazione: è possibile vedere le cartelle e il loro contenuto

Infine viene chiesto quale deve essere la tipologia di accesso, cioè se deve essere solo possibile scrivere o leggere o entrambe (Figura 5).

Figura 5. Creazione sito web

205


Configurazione generale e prestazioni

Una volta creato il sito, andiamo ad analizzare le configurazioni che possono essere cambiate una volta completata la procedura di creazione e che riguardano sia i parametri che abbiamo inserito durante la creazione del sito sia altre funzionalità. Faremo una breve analisi di tutte le proprietà soffermandoci su quelle più utili e tralasciando o brevemente descrivendo quelle più complesse o, per l’obiettivo di questo articolo, non necessarie. Poiché la configurazione di un server Web è complessa, abbiamo diviso in quattro diverse lezioni le descrizioni dei parametri.

Premendo con il tasto destro del mouse sul nome del sito e scegliendo Proprietà si apre una finestra con alcune schede. Ogni scheda sarà trattata specificando i singoli valori configurabili, gli asterischi presenti all’inizio del nome della proprietà indicano caratteristiche complesse o che richiederebbero un approfondimento maggiore, che esula da questa guida e che sarà trattato in seguito.

1. Sito Web: permette di definire e modificare le impostazioni principali del sito.o Descrizione: è il nome usato per definire il sito nell'albero dei siti web.o Indirizzo IP: è l'indirizzo associato al server per rispondere alle richieste

http. Il pulsante avanzate permette di aggiungere il nome DNS del sito, per abilitare la funzionalità virtual host, in cui più siti rispondono sulla stessa porta e stesso indirizzo, usando come discriminante il nome dns del sito (es. www.html.it).

o Porta TCP, porta SSL: rappresentano rispettivamente il numero della porta per le richieste http e le richieste https.

o Timeout connessione: permette di definire il tempo dopo il quale, senza nessuna richiesta da parte del client, il server interrompe la connessione. In genere il browser invia dei pacchetti “HTTP keep-alive” in modo da mantenere attiva la connessione. Infatti alla conclusione delle

206


operazioni il client chiude la connessione, ma in caso contrario resterebbe aperta indefinitamente, invece con il timeout, il server, trascorso il tempo, chiude comunque la connessione.

o Abilita HTTP keep-alive: permette di accettare i pacchetti keep alive per tenere aperta la connessione. Senza abilitare questa funzione le prestazioni potrebbero degradare.

o Consenti registrazione attività: permette di abilitare il logging delle richiesta, sia per fini di debug sia per finalità di statistiche di accesso. I file possono essere salvati sia in formato testo (W3C Extended Log File) sia in formato database. È inoltre possibile specificare la posizione dove inserire i file di log.

Figura 6. Sito web

2. Prestazioni: questa scheda permette di limitare le risorse che il sito può utilizzare.

o Limitazioni della larghezza di banda: è possibile definire una larghezza di banda massima che il sito può utilizzare.

o Numero di connessioni: permette di definire il numero massimo di connessioni che il server è in grado di servire contemporaneamente.

Figura 7. Scheda prestazioni

207


3. *Filtri Isapi: permette di aggiungere dei filtri al server che serviranno per la gestione di particolari tipologie di connessioni. È una funzionalità avanzata e richiede la conoscenza intrinseca della struttura del server IIS 6

208


Protezione directory:

in questa scheda vengono definite tutte le politiche di sicurezza che devono essere abilitate per rendere più o meno sicuro l'accesso al sito. Sono presenti tre diverse opzioni.

Controllo autenticazione accesso

È possibile specificare l'utente del sistema che deve impersonificare l'utente anonimo che naviga nel sito per poter definire i permessi di accesso alle risorse del sistema.

Ad esempio: supponiamo che si voglia dare la possibilità ad un utente web di uplodare mediante un'applicazione Asp dei file nella cartella “docs”del nostro sito. In modo predefinito l'utente Web (che d'ora in poi chiameremo anonimo) ha accesso solo in lettura alle cartelle ed ai file del nostro sito, per questo motivo è necessario dargli la possibilità di scrivere all'interno della cartella“docs”. Per far questo abilitiamo nelle proprietà della cartella “docs” la possibilità che l'utente anonimopossa scrivere. Ma qual'è l'utente di sistema che impersonifica l'utente anonimo? La risposta la troviamo nella scheda Controllo autenticazione accesso. Anche in questo caso in modalità predefinita l'utente è“IUSR_NOMECOMPUTER”. Nulla vieta che se ne abbiamo motivo possiamo cambiare questo utente, da quel momento l'utente anonimo sarà impersonificato per l'accesso alle risorse del computer dal nuovo utente del sistema che abbiamo inserito.

Se noi dovessimo rimuovere la spunta dalla casella Abilita accesso anonimo per accedere al sito sarà necessario autenticarsi, e utilizzare un utente del computer o del

209


dominio. In questo caso il tipo di autenticazioneè definito dalla seconda serie di opzioni della scheda, dove è possibile definire se si desidera abilitare l'autenticazione integrata di Windows, autenticazione del digest per il dominio Windows, autenticazione di base (la più usata), autenticazione .NET passport. Queste opzioni saranno descritte più avanti nella guida.

Nelle ultime due caselle è possibile specificare undominio windows in cui eseguire l'autenticazione, in modalità predefinita viene ricercato nel dominio della macchina stessa (nome del computer, cioè utente locale), nella seconda casella può essere indicata l'area di autenticazione, cioè il testo che viene visualizzato sulla finestra di login del browser.

Limitazione sugli indirizzi ip e sui nomi a dominio

Questo tipo di sistema di sicurezza permette di bloccare degli IP o dei domini che accedono al sito. Si può scegliere l'impostazione predefinita e le scelte sono due: consentito o negato.

Se per impostazione predefinita l'accesso è consentitosignifica che tutti i computer possono accedere al sito eccetto quelli indicati nel box sottostante. Se invece come impostazione predefinita è indicato negato significa che l'accesso è negato a tutti i computer eccetto quelli indicati nel box sottostante. Quando si vuole aggiungere un nuovo elemento che possa accedere o a cui sia negato si clicca sul pulsante Aggiungie si sceglie se si vuole specificare un singolo indirizzo IP, oppure una classe indicando quindi anche la sottomaschera di rete, oppure un dominio internet. In quest'ultimo caso, come viene specificato con un alert dal sistema, è necessario eseguire un reverse lookup sul dns, e questa è un'operazione molto costosa in termini di performance.

La scheda relativa alle comunicazioni protette o certificati digitali viene trattata specificatamente nel capitolodella guida dedicato alla sicurezza.

Figura 11. Scheda protezione directory

210


Messaggi di errore personalizzatiQuesta scheda permette di specificare se utilizzare i file HTML predefiniti per gli errori oppure utilizzarne di personalizzati. Per prima cosa è necessario selezionare il numero di errore, quindi indicare il file HTML che si vuole usare. Ad esempio vogliamo personalizzare l'errore 404, pagina non trovata, selezioniamo il numero 404 e indichiamo al server la pagina HTML che deve essere visualizzata ogni volta che viene individuato tale errore.

Figura 12. Messaggi di errore personalizzati

211


Intestazioni HTTP

La scheda Intestazioni HTTP permette di definire la cache delle pagine, il tipo di contenuto, le intestazioni e il rating di una pagina del sito. Vediamo le opzioni.

Abilita scadenza contenuto: è possibile indicare la durata in cache della pagina, le opzioni sono tre:

1. immediata: la pagina viene letta ogni volta e mostrata al browser senza tenerla in cache.

2. dopo: la pagina rimarrà in cache per il tempo indicato.3. scadenza: si definisce una data fino alla quale la pagina verrà tenuta

nella cache del server web.

Intestazioni HTTP personalizzate: permette di inviare al client determinate intestazioni, tipo X-Powered, o altre personalizzate. Per usi comuni non hanno interesse.

Classificazioni del contenuto (rating): permette di indicare mediante le definizioni standard internet il tipo di contenuto del sito.

Tipi MIME: se IIS 6.0 deve caricare un file con un'estensione sconosciuta non esegue l'operazione, perciò è necessario specificare un'estensione nei tipi mime affinchè possa venire inviata al browser.

Figura 13. Intestazioni HTTP

212


Una volta configurato il nostro server web, possiamo decidere di associare al sito cartelle che però sono distribuite nel filesystem e non si trovano all’interno della cartella principale utilizzando le directory virtuali, argomento della prossima lezione.

Creazione di una directory virtuale

All'interno di ogni sito web si trovano le cartelle fisiche, cioè presenti nella cartella principale del percorso fisico. Ma sarebbe possibile creare un collegamento ad una cartella che fisicamente risiede in un'altra parte del disco e con permessi diversi? La risposta è sì, e queste cartelle collegate si chiamano directory virtuali, proprio perchè sono dei collegamenti e non si trovano fisicamente all'interno del percorso del sito web.

Per creare una cartella virtuale è necessario cliccare con il tasto destro sul sito all'interno del quale la cartella deve essere creata, e selezionare Nuovo e quindi Cartella virtuale. Quindi si apre una finestra che chiede all'utente di indicare l'alias ossia il nome che la cartella avrà all'interno del sito web e che non necessariamente deve coincidere con il nome fisico. Successivamente è necessario selezionare la collocazione della cartella reale che verrà collegata all'alias. Infine si selezionano i permessi che devono essere associati alla cartella:

Lettura: è possibile leggerne il contenuto Esecuzione Script: se possono essere eseguiti file .asp Esecuzione cgi: se possono essere eseguiti file eseguibili, perl, o altro Scrittura: è possibile scrivere all'interno della cartella Esplorazione: possono essere visualizzati i contenuti della cartella213


In ogni cartella reale o virtuale può essere creata un'applicazione che la rende quindi indipendente dalla configurazione dell'applicazione del sito principale premendo Crea applicazione nella scheda Home directory.

I sistemi di autenticazione base

La sicurezza è uno delle evoluzioni e miglioramenti che Microsoft ha compiuto nel passaggio dalla versione 5 alla 6 di IIS. Uno dei rischi più grossi cui si andava incontro nella versione 5 era relativo alle falle che davano accesso al sistema. Analizziamo ora quali sono in dettaglio i sistemi di autenticazione che IIS 6.0 supporta per l’accesso alle risorse da parte dei navigatori web.

L'autenticazione in IIS 6.0 avviene mediante uno dei metodi sotto indicati:

Autenticazione anonima Autenticazione base Digest e Advanced Digest authentication Integrated Windows authentication .NET Passport authentication

Autenticazione Anonima

Il server utilizza un utente del sistema per impersonare il navigatore web non autenticato quando vengono richieste risorse al sistema. L'utente predefinito è“iusr_nomemacchina” (ad esempio se il server Windows si chiama GANDALF il nome dell'utente predefinito che il server utilizzerà per impersonificare un utente che naviga su un sito di IIS 6.0 senza nessun tipo di autenticazione sarà“iusr_gandalf”). Questa è la situazione più diffusa, quando cioè non compaiono le finestre del browser che richiedono di autenticarsi.

I vantaggi di un tale sistema di autenticazione è che ogni risorsa è accessibile per chiunque, questo è anche uno svantaggio, in quanto non è possibile bloccare l'accesso a determinate risorse.

Ciascuna di queste autenticazioni è presente nell’apposita scheda (vista precedentemente)“Protezione directory”.

Autenticazione base

Con questa autenticazione si obbliga il sito ad accettare solo utenti che possiedono le credenziali corrette.

Quando compare sul browser la finestra di sistema (è importante perché certi siti malintenzionati potrebbero clonare una finestra simile) che chiede nome utente e password, l’utente inserirà le proprie credenziali e il server web utilizzerà tali credenziali di sistema per concedere o negare risorse (quindi pagine web) alla sessione web in corso.

214


Un grande vantaggio è che tutti i browser la supportano, inoltre è possibile direttamente proteggere alcune risorse. Lo svantaggio è che le password passano in chiaro (codificate in base 64) e possono essere lette da chiunque.

I sistemi di autenticazione avanzata

Digest e Advanced Digest authentication

Questo sistema di autenticazione richiede la presenza di Active Directory e funziona nel seguente modo:

1. Il server invia al browser (protocollo http 1.1) la richiesta di credenziali mediante MD5 inviando un apposito hash

2. Il client invia al server la password e username codificata in MD5 mediante la hash inviata dal server

3. Il server controlla mediante un domain controller che i dati siano corretti

La differenza tra Digest e Advanced Digest è che nel secondo metodo la password nel DC (Domain Controller) è già codificata in MD5 e non è inviata come testo in chiaro. Questo comporta naturalmente un maggiore livello di sicurezza.

Integrated Windows authentication

Esistono due metodi di autenticazione integrata in Windows e sono Kerberos (open source) oppure NTLM (proprietario di Microsoft). In entrambi i metodi i dati sono passati in forma criptata mediante hash della password ed il controllo avviene su un DC, necessario perciò l'indicazione del dominio di riferimento. Kerberos è un po più complesso e anche sicuro perchè l'autenticità di server e client viene fatta mediante un terzo server, il Key Distribution Center (KDC), il quale rilascia un TGT (Ticket granting ticket) a ciascun utente che lo può usare per accedere alle risorse.

.NET Passport authentication

Permette di utilizzare il sistema .Net Passport per l'autenticazione dell'utente. Richiede la preregistrazione e la sottoposizione del sito all'approvazione di Microsoft, le richieste dalle proprie pagine devono seguire le specifiche indicate nel Passport SDK. Una trattazione più dettagliata di questo metodo esula dagli obiettivo di questo articolo.

Questi ultimi 3 sistemi sono molto sicuri, anche se richiedono una configurazione anche di instrastrutture, molto più complessa. In pratica la scelta di quale sistema adottare si deve basare sulle richieste di sicurezza, sulla complessità di implementazione, sulle risorse a cui si vuole accedere.

215

http://www.microsoft.com/net/services/passport/developer.asp


Gestione dei certificati digitali

I certificati digitali sono uno dei sistemi più sicuri per effettuare comunicazioni protette attraverso internet. IIS 6.0 supporta nativamente, come anche IIS 5.0, la protezione certificata. Non sono impersonificazioni come quelle precedenti, ma sono veri e propri canali sicuri in cui possiamo poi stabilire una connessione non sicura. Ad esempio se utilizziamo il certificato digitale e usiamo l'autenticazione base (non criptata quindi) nessuno sarà comunque in grado di leggere le informazioni perchè sarà criptato tutto il flusso di dati, dal client al server e viceversa.

Il funzionamento avviene utilizzando delle chiavi con cui il client e il server cifrano le informazioni che si inviano. È come se venisse costruito un tunnel tra il client e il server e tutte le informazioni passano all'interno di questo tunnel. In questo modo anche se usiamo un'autenticazione di base con password in chiaro essa, nel momento in cui viene inviata al server, è criptata mediante la chiave del server e solo chi è in possesso della chiave privata del server può decodificarla e leggerne i contenuti. La presenza di un certificato sul sito è identificata dall'url del sito stesso. L'aggiunta del certificato implica che non si possa più usare il protocollo http ma https, per cui l'indirizzo del sito, ad esempio, html.it sarà https://www.html.it e non http://www.html.it.

In IIS per abilitare l'utilizzo di certificati digitali è necessario entrare nelle proprietà del sito e selezionare la scheda Protezione directory quindi Certificato Server, in questo modo si apre una scheda che ci permette di creare una chiave, oppure importare un certificato o copiarlo da un altro sito. Per lo scopo di questa guida ci soffermeremo solo sulla creazione di un nuovo certificato.

Seguiamo le indicazioni e creiamo una chiave che poi andremo ad inviare ad una Certification Authority (CA) autorizzata che ci consegnerà un certificato da installare sul nostro server web. L'installation Wizard, durante la creazione della chiave, ci chiederà alcune informazioni che serviranno poi alla CA per generare un certificato. Innanzitutto è necessario specificare il nome corretto del sito web e la dimensione della chiave (questa informazione è necessario recuperarla dalla CA che vogliamo utilizzare, in genere 1024 bit), il punto più importante è il nome comune ossia l'indirizzo dns del sito (se si indicherà un nome sbagliato il certificato non riconoscerà correttamente il sito).

Una volta completato il processo noi avremo un file da inviare alla CA per creare un vero certificato digitale. Premendo con il tasto sinistro del mouse sul pulsante certificato server le opzioni sono cambiate e il sistema si aspetta che noi gli forniamo il certificato digitale creato con la chiave. Quando la CA ci avrà fornito il file con estensione .cer, potremo completare la procedura installandolo mediante il pulsante certificato server e indicando la locazione sul disco del file.

Successivamente, nella scheda Comunicazioni protette, sarà possibile indicare una serie di opzioni da associare al nostro certificato. Ad esempio spuntando la prima casella, la protezione SSL viene attivata e può essere resa più sicura indicando codifica 128 bit (se il certificato li supporta). È possibile inoltre abilitare i certifcati lato client oppure eseguire il mapping mediante Active directory con utenti certificati. Per

216


completare la procedura e rendere effettivo il sito SSL è necessario indicare la porta SSL nella scheda delle proprietà generali del sito come 443. A questo punto scrivendo https://nomedelsito, abbiamo reso effettivo il nostro sito in https.

217


Microsoft Exchange Server 2003

Introduzione:Al giorno d'oggi un numero crescente di aziende considera i sistemi di messaggistica come elementi di importanza strategica per le proprie attività: per questo motivo, i sistemi di posta elettronica aziendali devono soddisfare severi requisiti di affidabilità e disponibilità.Altrettanto importante è la richiesta sempre maggiore di nuove funzionalità per i sistemi di messaggistica.Accentuata mobilità della forza lavoro e organizzazioni con sedi geograficamente lontane comportano una continua evoluzione dei requisiti degli utenti.L'insieme di questi fattori coinvolge in primo luogo architetti di sistemi e responsabili IT (Information Technology), incaricati della progettazione di sistemi di messaggistica con un elevato livello di affidabilità e disponibilità in grado di soddisfare le esigenze degli utenti.Tutti questi requisiti ci portano a concludere che Microsoft Exchange Server 2003 è lo strumento che fa al nostro caso.Per lo sviluppo di un valido sistema di messaggistica Microsoft Exchange Server 2003, è fondamentale comprendere le potenzialità e i limiti del software e dell'hardware su cui tale sistema si basa.Sia nel caso dello sviluppo di un nuovo sistema di messaggistica Exchange Server 2003 che dell'aggiornamento di una precedente implementazione di Exchange, è necessario valutare le limitazioni dell'infrastruttura di rete, confrontandole con le capacità del sistema di messaggistica, del sistema operativo e del software degli utenti.Questi argomenti rappresentano un utile supporto per il processo di valutazione dell'ambiente esistente e per l'identificazione delle problematiche tecniche che influenzano le scelte di progettazione e sviluppo.Vengono inoltre offerte indicazioni per la creazione di un sistema di messaggistica Exchange 2003.In altri argomenti vengono descritti i miglioramenti di Exchange 2003, Microsoft Windows Server 2003 e Microsoft Office Outlook 2003 e identificati problemi relativi a infrastruttura di rete, hardware, servizio Microsoft Active Directory® e amministrazione.Questi argomenti propongono anche una serie di considerazioni che consentono di sviluppare un sistema di messaggistica ad elevata affidabilità e disponibilità, inclusi tecnologie di archiviazione, clustering, ottimizzazione del server e configurazione dei computer client.

Informazioni

- Quali fattori è necessario prendere in considerazione in fase di progettazione o di aggiornamento di un sistema di messaggistica Exchange 2003 ?- In quale modo le nuove funzionalità di Exchange 2003, Windows Server 2003 e Outlook 2003 influenzano le scelte di progettazione del sistema ?- Come è possibile integrare Exchange con l'infrastruttura Active Directory esistente ?- Quali sono i suggerimenti per il posizionamento di cartelle pubbliche e cartelle

218

http://www.umts-italia.net/files/posted_images/user_18110_exchange2003.jpg


relative alla disponibilità ?- Come è possibile utilizzare gli strumenti di consolidamento dei siti per spostare i dati di Exchange dai server di siti remoti a un server di un sito centrale ?- Quali sono i suggerimenti per la progettazione del routing e il posizionamento dei server? Come è possibile ottimizzare l'utilizzo di memoria nei server ?- Sulla base dei requisiti e dell'infrastruttura di rete, a quale livello è possibile centralizzare i server?- Quali sono i limiti e le capacità di adattamento di Exchange 2003 ?- Come è possibile ottimizzare l'affidabilità e la disponibilità del sistema di messaggistica ?

Destinatari

Questi argomenti si rivolgono ai professionisti del settore IT responsabili della pianificazione e della progettazione dei sistemi di messaggistica Exchange per la propria azienda. I ruoli rivestiti da tali professionisti includono:

- Architetti di sistemi: responsabili della progettazione dell'infrastruttura globale dei server, dello sviluppo di strategie e criteri di distribuzione dei server e della partecipazione allo sviluppo della connettività di rete.- Responsabili IT (Information Technology): responsabili tecnici a capo dello staff IT per la distribuzione server, desktop e dell'infrastruttura, oltre che per l'amministrazione dei server e le operazioni tra siti.- Amministratori di sistema: responsabili della pianificazione e della distribuzione di tecnologie tra server Microsoft Windows®, oltre che della valutazione e dell'indicazione di nuove soluzioni a livello di tecnologia.- Amministratori di messaggistica: responsabili dell'implementazione e della gestione della messaggistica nell'organizzazione.

Tecnologie

In questi argomenti sono illustrati ad alto livello il sistema di messaggistica e le relative tecnologie, allo scopo di sottolinearne funzionalità e limitazioni. Per informazioni dettagliate su specifiche tecnologie, fare riferimento alla documentazione prodotto di Windows, Outlook ed Exchange. Le tecnologie prese in esame in questi argomenti includono:

- Sincronizzazione ed esplorazione di Microsoft Exchange dai dispositivi mobili- Microsoft Office Outlook Web Access 2003- Modalità cache di Microsoft Outlook 2003- Partizionamento di domini e insiemi di strutture di Microsoft Windows Server Active Directory- Servizio cluster di Microsoft Windows- RAID (Redundant Array of Independent Disks)- RPC (Remote Procedure Call) su HTTP- Reti SAN (Storage Area Network)- Servizio Copia Shadow del volume

Note di preinstallazione

Exchange Server 2003 esiste in 2 versioni, la Standard e la Enterprise (da installare nelle versioni Enterprise di Windows Server 2000/2003).La versione Standard, con Service Pack 2, supporta un solo Storage Group che può contenere 1 Database Public ed 1 Database Private con grandezza massima di 75GB,

219


limite che deve essere aggiustato via Registry, altrimenti impostato a 18GB.La versione Enterprise supporta 4 Storage Group che possono contenere 5 Database, non vi sono limiti nella grandezza massima dei DB.Exchange Server 2003 Enterprise supporta inoltre le funzionalità di Clustering tanto care agli ambienti ad altà disponibilità.

Requisiti di Active DirectoryExchange 2003 può essere installato su OS Windows 2000 e Windows Server 2003, inoltre può coesistere in ambienti Active Directory 2000 e 2003, dulcis in fundo sono supportati ambienti misti con Exchange 5.5 e Exchange 2000.Exchange 2003 può godere di tutte le sue feature esclusivamente in una Foresta 2003, in fase di setup estende la Foresta ed il dominio.In uno stage di migrazione è possibile far coesistere macchine 5.5 e 2000 in modo semplice e quasi sempre indolore.In un sito dove è presente una macchina Exchange 2003 è obbligatoria la presenza di almeno un Global Catalog Server.

Requisiti Hardware e ConsigliUna domanda spesso comune è la voracità a livello hardware del sistema di messaggistica di Microsoft.Ebbene giusto per mettere dei paletti, un server monoprocessore con 1GB di ram e dischi SCSI veloci può tranquillamente soddisfare le esigenze di 1000 utenti/mailbox!Ovviamente un disegno ottimo di un’infrastruttura Exchange non si può limitare a questo calcolo fatto sulla “carta del formaggio”.Gli elementi da tener conto sono il sottosistema dischi esclusivamente scsi/san, un ottimo partizionamento è quello mostrato nella tabella sottostante.

Per quanto riguarda la Ram, il limite massimo allocabile nelle architetture a 32 bit è di 4GB a meno di modificare il boot loader boot.ini, diventa inutile comunque dedicare più di 4gb ad una macchina Exchange 2003, per quanto riguarda le cpu lo standard odierno è 4core per cui anche macchine a 1 via soddisafano la maggior parte degli scenari.

Design e Ruoli

Il design di un’infrastruttura Exchange presuppone la definizione di 3 ruoli Server, precisamente Front-End Server, Back-End Server e Bridgehead Server, un'altra considerazione importante sta nel fatto che preferibilmente la macchina Exchange deve essere preposta a questa unica funzione, a meno che ci si trovi dinanzi a SBS 2003 o a installazioni presso clienti molto piccoli, questo perché AD ed i servizi di Exchange possono creare conflitti in fase di Startup e di shutdown della macchina casusando disagi abbastanza fastidiosi quali servizi non startati e lentezza generale all’avvio.Tornando ai ruoli possiamo definire il Server di Front-End come la macchina Exchange

220



preposta a ricevere richieste di accesso client verso connessioni non Mapi quali Rpc over Https, OWA, OMA e Active Sync, questa macchina non caricherà nessun DB semplicemente dirigerà le chiamate client verso i Server di Back-End i quali, avendo in carico gli Storage Group contenenti i DB, potranno soddisfare le varie richieste Proxate.I server di Bridgehead sono così così chiamati perché responsabili delle connessioni tra Server di Routing group diversi ma connessi con linee dati affidabili, in Exchange 2003 sono infatti i routing group a definire il flow dei messaggi.

SicurezzaUn disegno sicuro di Exchange presuppone l’uso di macchine non necessariamente Windows in DMZ per il pre-filtraggio dei messaggi e per il Reverse Proxy dell’autenticazione verso i server di Front-End.Exchange 2003 non è nato per essere esposto direttamente su internet, uno o più smart host che ricevano le mail in DMZ e le igenizzano da Spam e Virus sono la chiave per un infrastruttura di messaggistica sicura e disponibile, se poi vengono utilizzati sistemi di reverse proxy per l’autenticazione (Apache su Linux o ISA server 2004/2006 o RSA) allora Exchange trova la sua consacrata e sicura configurazione!

Preinstallazione (attivazione dei componenti)

Per poter eseguire correttamente l'installazione del nostro Microsoft Eschange Server 2003 è indispensabile che i servizi Network News Transport Protocol (NNTP) ed il Simple Mail Transfer Protocol (SMTP), siano attivati all'interno del Internet Information Services (IIS).Per attivare tali protocolli attenersi alla seguente procedura:

Eseguire Start --> Pannello di controllo, quindi scegliere Installazione componenti di Windows

221



Scorrere l'elenco dei componenti fino a raggiungere Server applicazioni, selezionarlo quindi premere il tasto Dettagli

Selezionare Internet Information Services (IIS), quindi premere ancora il tasto Dettagli

222




Scorrere l'elenco dei componenti fino a raggiungere i servizi relativi ai protocolli NNTP e SMTP, attivare i componenti flaggando i relativi checkbox, quindi proseguire premendo il tasto OK

Premere nuovamente il tasto OK

223




Premere il tasto Avanti

Completare il wizard premendo il tasto Fine

Installazione di Exchange Server 2003

Dal nostro server inseriamo il CD d'installazione ed attendiamo l'autorun

224




Clicchiamo su Strumenti di distribuzione di Exchange

Clicchiamo su Distribuire il primo server di Exchange 2003

225




Clicchiamo su Nuova installazione di Exchange 2003

Flaggare tutti gli 8 checkbox e proseguire cliccando su Esegui programma di installazione

226




Partito il wizard cliccare su Avanti

Attivare il checkbox relativo all'accettazione delle condizioni Miscorsoft e proseguire premendo il tasto Avanti

227




Procediamo premendo il tasto Avanti

Verifichiamo che sia flaggato il checkbox relativo a Creare una nuova organizzazione Exchange e proseguiamo premendo il tasto Avanti

228




Ora diamo il nome alla nostra organizzazione inserendo nella textbox indicata dalla freccia blu quanto vogliamo scrivere e procediamo premendo il tasto Avanti

Accettiamo i termini del contratto di licenza e premiamo il tasto Avanti

229




Verifichiamo le scelte effettuate sull'installazione e proseguiemo premendo il tasto Avanti

Attendiamo che il wizard termini tutti i punti indicati nel rettangolo rosso

230




Terminiamo la nostra procedura wizard premendo il tasto Fine

Usciamo dal Setup premendo il tasti Esci

Panoramica al Gestore di sistema di Exchange

Adesso che il nostro Exchange è installato vediamo di capire come funzionano le principali caratteristiche:

231




Eseguimo click sul pulsante Start --> Programmi --> Microsoft Exchange quindi scegliamo Gestore di sistema

Ecco la nostra interfaccia

232




Ecco la collocazione fisica delle cassette postali (mailbox)

Ecco i nostri connettori

Perfetta integrazione con Active Directory

Assegnazione di una cassetta postale ad un utente di Active Directory:

233




Entriamo in AD e eelezioniamo un utente del dominio, nel nostro esempio "Mario Rossi", eseguiamo click con il pulsante destro del mouse e scegliamo Operazioni di Exchange... (come possiamo notare la voce è comparsa nuova nel menù a tendina)

A questo punto partirà il wizard per la gestione di Exchange relativa al nostro utente: premiamo il tasto Avanti

234




Vediamo come assegnare una cassetta postale all'utente, selezioniamo la voce Crea cassetta postale indicata dalla freccia rossa e procediamo premendo il tasto Avanti

Lasciamo invariato nelle textbox ciò che ci propone il nostro sistema e procediamo premendo il tasto Avanti

235




Concludiamo il wizard premendo il tasto Fine

Rieseguiamo click con il pulsante destro del mouse sul nostro utente "Mario Rossi" e scegliamo l'opzione Proprietà

236




Cosa è cambiato rispetto ad un normale utente ? Ci sono dei nuovi tab relativi ad Exchange!

Vediamo di spiegarne il significato e le operazioni possibili:

Nel tab indirizzi di posta elettronica vi è l'indirizzo mail assegnato automaticamente dal server distribuito in questo modo: [email protected] [at] dominio [dot] tipodominioinfatti nel nostro esempio abbiamo [email protected] [at] revhome [dot] local ma sappiamo tutti che revhome.local è un nome di un dominio locale, quindi per sistemare la situazione dobbiamo cambiare l'indirizzo di posta verso un

237

mailto:[email protected]





dominio esterno registrato.Oppure procedere a pubblicare il nostro dominio revhome.local in internet, per esempio @revhome.it; vedremo poi in alra sede come fare.

Per cambiare nome alla mail procediamo premendo il tasto Nuovo

Selezioniamo nell'elenco delle scelte Indirizzo SMTP, quindi premiamo il tasto OK

238




Inseriamo il nuovo indirizzo di posta elettronica nella textbox e procediamo premendo il tasto OK

Come possiamo notare è rimasto l'indirizzo precedente contrassegnato dalla freccia rossa ma è anche stato inserito il nuovo indirizzo appena creato, come mostra la freccia blu.Se notiamo il vecchio indirizzo ha una formattazione in grassetto, mentre il nuovo no ! Cosa vuol dire ?Semplice: l'indirizzo formattato in grassetto è l'indirizzo principale dell'utente, quindi ogni mail che tenterà di uscire da exchange lo farà con tale indirizzo.

239




Per i motivi citati sopra questo non potrà mai accedere, in quanto abbiamo detto che il nostro dominio non è registrato in internet, quindi dobbiamo procedere a cambiarlo.

Selezioniamo il nostro nuovo indirizzo di posta [email protected] [dot] rossi [at] revhoma [dot] it quindi premiamo il tasto Imposta come principale

240




Se notiamo adesso gli indirizzi hanno cambiato di stato, ossia il nostro indirizzo mail è quello corretto Non ci resta che premere il tasto Applica per rendere definitive le modifiche.Il vecchio indirizzo possiamo lasciarlo, tanto non verrà utilizzato, ma possiamo anche rimuoverlo semplicemente selezionandolo e premendo il tasto Rimuovi.

[c]Caratteristiche di Exchange vesro l'utente:[/b]

241



Il nostro utente vanta un'ampia serie di funzioni che posso essere configurate, prendiamo come esempio due tra le più interessanto OMA (Outlook Mobile Access) ed OWA (Outlook Web Access).OMA permette di ricevere in tempo reale le mail ricevute su un telefono cellulare, mentre OWA permette da qualsiasi PC del mondo che sia collegato ad internet di visualizzare su interfaccia HTML la stessa scherata di Microsoft Outlook.Vedremo poi in altra sede come configurare tutte queste funzioni.

242



Per abilitare o disabilitare questi servizi è semplicissimo, basta verificarne lo stato e premere a piacimento sui tasti Attiva / Disattiva.

243




[c]Impostazioni avanzate di Exchange verso l'utente:[/b]

In questa sezione andiamo a vedere le cose più importanti, ad esempio il Nome visualizzato semplice. Il nome visualizzato semplice è quel nome che per internderci ci ritroveremo aprendo la rubrica del nostro Outlook; possiamo quindi inserire nella textbox quanto più ci soddisfa.

244



Oppure semplicemente decidere di non mostrare il nome dell'utente flaggando il checkbox Non visualizzare negli elenchi di indirizzi di Exchange.Non dimentichiamo di preme il tasto Applica per confermare le nostre scelte.

245




Altra cosa che possiamo decidere di configurare sono le Autorizzazione della cassetta postale, premendo quindi sul tasto indicato dal mouse.

Se l'amministratore, oltre che all'utente stesso, decide di voler avere accesso alla cassetta postale non dovrà far altro che premere il tasto Aggiungi

Immettere nella textbox il nome dell'utente che vuole ricercare in AD e premere il tasto Controlla nomi

246




In questo caso sono stati individuati in AD più nomi con le stesse credenziali, basterà quindi selezionare l'utente Administrator e confermare premendo il tasto OK

L'utente apparirà pertanto sottolineato, come ci mostra la freccia rossa, non si dovrà far altro che confermare premendo il tasto OK

247




Applicare tutti i permessi d'accesso e confermare premendo il tasto OK

[c]Impostazioni generali di Exchange verso l'utente:[/b]

248



In questa sezione andremo a vedere le impostazioni relative ai tre pulsanti racchiusi dal rettangolo rosso.

Premiamo il tasto relativo a Restrizioni di recapito

249




Quì possiamo optare per una diversa serie di opzioni una delle quali è la dimensione massima dei messaggi in uscita o in arrivo, come ci mostrano le freccie rosse possiamo decidere di lasciare una dimensione predefinita dal sistema, oppere decidere autonomamente inserendo nelle apposite textbox la dimensione espressa in Kb che vogliamo assegnare.Altra opzione, sulla quale possiamo lavorare, è quella sulla restrizione dei messaggi:possiamo, semplicemente selezionando i nostri chekbox, accettare messaggi solo da utenti autenticati nel dominio, oppure da tutti, come ci mostrano le freccie blu.Possiamo antrare ancora più nel dettagli decidendo di accettare messaggi solo da, oppure da tutti tranne: e premedo il tasto Aggiungi (freccia arancione) selezionare l'utente o gli utenti che possono interagire o non interagire con la mail dell'utente.

250



Ora premiamo il pulsante Opzioni di recapito

Anche qui seguendo le freccie rosse abbiamo l'opzione [b]Invia per conto di/b], dove possiamo concedere l'autorizzazione ad un altro utente di dominio all'invio delle

251




nostre mail, basterà premere il tasto Aggiungi e comparirà l'elenco degli utenti del dominio.Oppure seguendo le freccie blu possiamo, in nostra assenza, assegnare un indirizzo di inoltro al quale le mail saranno ricevute. In riferimento q questa opzione, possiamo decidere se i messaggi dovranno essere recapitati solo all'indirizzo d'inoltro (flag disattivato) o anche alla cassetta postale dell'utente originale (falg attivato).Infine possiamo limitare il numero dei destinatari ad un limite predefinito dal sistema, oppure decidere un limite massimo inserendo nella textbox il numero dei destinatari a nostra scelta, come indicato dalla freccia viola.

Infine premiamo il pulsante Limiti di archiviazione

252



Possiamo lasciar decidere al sistema sia il limite di archiviazione predefinito sia le impostazioni della cassetta postale (flag attivi)...

oppure impostare nelle textbox dei valori a nostro piacimento espressi in Kb come ci mostrano le freccie rosse e blu.

253

