Sommario[GUIDA] Windows Server 2003 - Introduzione Al Networking.........................................................................2

Windows Server 2003 - Installazione Servizio DHCP........................................................................................7

Windows Server 2003 : Active directory........................................................................................................25

Win Server 2003 - Active Directory Management 2°p....................................................................................34

Windows XP / Vista........................................................................................................................................47

GUIDA] - Win Server 2003 - Active Directory Management 3°p.....................................................................51

I profili............................................................................................................................................................59

Le Group Policy Object (GPO).........................................................................................................................62

Windows Server 2003 - Configurazione PRINTSERVER...................................................................................79

[GUIDA] - Windows Server Update Services (WSUS)......................................................................................99

Win Server 2003 - Replica Dei Domain Controllers......................................................................................131

File System Distribuito, DFS..........................................................................................................................142

Windows Server 2003 - DISKPART................................................................................................................154

Microsoft Exchange Server 2003..................................................................................................................163

Manca

File server e permessi Manca backup e recovery Monitoraggio delle prestazioni Accesso remoto IIS

[GUIDA] Windows Server 2003 - Introduzione Al Networking Cosa è la Subnet Mask che inserite quando configurate i parametri del protocollo TCP/IP ?

Per chi ha sempre lavorato su reti locali (LAN) può sembrare un aspetto secondario o superfluo, ma quando avrete necessità di sicurezza o bisogno di dividere un range di indirizzi tra più sedi remote limitando inutili sprechi, allora il valore che attribuirete a questo parametro rivestirà un ruolo di primordine. In pratica, la subnet mask serve per far capire ai pc (nodi) se un dato indirizzo IP fa parte della propria LAN (livello 2 OSI) o se, per raggiungerlo, si renda necessario l’uso di un Router o di un altro apparato per l’instradamento (livello 3 OSI). Divide infatti i 32 bit dell’indirizzo IP in 2 parti. Una è la Network Mask, ed identifica proprio la rete, e l’altra è la Host Mask, quest’ultima si riferisce ai computer (nodi) che fanno parte della network mask.

Per consentire a tutti di comprendere più facilmente l’argomento di discussione, prima di passare ad argomenti tecnici, proverò a fare questo paragone:Supponiamo dobbiate scrivermi una lettera. La cosa essenziale per fare in modo che mi arrivi è, ovviamente, scrivere il mio indirizzo:

Nome CognomeVia, numero civicoCittà

Quando le poste dovranno smistare la lettera lo faranno seguendo un ordine preciso e cioè, dal parametro che identifica la zona più estesa, fino a quello che si focalizza sull’obiettivo:

Città - Via – Numero civico - Nome Cognome

Se scrivete ad un mio collaboratore dovete cambiare solo il nome, ma tutta la parte relativa all’instradamento rimane la stessa poichè identifica il posto dove ci troviamo.

La consegna dei pacchetti IP, in Internet, avviene secondo lo stesso principio, grazie all’uso del subnetting tutte le aree geografiche del pianeta sono state suddivise in sottoreti ed in base ai primi numeri che compongono l’indirizzo IP del computer che state contattando, la comunicazione verrà instradata in America, in Russia, in Italia ecc. ecc.

All’interno delle aziende, sono concessi questi tipi di indirizzi:

da 10.0.0.0 a 10.255.255.255 (1 Subnet di classe A)da 172.16.0.0 a 172.31.255.255 ( 16 Subnet di classe B)da 192.168.0.0 a 192.168.255.255 (255 Subnet di classe C)

Esistono anche altre subnet, ma sono dedicate agli ISP oppure sono utilizzate per configurazioni sperimentali.

Bene, ora vediamo come applicare il subnetting alle nostre reti ed in quale modo la subnetmask separa l’indirizzo necessario per l’instradamento da quello relativo agli host presenti in rete.Prendiamo per esempio il classico indirizzo privato di classe C:

IP: 192.168.0.2Subnet mask: 255.255.255.0Gateway: 192.168.0.1

Ora trasformiamo in bit l’indirizzo IP e la Subnetmask

Usate la tabella per mettete a confronto i binari della subnetmask e dell’ip dal bit 1 al bit 32. La maschera che riguarda l’instradamento e identifica la rete, è la parte dell’IP che arriva fino all’ultimo bit positivo (1) della subnet mask. La parte host la si ha mettendo sempre a confronto i due binari ed inizia dal punto in cui trovate il primo bit negativo (0) nella subnet.

Da ciò ne consegue che tutti gli indirizzi IP che iniziano per 192.168.0 (Network Mask) fanno parte della stessa LAN e non hanno bisogno del gateway per essere raggiunti. Rimangono quindi a disposizione gli ultimi 8 bit da distribuire ai nostri client. In questo caso, capire quanti IP abbiamo a disposizione nella Host Mask è relativamente semplice utilizzando questa conversione:

00000000=0 (indirizzo di rete)11111111=255 (indirizzo di broadcast)

Gli indirizzi che sono maggiori di 0 e minori di 255 potranno quindi essere utilizzati nella propria rete.I due indirizzi (0 e 255) li ho esclusi perché servono convenzionalmente 1 per identificare la rete e l’altro per il broadcart, ovvero la comunicazione simultanea con tutti i pc della LAN.

Spesso troverete gli indirizzi ip seguiti da una barra e da un numero. Quello è un modo molto comune e più veloce per scrivere la subnetmask. Se prendete lo stesso esempio di prima noterete che la subnet mask 255.255.255.0 in binario ha 24 bit positivi. Quindi lo stesso indirizzamento può essere descritto come 192.168.0.0/24. Bene, fatta questa premessa, iniziamo con qualche esempio pratico valutando alcuni casi ipotetici che vi si potrebbero presentare.

Esempio n.1

Supponiamo di avere a disposizione il classico indirizzamento di classe C 192.168.0.0/24, ma di dovere creare 2 reti di uguale misura e che non si vedano l’una con l’altra. Quello che dobbiamo fare è quindi, calcolare una Subnet Mask adatta, che lasci liberi solo la metà degli indirizzi.Vediamo cosa succede aggiungendo un altro bit positivo alla subnet di prima.

Succede che il primo 0 dell’ultimo ottetto, che prima faceva parte della Host Mask ora fa parte della networkmask e non può più essere cambiato senza poi risultare estraneo alla rete. I bit disponibili nella host mask non sono più otto ma solo sette e quindi:

00000000=0 indirizzo di rete01111111=127 indirizzo di broadcast

Il numero di host disponibili si può calcolare anche con la classica formula usata per le combinazioni numeriche ovvero elevando il numero di stadi per singolo elemento(2 per il sistema binario) al numero di elementi. In questo caso 2^7 (128). A questo risultato vanno sempre sottratti i due bit usati per network ID e broadcast. Il totale è quindi 126 Host disponibili.Nella rete 192.168.0.0/25 gli indirizzi che vanno da 192.168.0.1 a 192.168.0126 sono IP di una unica rete.

Nell’esempio n.1 però avevate a disposizione il doppio degli IP. Nessuna paura, non li avete persi. E’ sufficiente passare a 1 il valore del primo bit dell’ultimo ottetto dell’indirizzo IP lasciando invariata la subnet mask ed il gioco è fatto.

10000000=128 indirizzo di rete

11111111=255 indirizzo di broadcast

Gli indirizzi validi solo per questa subnet (192.168.0.128/25) sono quindi da 192.168.0.129 a 192.168.0.254 ed in una maniera molto semplice avete diviso 2 reti utilizzando la stessa classe C.Per completezza trasformando la subnet mask in decimale avremo 255.255.255.128.

Esempio n.2

Aumentiamo il livello di difficoltà però questa volta, avendo sempre a disposizione lo stesso range di indirizzi IP 192.168.0.0/24, dobbiamo collegare 3 sedi della stessa città creando una MAN (acronimo di Metropolitan Area Network). I siti A,B,C dovranno contenere ognuno almeno 50 PC e probabilmente verrà aperta una quarta sede. Sviluppare l’indirizzamento per il collegamento delle 3 sedi compreso quello dei router, come indicato dalla figura sotto:

Come facciamo? Semplice!Aggiungiamo qualche bit alla subnet di prima fino a che non otteniamo una sottorete che ospita un numero di pc o nodi adeguato alle nostre esigenze.

Se aggiungiamo un ulteriore bit portando la subnet mask a 26 bit spezzeremo in ulteriori due parti il numero di host di cui disponevamo con una sub di 25 bit. Il calcolo per sapere il numero di host disponibili lo avete già visto prima comunque, con una Sub di 26 bit rimangono liberi 32-26=6 bit per gli host, per cui 2^6 – 2= 62 host disponibili.Ad ogni modo faccio una tabella con il calcoli possibili relativamente alla classe C in uso. Partendo dall’ultimo ottetto completamente libero aggiungo ogni volta un bit di blocco della maschera.

Ora, con l’aiuto di questa tabella vediamo rapidamente che per le sedi A,B e C (che necessitano di 50 host) si rende necessario l’utilizzo di una subnet mask di 26 bit ovvero:

11111111.11111111.11111111.11000000 = 255.255.255.192

Per quello che riguarda l’indirizzamento dei router, in questo caso specifico, sono sufficienti subnetmask molto restrittive poiché per comunicare tra loro hanno bisogno di soli 2 IP. Da ciò assegno ad ogni router una maschera da 30 bit:

11111111.11111111.11111111.11111100 = 255.255.255.252

L’indirizzamento scelto sarebbe quindi il seguente:

Per una eventuale sede futura non rimangono molte subnet libere. Lasciando spazio per qualche altro indirizzamento dei router rimane solamente la subnet 192.168.0.224/27.

Comunque detto questo passiamo al posizionamento delle subnet calcolate sul disegno di prima, come indica la figura 2:

Ecco fatto, la classe C è stata divisa come richiesto e tutto il traffico può essere instradato da una sede all’altra.Ogni volta che un pc dovrà iniziare una comunicazione con un altro IP, prima verificherà se la network mask è identica alla propria. In caso affermativo stabilisce che l’IP in questione fa parte della stessa LAN ed inizia una comunicazione diretta. Per chi vuole approfondire entra in gioco il protocollo ARP e l’indirizzo di broadcast, ma in questa sede saremmo fuori tema.

In caso le network mask non collimino, allora il PC chiede aiuto al gateway o router affinché instradi il traffico verso l’IP richiesto.In realtà, affinché i router instradino correttamente il traffico verso una determinata subnet, è necessario istruirli e spiegargli quale o quali strade percorrere per arrivare alla meta.

Esempio n.3

Con l’aumento degli IP da gestire e della dimensione della rete le cose si complicano, ma i calcoli da fare sono gli stessi già affrontati nell’esempio n.2. L’unica differenza è che molto probabilmente la vostra classe C non basterebbe .

Supponiamo di dovere collegare 3 MAN identiche a quelle dell’esempio n.2.Per la prima MAN abbiamo usato un indirizzamento tipo 192.168.0.0/24. Per la seconda e per la terza non faremo altro che usare rispettivamente le classi C 192.168.1.0/24 e 192.168.2/24.Se ci fate caso non ho scelto subnet a caso, ma contigue, in modo da potere identificare l’interno network in caso di ulteriori espansioni.

Come si fa ad identificare 3 classi C con un unico networkID? Cercando una subnet mask comune a tutte e trè! Trasformiamo in binario le 3 classi C che utilizzeremo per questo esempio. Nell’ordine 192.168.0.1 – 192.168.1.1 – 192.168.2.1

La subnet mask in tabella (255.255.255.252.0) è comune a tutti e tre gli indirizzamenti e quindi la subnet 192.168.0.0/22 identifica l’unione delle tre MAN. Un domani, prevedendo espansioni, sarà molto più semplice instradarvi il traffico.

Comunque, tornando a noi, una soluzione per collegare tutte e tre le MAN potrebbe essere quella di utilizzare un unico router centrale. L’unica modifica da apportare riguarda l’ultima subnet mask usata per il collegamento degli ultimi 2 router nel secondo esempio. Se guardate la figura 3, noterete comunque in rosso tutte le modifiche effettuate, ed in verde i collegamenti che uniranno le MAN in una WAN.

Questa modifica è stata apportata poiché se andate a vedere le subnet che avevo dedicato ai router nell’esempio n.2 consentivano la presenza di soli 2 host. Infatti se trasformate in binario la subnet 192.168.0.200/30 (e questa volta lo faccio fare a voi) vi accorgerete che vi restano solo 2 bit utilizzabili per gli host. Il problema è che per collegare il router centrale avevo necessariamente bisogno di un terzo IP nella stessa subnet. Poiché avevamo dello spazio libero dopo la 192.168.0.200/30 ho potuto liberare 1 bit della subnet mask ed ottenere ben sei Host utili.La subnet mask è quindi diventata 255.255.255.248 equivalente a: 11111111.1111111.11111111.11111000. ovvero 2^3 - 2=6 Host utili. La stessa cosa l'ho fatta nelle restanti 2 MAN ed ora, tutto il traffico che deve andare da una città all’altra può essere instradato. Controllate il disegno per maggiori dettegli.

Conclusioni:In ogni caso il networking si affina con molto esercizio, ed al di là dei calcoli che abbiamo fatto insieme o delle formule matematiche che troverete sui libri, per diventare veloci serve pratica e, possibilmente, ambienti di test flessibili e separati dall’ambiente produttivo.

Windows Server 2003 - Installazione Servizio DHCP Un caloroso saluto a tutti gli amici di umts-italia, in questo articolo dedicato al mondo Windows Server vedremo come configurare il servizio DHCP che risulta molto comodo in quanto evita la configurazione manuale delle impostazioni di rete nei client di dominio.

Andiamo quindi a vedere come procedere:

Dal menù Start andiamo nel pannello di controllo e clicchiamo su Installazione Applicazioni

Premiamo il pulsante Installazioni componenti di Windows

Selezioniamo all'interno dell'eleco proposto Servizi di rete, quindi premiamo sul pulsante Dettagli

Spuntiamo il checkbox corrispettivo al Protocollo DHCP e proseguiamo premendo il pulsante OK

Proseguiamo premendo il pulsante Avanti

Concludiamo l'operazione premendo il tasto Fine

Passiamo ora alla configurazione del protocollo

Premiamo il pulsante Start --> Tutti i programmi --> Strumenti di amministrazione --> DHCP

Come possiamo notare dalla freccia rossa rivolta verso il basso collocata sopra l'icona del server, il servizio è stato installato tuttavia non è partito correttamente, dobbiamo quindi ricordarci di riavviare il server

Vediamo ora come configurare il nostro range di indirizzi; facciamo click con il tasto destro del mouse sull'icona del nostro server, quindi selezioniamo Nuovo abito...

Partirà un semplice wizard che ci porterà passo passo alla configurazione, proseguiamo pramendo il tasto Avanti

A questo punto all'interno delle textbox ci verrà chiesto di inserire il nome ed una descrizione per identificare il nostro ambito, tali informazioni risulteranno utili per identificare rapidamente il tipo di utilizzo nell'ambito della rete; inseriamo un nome e proseguiamo premendo il tasto Avanti

Attenzione perchè adesso ci viene richiesto di inserire il pool di indirizzi da distribuire nell'ambito; nell'esempio mostrato in figura stiamo configurando una classe di indirizzi provata detta classe "C" (192.168.x.x), quindi se nel nostro caso il primo indirizzo sarà 192.168.1.1 che di solito è il nostro router dovremo partire dall'indirizzo successivo, quindi inseriamo nella textbox 192.168.1.2; proseguiamo inserendo il nostro indirizzo finale della rete, quindi inseriamo 192.168.1.254Premessa: se vogliamo lasciare degli indirizzi liberi all'interno del nostro ambito da dedicare ad esempio a dei server possiamo farlo tranquillamente, basta accorciare il range degli indirizzi. Ad esempio se all'interno della nostra struttura vogliamo lasciare i primi 10 indirizzi liberi per poterli inserire staticamente possiamo inserire come indirizzo iniziale il 192.168.1.11 e come indirizzo finale il 192.168.1.254. Nella stessa from, nella parte bassa ci viene chiesto di inserire la nostra subnet mask che che definisce il numero di bit di un indirizzo IP da utilizzare; nel nostro caso la classe è una 24 e la subnet sarà quindi 255.255.255.0. Vedremo poi in una guida successiva come possiamo calcolare le nostre subnet. Finito il tutto procediamo segliendo il tasto Avanti.

In riferimento a quanto detto sopra se avessimo scelto di tralasciare alcuni indirizzi dovremo quindi inserire il range in questa form che ci viene proposta; dal momento che nel nostro esmpio abbiamo scelto di non effettuare nessuna esclusione possiamo procedere premendo il tasto Avanti.

In questa form ci viene richiesta la durata del lease, ossia per quanto tempo ad un client viene assegnato un indirizzo; calcolando che la media giornagliera della ore lavorative di una giornata sono 8, consiglio d'impostare un minimo di 10 ore, in modo tale che se il client effettua un logoff durante il giorno il nostro servizio DHCP gli riassegna lo stesso ip. Procediamo premendo il tasto Avanti.

Quando di assegna un indirizzo ai client si forniscono anche delle opzioni come ad esempio l'indirizzo di un router che se nel nostro caso ne siamo in possesso, diventerà anche il nostro gateway. Decidiamo quindi di poter configurare questa opzione e selezioniamo il checkbox relativo a: Si, configurare le opzioni adesso e procediamo nello step successivo premendo il tasto Avanti.

Se il nostro router in questo caso è corrispondente all'indirizzo 192.168.1.1 inseriamo il relativo ip nella textbox e premiamo il tasto Aggiungi.

Continuamo nella nostra configurazione premendo il tasto Avanti

Inseriamo nella prima textbox il nome del nostro dominio padre che nel nostro esempio sarà sempre revhome.local e per configurare i client dell'ambito per l'utilizzo per i server DNS della rete, inseriamo nella textbox posta in basso il nome del nostro server ed il relativo indirizzo; oppure possiamo anche inserire il nome del nostro server e premere il pulsante Risolvi per vedere se il servizio DNS funziona corretamente. Se si troveremo il relativo indirizzo del nostro server nella textbox accanto al nome appena digitato.

Dopo aver verificato che l'indirizzo sia corretto, possiamo confermare premendo il tasto Aggiungi.

Una volta aggiunto l'indirizzo del nostro server l'ip si spostarà in basso nelle listbox e possiamo proseguire premendo il tasto Avanti.

Possiamo saltare questa form in quanto non rilevante ai fini della nostra configurazione e proseguiamo premendo il tasto Avanti.

Decidiamo di attivare l'ambito immediatamente, quindi scegliamo la checkbox corrispondente a: Si, attiva l'ambito adesso e proseguiamo premendo il tasto Avanti.

Bene, abbiamo finito, dobbiamo solo concludere l'operazione del nostro wizard premendo il tasto Fine.

Cosa sono le Prenotazioni o Reservation ?gli indirizzi IP gestiti dal dhcp sono detti dinamici cioè l'indirizzo può non essere uguale ogni volta che il client effettua il logon (dopo che siano scadute le ore impostate).Se vogliamo che ad un client venga assegnato sempre lo stesso indirizzo dobbiamo effettuare la cosiddetta prenotazione o reservation cioè la dedica di un indirizzo fisso all'interno del nostro DHCP che verrà identificato in base al mac-address della scheda di rete del nostro client.

Andiamo a vedere come:

Dal nostro servizio DHCP facciamo click con il tasto destro del mouse sulla scheda Prenotazioni e scegliamo Nuova prenotazione...

Adesso inseriamo nella prima textbox il nome della nostra prenotazione, io consiglio di inserire il nome del nostro client, sarà più facile individuarlo in presenza di molte prenotazioni, nella seconda textbox inseriamo il numero dell'ip che vogliamo venga sempre distribuito al nostro client, nel nostro esempio scriviamo 192.168.1.15; proseguiamo inserendo nella terza textbox l'indirizzo MAC della scheda di rete del client; Come possiamo fare per conoscere l'indirizzo MAC della scheda di rete ?Semplice ! Basta andare sul client interessato aprire il prompt dei comandi con Start --> Esegui --> Cmd e dentro alla finestra della shell scrivere questo comando: ipconfig /all (Vedi figura sotto)

L'ultima textbox ci consente di inserire anche una descrizione aggiuntiva, io consiglio di inserire il nome e cognome del possessore del client; infine nella casella dei tipi supportati scegliamo Entrambi e premiamo il tasto Aggiungi.

Infine concludiamo la nostra Prenotazione premendo il tasto Chiudi.In questo modo al client di Stefano verrà sempre distribuito il seguente indirizzo: 192.168.1.15

Bene, siamo quasi al termine della nostra procedura, adesso dobbiamo andare sui singoli client a modificare le impostazioni di rete in modo che il nostro DHCP possa configurarle in automatico; come possiamo fare ?

Vediamo come:

Dalla connessioni di rete andiamo a selezionare con il tasto destro del mouse la nostra rete (LAN o WIRELESS che sia) e clicchiamo su Proprietà

Selezioniamo il Protocollo TCP/IP e premiamo su Proprietà.

Selezioniamo il checkbox corrispondente a: Ottieni automaticamente indirizzo IP e verifichiamo a sua volta che sia selezionato l'altro checkbox relativo a: Ottieni indirizzo server DNS automaticamente; concludiamo infine premendo il tasto OK.

Se i nostri client erano impostati con degli ip statici come possiamo fare per far si che prendano immediatamente le impostazioni appena configurate ?Facile: Premiamo il pulsante Start --> Esegui --> Cmd ed una volta aperto il prompt scriviamo questi 2 semplici comandi: ipconfig /release (non spaventatevi il client perderà la connessione con la rete) seguito da ipconfig /renew; il client prenderà subito le impostazioni distribuite dal nostro DHCP.L'esclusione di indirizzi IP per apparati Hardware che non supportano il servizio DHCP

Nella guida Devi essere registrato per poter vedere questo link abbiamo visto come configurare il servizio DHCP in un dominio Windows Server e come si configurano le prenotazioni di indirizzi per i clients.Tuttavia in un range di indirizzi che va ad esempio dal 192.168.1.1 al 192.168.1.255 a volte potrebbe esserci la necessità di avere una serie di indirizzi statici che potrebbero essere attribuiti ad alcuni apparati hardware che non supportano il servizio DHCP.In un dominio Windows Server 2003 Active Directory con installato il servizio DHCP esiste la possibilità di dedicare all'interno del servizio una serie di indirizzi che, una volta configurati non verranno mai distribuiti dal DHCP.Questa serie o pool di indirizzi esclusi dalla distribuzione è chimata appunto ESCLUSIONE.

In questa guida che ha configurato un DHCP che esclude già l'indirizzo 192.168.1.1, il 192.168.1.254 ed il 192.168.1.255 andremo a vedere come escludere altri 15 indirizzi in una rete provata che, come indicato nell'esempio sopra, utilizza questi range:192.168.1.1 --> 192.168.1.255

Vediamo intanto l'attuale configurazione:

Clicchiamo sul pulsante Start --> Strumenti di amministrazione --> DHCP

Selezioniamo nella parte sinistra del form Pool di indirizzi e noteremo subito che nella parte destra appare nel pool di indirizzi una configurazione che ho segnato con la freccia rossa.Come possiamo notare esiste un indirizzo IP iniziale che è il 192.168.1.2 ed un indirizzo IP finale che è il

192.168.1.253. Entrambi sono segnalati da questa icona: Cosa significa tale configurazione ?Significa che gli indirizzi IP 192.168.1.1, 192.168.1.254 e 192.168.1.255 non verranno mai distribuiti dal nostro DHCP, oppure il nostro DHCP distribuisce solo gli indirizzi compresi tra l'IP 192.168.1.2 e 192.168.1.253

Vediamo ora di impostare quanto abbiamo detto sopra, ossia escludere dal nostro range un altro pool di 15 indirizzi all'interno del nostro DHCP:Come esempio escluderemo il seguente pool di indirizzi: dall'IP 192.168.1.30 all'IP 192.168.1.45 che potremo dedicare ad apparti hardware che supportano solo indirizzi statici non distribuiti dal nostro

servizio.

Facciamo click con il tasto destro del mouse su Pool di indirizzi e selezioniamo Nuovo intervallo di Esclusione

Ci verrà presentata la seguente maschera

Inseriamo nella prima texbox il primo indirizzo IP riportato nellìesempio, quindi il 192.168.1.30 ed inseriamo nella seconda textbox l'ultimo indirizzo IP, quindi il 192.168.1.45 e terminiamo l'operazione premendo il tasto aggiungi.

Come possiamo notare nella parte destra della nostra form è apparsa una nuova riga di configurazione che ha come indirizzo iniziale l'Ip 192.168.1.30 e come indirizzo finale l'Ip 192.168.1.45 il tutto segnato dalla

seguente icona che riporta la descrizione "Indirizzo escluso dalla distribuzione".Ovviamente la nostra configurazione è terminata ed ora possiamo essere più che sicuri che il gli indirizzi IP che vanno dal 192.168.1.30 al 192.168.31.45 non verranno mai distribuiti ai clients del nostro dominio e quindi potremmo dedicarli ad altro senza mai creare conflitti di indirizzi IP doppi all'interno del nostro dominio.

Nell'esempio che abbiamo riportato siamo stati abbastanza fortunati perchè gli indirizzi che abbiamo voluto escludere erano consecutivi e quindi con una sola impostazione abbiamo potuto riservarli.Se invece la nostra necessità dovesse essere quella di escludere indirizzi non consecutivi, è chiaro che dobbiamo eseguire una configurazione per ogni indirizzo che vogliamo escludere in questo modo:

Nell'esempio che segue vedremo come escludere il singolo indirizzo IP 192.168.1.89, la procedura è la medisima della pèrecedente:

Con la differenza che nell'aggiunta di esclusione dovremo inserire il singolo indirizzo.

Ed il gioco è fatto !

Windows Server 2003 : Active directory

In questo primo articolo della serie introduttiva dedicata al mondo Windows Server 2003, esamineremo il processo d'installazione Active Directory e la conseguente creazione di un nuovo dominio con il sistema operativo di casa Microsft Windows Server 2003.Nei passi seguenti creeremo il nuovo dominio REVHOME.local di cui il nostro server Windows Server 2003 sarà il primo domain controller.

Per fare quanto detto abbiamo a disposizione due strade, decidiamo quindi di scegliere quella più breve e procediamo quindi come segue:Start -> Eseguie dentro la riga di comando scriviamo: dcpromodopo qualche istante di preinstallazione di alcuni componenti binari, si arriva al wizard introduttivo (vedi figura sotto).

Procediamo scegliendo il tasto Avanti

Procediamo ancora scegliendo il tasto Avanti

A questo punto scegliamo l'opzione Controller di dominio di un nuovo dominio (come indicato nella figura) e confermiamo premendo il tasto Avanti

Continuamo scegliendo l'opzione Nuovo dominio in un nuovo insieme di strutture e procediamo premendo il tasto Avanti

A questo punto dobbiamo installare il servizio DNS (Domain Name Service), quindi scegliamo l'opzione No, installa e configura il servizio DNS su questo computer e confermiamo premendo il tasto Avanti

Adesso dobbiamo immettere nella textbox il nome il nome DNS completo per il nuovo dominio che, nel nostro esempio sarà: REVDOMAIN.local e proseguiamo premendo il tasto Avanti

Arrivati a questo punto dobbiamo inserire nella textbox il nome del dominio NetBios, che è che un nome alternativo utilizzato per gli utenti con versioni più recenti di Windows; il nome sarà proposto uguale al nome completo di dominio ma non siamo obbligati a mantenerlo, possiamo anche immettere un nome completamente diverso. Proseguiamo premendo il tasto Avanti

Lasciamo i valori proposti per le posizioni dei files del database e dei files di registro e proseguiamo premendo il tasto Avanti

Stesso discorso vale per i files relativi alla cartella SysVol che contiene la copia dei files pubblici di dominio; Attenzione perchè, come indicato, la cartella SysVol dovrà trovarsi su un volume NTFS e procediamo quindi premendo il tasto Avanti

Attenzione perchè adesso dovremo scegliere le autorizzazioni predefinite per gli oggetti utenti e di gruppo e questo dovrà dipendere dalla nostra struttura degli altri server presenti; se allinterno della nostra foresta sono presenti server con versioni precedenti a Windows 2000 dovremo scegliere Autorizzazioni compatibili con sistemi operativi server precedenti a Windows 2000 ma questo comporterà agli utenti anonimi di poter leggere le informazioni relative al nostro dominio.In caso contrario dovremo procedere scegliendo l'opzione Autorizzazioni compatibili soltanto con sistemi operativi server Windows 2000 o Windows server 2003.Infine confermiamo il tutto premendo il tasto Avanti

Arrivati a questo punto dobbiamo inserire nelle due texbox la password da assegnare all'account Administrator se il server verrà avviato in modalità di ripristino dei servizi Active Directory e confermiamo premendo ancora il tasto Avanti

Questa è l'ultima form del wizard dove avremo la possibilità di rivedere le nostre informazioni inserite ed eventualmente tornare indietro per modificarle o addirittura annullare tutta la procedura premendo il tasto Annulla.Se invece siamo sicuri di ciò che abbiamo fatto proseguiamo premendo il tasto Avanti

Ecco che immediatamente parte la configurazione dell'Active Directory come mostra la figura; pazientiamo alcuni istanti per la conclusione della procedura.

Perfetto ! Il nostro dominio è stato creato e l'Active Direcoty anche, non dobbiamo far altro che confermare il tutto premendo il tasto Fine

Concludiamo, come richiesto riavviando il server premendo il tasto Riavvia

Come possiamo notare, una volta che il server è stato riavviato, nella finestra d'autenticazione avremo una texbox aggiuntiva dove compare il nome del nostro dominio; inseriamo la password ed effettuiamo il logon premendo il tasto OK

Perfetto, il logon è avvenuto e se guardiamo nella voce Programmi -> Strumenti di amministrazione, noteremo che saranno state aggiunte le voci Active Direcotry e il servizio DNS.

Attenzione perchè prima di spostare tutti i nostri clients e server sotto il dominio dobbiamo effettuare nell'Active Direcoty la creazione degli utenti e dei gruppi.

Nelle prossime guide vedremo quindi:

- Creazione utenti e management dell'Active Directory sui gruppi di protezione e distribuzione.- Inserimento e manutenzione del servizio DHCP all'interno del dominio.- Come agganciare clients e server al nostro dominio.

Win Server 2003 - Active Directory Management 2°p In questo quarto articolo, dedicato al mondo Windows Server 2003, esaminiremo la procedura per la creazione di Gruppi di Protezione e il conseguente loro utilizzo all'interno delle directory condivise nel nostro dominio.Creeeremo infatti il gruppo chiamato Amministrazione del quale faranno parte gli utenti Mario Rossi, Bruno Bianchi e Giuseppe Verdi, i quali dovranno avere accesso alla cartella in share chiamata Amministrazione.

Passiamo subito a vedere come:

Dall'interno del nostro server Windows server 2003 premiamo sul pulsante Start --> Tutti i Programmi --> Utenti e computer di Active Directory ed passiamo ad esaminare la nostra interfaccia LDAP, come mostra la figura sotto:

Come possiamo notare nella cartella Builtin sono raccolti tutti i gruppi di protezione creati di default dal nostro dominio.

Procediamo cliccando con il tasto destro del mouse sulla cartella Builtin, quindi scegliamo Nuovo --> Gruppo

Tengo a pracisare che non siamo obbligati alla creazione dei gruppi proprio nella cartella indicata, ma potremmo crearne anche una a nostro piacimento.

Nelle textbox inseriamo il nome che vogliamo dare al nostro gruppo, nel nostro esempio scriveremo Amministrazione, quindi nella sezione Ambito del gruppo selezioniamo Globale e nel Tipo di gruppo selezioniamo Protezione ed infine confermiamo il tutto premendo il tasto OK.

Come possiamo notare il gruppo Amministrazione è stato creato ed è stato inserito all'interno della cartella Builtin... bene non dobbiamo far altro che farci doppio click sopra.

Nella scheda Generale possiamo inserire nella textbox evidenziata, una descrizione più approfondita che sarà visualizzata all'interno dell'interfaccia della nostra Active Directory, in questo esempio scriveremo: Dipendenti ufficio Amministrazione e confermiamo premendo il tasto Applica.

Passiamo quindi alla scheda Membri ed andiamo ad inserire i dipendenti del nostro ufficio Amministrazione, premendo il tasto Aggiungi.

Siccome sappiamo che i nostri utenti creati si chiamano Rossi, Verdi e Bianchi, all'interno della textbox che chiede d'immettere i nomi degli oggetti da selezionare, scriviamo Rossi e premiamo il tasto Controlla nomi.

Come possiamo notare il nostro sistema ha contattato il dominio ed ha individuato che l'utante Rossi ne fa parte, premiamo infine il tasto OK per aggiungerlo quindi al nostro gruppo; adesso non dobbiamo far altro che ripetere la stessa operazione anche per gli altri 2 utenti che in questo caso sono Bianchi e Verdi.

Esiste tuttavia una procedura alternativa che può risultare molto comoda se per caso non ci dovessimo ricordare i nomi da inserire oppure i nominativi da aggiungere dovessero essere molti e quindi possiamo comunque procedere come segue:

Dalla form di selezione Utenti, Contatti o Computer premiamo il tasto Avanzate

Si aprirà una form successiva dove è possibile stabilire dei criteri di ricerca dei nostri utenti, premiamo quindi il tasto Trova

Ecco che immediatamente nei risultati della nostra ricerca abbiamo individuato subito i nostri 3 utenti che dobbiamo rendere membri del gruppo amministrazione, a questo punto teniamo premuto il tasto CTRL e con il clieck sinistro del mouse selezioniamoli uno alla volta tutti e tre; concludiamo premendo il tasto OK.

Ed ecco che tutti e tre insieme i nostri amici Rossi, Verdi e Bianchi sono apparsi nell'elenco del gruppo di protezione, non dobbiamo far altro che confermare premendo il tasto Ok.

Entriamo adesso in gestione del computer e sotto il disco C:\ noteremo che è stata precedentemente creata una cartella chiamata Amministrazione; facciamoci click con il tasto destro del mouse e scegliamo l'opzione Condivisione e Protezione.

Nella scheda Condivisione scegliamo l'opzione Condividi Cartella ed immediatamente ci accorgeremo che nella textbox sottostante ci verrà proposto lo stesso nome della cartella, che possiamo tranquillamente tenere come buono e clicchiamo sul pulsante Autorizzazioni.

E' di fondamentale importanza sapere che all'interno di un servizio di fileservering esistono due tipi d'autorizzazioni: quelle di condivisione e quelle di protezione; ricordiamo sempre che le autorizzazioni più restrittive, distribuite nella condivisione o nella protezione, vincono sempre su quelle meno restrittive. Nel nostro caso vogliamo attribuire alle autorizzazioni di condivisione i permessi di everyone (cioè per tutti gli utenti del nostro dominio) ma in quelle di protezione vogliamo attribuire il solo accesso al gruppo Amministrazione, quindi essendo più restrittive (in questo caso) le autorizzazioni di protezione solo i membri del gruppo Amministrazione, cioè gli utenti Rossi, Verdi e Bianchi, potranno avervi accesso.Diamo quindi all'utente Everyone i permessi di modifica clieccando nella checkbox indicata dalla freccia rossa e procediamo premendo il tasto Ok.

Passiamo adesso alla scheda Protezione: il nostro dominio ha assegnato di default delle autorizzazioni, che però a noi non stanno bene in quanto non rispecchiano quello che vogliamo fare; quindi procediamo come segue, cioè premendo il tasto Avanzate.

Verrà aperta una form più dettagliata dove possiamo eseguire operazioni più avanzate rispetto alla precedente; la prima cosa che possiamo notare è che i permessi di protezione della cartella Amministrazione, ereditano da quella padre, cioè C:, quindi dobbiamo subito togliere il checkbox riguardante la propagazione delle autorizzazioni ereditabili dall'oggetto padre.

Adesso rimuoviamo tutte le autorizzazioni legate alla cartella amministrazione premendo il tasto Rimuovi.

Ecco fatto ! Tutte le precedenti autorizzazioni sono state tole ed è rimasto solo l'utente Administrator che per buona norma è sempore meglio lasciare; Confermiamo premendo il tasto OK.

Come possiamo notare l'utente Administrator è rimasto ma le autorizzazioni NO, vedi elenco casella Consenti, quindi premiamo sul checkbox di Controllo Completo ed automaticamente tutte le altre autorizzazioni verranno spuntate automaticamente.

Proseguiamo nel nostro lavoro premendo il tasto Aggiungi per dare le altre autorizzazioni.

Nella form che ci viene presentata adesso, che è identica a quella di assegnazione degli utenti al gruppo, invece di assegnare gli utenti Rossi, Biachi e Verdi, inseriamo direttamente il gruppo di protezione appena creato, quindi scriviamo all'interno della textbox il nome del gruppo cioè Amministrazione e premiamo sul tasto Controlla Nomi.

Ecco che immediatamente il nostro dominio Active Directory si è accorto della presenza del gruppo, infatti la scritta Amministrazione è stata individuata e sottolineata, confermiamo premendo il tasto OK.

Adesso dobbiamo dare i permessi di modifica e di scrittura per il gruppo selezionato, quindi spuntiamo il checkbox Modifica, come indicato dalla freccia bianca del mouse e noteremo subito che anche i permessi di scrittura verranno flaggati automaticamente come mostra la freccia rossa.

Concludiamo il tutto premendo il tasto OK.

Per verificare se tutte le precedenti operazioni sono andate a buon fine, clicchiamo il pulsante Start --> Esegui e dentro la riga di comando scriviamo \\revserver (che è il nome del nostro server Windows Server 2003) e premiamo il tasto OK.

Come possiamo notare è stata creata la schare per la cartella Amministrazione alla quale solo i membri del gruppo Amministrazione potranno avervi accesso e quindi gli utanti Rossi, Verdi e Bianchi.

Windows XP / Vista Salve a tutti gli amici di umts-italia, in questa terza semplice e breve guida che è il proseguimento delle precedenti (Devi essere registrato per poter vedere questo link e Devi essere registrato per poter vedere questo link), andremo a vedere come si aggancia un client Xp o Vista ad un dominio Windows Server.

Passiamo dunque a vedere come:

Dal nostro desktop facciamo click col pulsante destro del mouse sull'icona Risorse del Computer e premiamo su Proprietà

Selezioniamo la scheda Nome Computer e premiamo il tasto Cambia

Nella scheda Membro di dominio selezioaniamo appunto su Dominio ed immettiamo il nome che nel nostro caso è REVHOME, infine premiamo il tasto OK

A questo punto ci verranno richieste le credenziali di amministratore di dominio, quindi inseriremo utente Administrator e password quella predefinita (descritta nella Devi essere registrato per poter vedere questo link guida) e concludiamo premendo il tasto OK

Attendiamo qualche istante in modo che il client contatti il nostro domain controller ed alla fine avremo il

messaggio di conferma dell'avvenuta registrazione; non dobbiamo far altro che confermare premendo il tasto OK

A questo punto ci verrà chiesto ri riavviare il computer, e noi premeremo il tasto OK

Verremo reindirizzati alla schermata delle proprietà di sistema, quindi procederemo premendo il tasto OK

Confermiamo premendo il tasto SI ed attendiamo il riavvio

Come possiamo notare il client si è riavviato e se apriamo il nostro menù a tendina nella sezione Accedi a: sarà comparso il nome del nostro dominio; non dobbiamo far altro che effettuare il logon con le credenziali del nostro account (fare riferimento alla Devi essere registrato per poter vedere questo link guida)

GUIDA] - Win Server 2003 - Active Directory Management 3°p Un saluto a tutti gli amici di umts-italia, in questo quinto articolo dedicato al mondo Windows Server 2003 e relativo domain controller, parleremo della procedura per creare tramite script di logon le unità di rete da distribuire a tutti od alcuni clients di dominio. Le unità di rete sono molto diffuse all'interno degli script di logon in quanto garantiscono una distribuzione genuina e precisa delle cartelle condivise che vanno distribuite agli utenti appartenenti a determinati gruppi di fileservering. Avviso che per interpretare ed applicare correttamente questa guida è indispensabile aver letto attentamente quanto riportato nella Devi essere registrato per poter vedere questo link.

Premesso quanto sopra, quando si hanno molti utenti di dominio e molti PC che devono appunto eseguire del fileservering, il nostro amministratore di rete può semplicemnete amministrare da questa procedura i dischi da mappare ad ogni singolo utente, invece di spostarsi fastidiosamente su ogni singolo client e mapparli localmente.Di seguito andremo quindi a distribuire all'utente Mario Rossi il disco di rete "O:\" che punta alla cartella condivisa chimata "Amministrazione" della quale l'utente citato possiede i diritti di lettura e scrittura.

Andiamo subito a vedere come:

Facciamo click sul pulsante Start --> andiamo su Strumenti di amministrazione --> quindi scegliamo Utanti e Computer di Actve Directory

Clicchiamo sull'Unità organizzativa "Amministrazione" dove sappiamo che al sul interno risiede l'utente Mario Rossi, quindi sulla parte destra della nostra interfaccia selezioniamo con il tasto destro del mouse il nostro utente e scegliamo l'opzione Proprietà.

Andiamo sulla scheda Profilo e nella textbox relativa allo script d'accesso inseriamo il nome del nostro file chiamto Amministrazione.bat, quindi confermiamo premendo il tasto OK; ora possiamo chiudere la nostra interfaccia Active Direcory.

Fino a quì tutto facile... adesso dobbiamo creare il nostro file "Amministrazione.bat" nella sezione corretta del dominio ed al suo interno creare lo script.Vediamo come:

Premiamo il pulsante Start --> Esegui e dentro alla riga di comando scriviamo: \\revserver (che è il nome del nostro domain controller primario), quindi facciamo doppio click nella cartella SYSVOL.

Proseguiamo facendo doppio click nella cartella revhome.local

Facciamo doppio click sulla cartella scripts.

In una parte qualsiasi della finestra facciamo click con il tasto destro del mouse, quindi scegliamo Nuovo --> Documento di testo.

Verrà creato il file "Nuovo Documento di testo.txt" che noi dovremo rinominare in "amministrazione.bat"; essendo il tipo di estensione diversa da quella scelta, ci comparirà una form che ci avviserà che modificando l'estensione il file potrebbe non essere utilizzabile e ci chiederà conferma della modifica dell'estensione. Non preoccupiamoci e premiamo il tasto Sì.

Bene ! adesso che abbiamo creato il nostro file, dobbiamo editarlo per creare lo scrpit, quindi facciamoci click con il tasto destro del mouse e scegliamo l'opzione Modifica.

Dentro al nostro file scriviamo le seguenti sintassi:nella prima riga: "NET USE O: /DELETE" (con questo comando, se il client possiede già una unità di rete mappata localmente, gliela togliamo)nella seconda riga: "NET USE O: \\REVSERVER\AMMINISTRAZIONE" (con questo comando gli mappiamo l'unità di rete del disco O:\ che punta alla cartella Amministrazione).

Dal menù File scegliamo Esci...

... quindi salviamo le modifiche premendo il tasto Sì.

Eseguiamo ora il logon su qualsiasi client di dominio con l'utente Mario Rossi e...

...se entriamo in Risorse del Computer possiamo notare che ad esso gli è stata mappato il disco di rete O: che punta alla cartella Amministrazione su revserver.Se poi vogliamo che i nostri utenti più indisciplinati non abbiano più la possibilità di mappare localmente dischi di rete lo possiamo fare tranquillamente con una GPO che vi illustrerò nelle prossime guide relative alle Group Policy Object.

I profili

Creazione della Home Directory dell’utente

L’Home Directory è una cartella a cui può accedere solo il proprietario della cartella stessa. Tale cartella viene visualizzata nelle Risorse del computer di una qualunque Workstation del Dominio a cui l’utente fa accesso e permette all’utente stesso di operare sui propri file memorizzati sul Server, senza sfogliare Risorse di rete. L’Home Directory ha quindi una posizione centralizzata sul server.

Per creare la Home Directory di un utente effettuare i seguenti passi:

1. Creare sul Server una cartella condivisa con accesso in condivisione ad Everyone (es: Utenti)

2. In Utenti e Computer di Active Directory (A.D.), selezionare l’utente a cui si vuole assegnare una Home Directory (es. Modello)

3. Ciccare con il Tasto destro del mouse (TD) su proprietà 4. Aprire la scheda Profilo 5. In Home Directory (potete trovare anche Cartella Principale) selezionare Z o un altro

volume disponibile ed immettere //nome server/cartella condivisa/%username% (es: //PC-10/Utenti/%username%)

La figura mostra la scheda Profilo con il caricamento della Home Directory.

Se l’account è un utente modello, copiando questo account, anche gli altri utenti avranno la Home Directory sotto la stessa cartella condivisa (es:Utenti), ma con il proprio nome.

Profili

Quando un utente si connette in rete, Windows verifica se l’utente ha un profilo centralizzato. In caso positivo lo carica, diversamente carica il profilo default. I profili funzionano solo su macchine Windows in cui il file system è NTFS. Per gli altri sistemi operativi occorre creare l’ambiente utente attraverso uno script di logon, oppure con System Policy Editor. I profili non possono essere usati su macchine Unix, MS-DOS, WfW.

Vediamo di seguito come associare un profilo ad un utente o ad un gruppo.

Profili utente predefinito e locale

Quando si crea un utente, e non si specifica il profilo, Win2000/2003/XP crea per default il suo profilo sotto la cartella Documents and Settings del sistema locale a cui l’utente ha fatto accesso. Tale cartella rimane sempre visibile a tutti gli utenti che hanno l’accesso alla partizione in cui è installato il S.O. La creazione del profilo avviene quindi solo nel computer locale a cui l’utente è connesso e quando l’utente si connette per la prima volta. Il profilo assegnato all’utente è il profilo predefinito.

Il profilo utente permette di impostare l’ambiente di lavoro dell’utente, poiché contiene le impostazioni per il desktop e per i programmi.

L’utente infatti, nel caso in cui nel suo profilo vi sia il file Ntuser.dat può modificare le impostazioni; in tal caso al successivo collegamento troverà, sul computer locale, le impostazioni modificate.

Selezionando Pannello di controllo Sistema (Avanzate) Profili utente Impostazioni, si può vedere che l’utente creato senza la specifica del profilo è di tipo locale. La figura che segue mostra le fasi suddette.

Profilo utente itinerante o roaming

Questo profilo permette all’utente di avere sempre lo stesso ambiente di lavoro, a prescindere dal computer Windows a cui si collega. Anche a questo profilo viene associato il file Ntuser.dat, e pertanto può essere modificato dall’utente.

Per rendere un profilo roaming occorre che venga specificato in quale cartella del server è contenuto tale profilo. Infatti se questo non viene specificato, il sistema crea un profilo locale, sotto la cartella di sistema Documents and Settings, avente lo stesso nome dell’utente.

Per creare un account utente roaming fare i seguenti passi:

1. Creare sul Server una cartella condivisa con accesso in condivisione ad Everyone (es: Profili)

2. In Utenti e Computer di Active Directory (A.D.), selezionare l’utente a cui si vuole assegnare una Home Directory (es. Modello)

3. Ciccare con il Tasto destro del mouse sull’utente e scegliere Proprietà 4. Aprire la scheda Profilo

5. Nel box Profilo Utente immettere il nome del computer server che deve ospitare il profilo, il nome della cartella che deve contenere il profilo roaming (es:Profili) ed il nome della cartella che deve contenere il profilo dell’utente, secondo la seguente sintassi: //nome server/cartella condivisa/%username% ( es: //PC-10/Profili/%username%)

Il nome di quest’ultima cartella può coincidere con il nome dell’utente (es: Modello o %username%), se si vuole individuare facilmente il profilo dell’utente stesso. La cartella che contiene tutti i profili (es: Profili), deve essere condivisa, altrimenti il sistema non riuscirà a raggiungerla passando tramite il server, e pertanto in fase di connessione segnalerà "il tuo profilo non è roaming, il sistema ti sta assegnando il profilo locale"; un esempio valido è \\Pc-10\Profili\%username%. Ovviamente PC-10 è il nome del server

Se non si vuole condividere la cartella, nel box Profilo Utente occorre specificare il Path completo senza ricorrere alle risorse condivise, in tal caso un esempio valido è D:\Profili\%username% .La voce %username% assegna alla cartella che deve contenere il profilo utente, lo stesso nome dell'utente.

Completate queste operazioni il profilo diventa roaming. Per effettuare il controllo selezionare Pannello di controllo Sistema Avanzate Profili utente; si può vedere che l’utente creato con la suddetta procedura è di tipo roaming.

Profilo utente bloccato

Un profilo utente bloccato, è un profilo che non può essere modificato dall’utente, pertanto spesso si utilizza per assegnarlo a più utenti che necessitano della stessa configurazione. Anche se un utente modifica le impostazioni, alla successiva connessione troverà quelle originali.

Se l’utente non è bloccato, tutte le modifiche che egli apporta (per es. sulle proprietà dello schermo) vengono salvate in netuser.dat.

Per bloccare un profilo occorre modificare Ntuser.dat in Ntuser.man, nella cartella in cui si trova il profilo stesso. Questa cartella sarà Documents and Settings se il profilo è locale, oppure la cartella condivisa che contiene i profili (esempio Profili) se è roaming. Il file da rinominare è quello che ha l’icona di Windows.

Se si copia il profilo di un utente bloccato anche il nuovo utente sarà bloccato.

Se l’intervento viene effettuato sulla cartella che contiene un profilo comune a più utenti, allora tutti gli utenti il cui profilo punta a tale cartella avranno il profilo bloccato.

Profilo centralizzato-bloccato comune a più utenti

Questo profilo permette ad un gruppo di utenti di avere sempre lo stesso ambiente di lavoro, a prescindere dal computer a cui si collega. Le operazioni da fare differiscono da quelle necessarie nel caso di un singolo utente solo perché il profilo dell’utente modello deve essere mandatory.

Pertanto le operazioni da fare sono:

1. Connettersi come amministratore. 2. Creare e condividere una cartella (per esempio Profili).

3. Creare un nuovo utente modello (Modello) 4. Connettendosi con l’account dell’utente modello (Modello), modificare le impostazioni. 5. Disconnettersi e connettersi come amministratore. 6. Modificare Ntuser.dat in Ntuser.man.

7. Creare un gruppo locale (per esempio Proff) e aggiungere ad esso gli utenti. 8. Cliccare su Risorse del computer Proprietà. Verrà visualizzata la finestra Proprietà

del sistema. 9. Selezionare la scheda Profili e da qui scegliere l’account utente modello (Modello).

Cliccare su Copia in. 10. Nel box Copia Profilo in, digitare il nome del server, il nome della cartella condivisa

(Profili) ed il nome della cartella che dovrà contenere il profilo comune (per esempio ProfiloProf). Quest’ultima cartella come al solito può avere un nome qualunque.

11. Specificare quale gruppo deve utilizzare questo profilo: Nella finestra di dialogo Copia in, nel box Autorizzati ad usare fare clic su Cambia

12. Selezionare il gruppo che deve usare il profilo selezionato (per esempio Proff) e fare clic su OK. Viene visualizzato il gruppo che può utilizzare il profilo.

13. Selezionare tutti gli utenti appartenenti al gruppo, che devono avere il profilo dell’utente modello, e premere INVIO.

14. Nella scheda Profilo di ogni singolo utente digitare il nome del server, il nome della cartella condivisa (Profili) ed il nome della cartella che contiene il profilo del gruppo.

Tutti gli utenti del gruppo hanno adesso il profilo bloccato. Per effettuare modifiche a tutto il gruppo basta ora connettersi come amministratore e modificare il profilo comune che si trova nella cartella condivisa (\Profili\ProfiloProf), in quanto tutte le modifiche effettuate sul modello si ripercuoteranno su tutti gli utenti del gruppo.

Le Group Policy Object (GPO) Salve a tutti gli amici di umts-italia,oggi inizieremo la nostra prima avventura all'interno del mondo Windows Server 2003 con le Group Policy Object.Le Group Policy Object, chimate comunemente anche GPO, sono delle impostazioni / restrizioni che possono essere impostate e comandate direttamente dai domain controller, primari e secondari, e che hanno effetto su tutti i clients appartenenti al nostro dominio.In questa prima parte del topic parleremo della proibizione sulla modifica delle impostazioni di rete LAN; per un utente classificato di medio livello è abbastanza semplice manomettere tali impostazioni, specialmente se all'interno della struttura conosce i dati base per poter navigare in internet: quindi server

DNS e GATEWAY.In Windows Server 2003 il management è piuttosto complesso, per questo ci viene in aiuto un software, che Microsoft ha rilasciato già da diverso tempo, che si chiama "Group Policy Management". Il software è già completo del service pack 1 ed è scaricabile a Devi essere registrato per poter vedere questo link indirizzo.

Partendo dal presupposto che abbiate già scaricato il suddetto software, andiamo subito a vedere come svolgere l'installazione del pacchetto ed a configurare la prima GPO della guida. Premetto che, essendo le GPO molto numerose, questo topic sarà in continuo aggiornamento mano a mano che andremo a vedere almeno quelle fondamentali per una gestione restrittiva classificata MEDIO/ALTA della struttura sulla sicurezza dei clients.

Partiamo quindi con l'entrare nel nostro Windows Server 2003 che dovrà essere anche il domain controller primario (vedi figura sotto)

Come detto anticipatamente, partendo dal presupposto che abbiate già provveduto a scaricare il pacchetto e l'abbiate salvato sul desktop, eseguiamo l'installazione facendo doppio click sull'icona gpmc.msc

Come potrete notare dal messaggio del primo wizard, il software si è accorto che la lingua non corrisponde con quella del nostro sistema operativo ma dal momento in cui la versione è disponibile solo in inglese, procediamo ugualmente premendo il tasto SI.

Proseguiamo premendo il tasto Next

Selezioniamo il checkbox relativo al messaggio "I Agree" (vedi freccia rossa) e proseguiamo premendo il tasto Next.

Concludiamo l'installazione premendo il tasto Finish

Se andiamo su Start --> Strumenti di amministrazione noteremo subito che è apparsa la nuova icona chimata Group Policy Management, quindi facciamoci click sopra

Ecco l'interfaccia: come potrete notare dalla figura abbiamo la nostra foresta, il nostro dominio e sotto una voce chimata "Default Domain Policy"; questa è la GPO padre, ossia al suo interno ci sono caricate tutte le regole base per le impostazioni dei nostri client. Appena più sotto possiamo notare un'altra voce chimata "Group Policy Object", questa è la cartella dove, oltre alla Default Domain Policy, ci saranno contenute tutte le GPO che andremo a creare.

Bene, adesso andiamo a creare la nostra GPO: facciamo click con il tasto destro del mouse sulla cartella Group Policy Object e selezioniamo New.

Inseriamo nella textbox il nome che vogliamo dare alla nostra GPO, in questo caso la chiameremo "Protezione rete" e proseguiamo premendo il tasto OK.

Ecco che possiamo notare che sotto la cartella Group Policy Object troviamo la nostra GPO appena creata; facciamoci click sopra con il tasto destro del mouse e selezioniamo la voce Edit.

Il nostro software di management delle GPO ha aperto in automatico l'editor oggetti criteri di gruppo ove sono contenute le regole che vogliamo imporre ai nostri client; come si nota dall'interfaccia vi sono 2 tipi di regole:- quelle a livello compter che sono gestite dalla cartella padre: Configurazione computer- quelle a livello utente che sono gestite dalla cartella padre: Configurazione utente

In questo esempio volgiamo che l'utente Mario Rossi creato nel nostro dominio, indipendentemente dal computer al quale si vorrà loggare, debba subire la regola quindi la nostra GPO sarà a livello utente. Espandiamo allora la cartella Modelli amministrativi --> Rete, quindi posizioniamoci sulla cartella Connessioni di rete. Nel riquadro di destra abbiamo le regole che possiamo applicare, cerchiamo allora nell'elenco quella che fa al caso nostro, ossia quella chiamata "Proibisci l'accesso alle proprietà di una connessione LAN"; come possiamo notare lo stato della regola (colonna più a destra) è impostato su non configurato, quindi per il nostro dominio la regola non è applicata; quello che vogliamo fare e attivarla, quindi selezioniamola e facciamoci doppio click sopra.

Selezioniamo il checkbox ove indica la fraccia rossa, ossia su Attivata e premiamo il tasto OK.

Adesso dobbiamo entrare senza chidere la finestra in utenti e computer di Active Directory per andare a spostare l'utente Mario Rossi in una unità organizzativa diversa da quella di default, quindi dalla cartella chiamata Users; selezioniamo allora il nostro dominio con il pulsante destro del mouse e scegliamo Nuovo --> quindi Unità Organizzativa.

Inseriamo nella textbox il nome che vogliamo dare alla nostra unità organizzativa, nel nostro esempio scriviamo Amministrazione presuponendo che l'utente Mario Rossi appartenga all'ufficio Amministrazione e confermiamo premendo il tasto OK.

Adesso andiamo nella cartella Users ove è contenuto il nostro utente, selezioniamolo tenendo premuto il pulsante sinistro del mouse e con il drag & drop trasciniamolo nella unità organizzativa appena creata chimata Amministrazione.

A questo punto il sistema ci avviserà che lo spostamento di oggetti in Active Directory potrebbe impedire il corretto funzionamento del sistema ma noi proseguiamo premendo il tasto Si.

Bene, verifichiamo che il nostro utente Mario Rossi si trovi all'interno della unità organizzativa chiamata Amministrazione come ci mostra la figura; a questo punto possiamo chidere la finestra relativa ad utenti e computer di Active Directory.

Ok, siamo tornati nella finestra relativa alle nostre GPO e come possiamo notare anche al suo interno è apparsa l'unità organizzativa appena creata in utenti e computer di Active Directory (in caso la cartella non dovesse essere apparsa basterà semplicemente rinfrescare la from premendo con il pulsante destro del mouse sopra alla foresta e scegliere Aggiorna); Adesso facciamo click con il tasto deestro del mouse sulla unità organizzativa chimata Amministrazione ed andiamo ad assegnargli la GPO creata precedentemente scegliendo lìopzione Link An Exsisting GPO.

La form ci mostra l'elenco delle GPO esistenti tra le quali possiamo trovare anche quella creata chiamata "Protezione Rete"; selezioniamola e proseguiamo premendo il tasto OK.

Ottimo, come possiamo vedere sotto l'unità organizzativa chimata Amministrazione abbiamo la nostra GPO assegnata, come ci mostra la figura.Abbiamo finito, l'ultimo passo che ci resta da fare è decidere se la GPO dovrà essere assegnata automaticamente dal nostro dominio (l'aggiornamneto avviene ogni 90 min) oppure forzare la restrizione con il comendo apposito; dal momento che vogliamo appliocare subito il criterio procediamo premendo il tasto Start --> Esegui e dentro la riga di comando scriviamo: gpupdate /force.Andiamo su un qualsiasi client di dominio ed effettuiamo il logon con l'utente Mario Rossi.

Andiamo nelle connessioni di rete del client e facciamo clieck con il pulsante destro del mouse sull'icona relativa alla connessione di rete LAN e come possiamo ben notare da come evidenziato dalla freccia rossa la selezione delle Proprietà è disattivata.

By sreverbe for umts-italia.net

Windows Server 2003 - Le GPO Avanzate Un caloroso saluto a tutti gli amici di umts-italia,in questa guida andremo ad analizzare come poter impedire ad utenti di medio / alto livello la modifica delle impostazioni di Internet Explorer con il conseguente impedimento della modifica dei parametri di navigazione. Come ci mostra la figura sotto è molto semplice modificare questi parametri, specie se conosciamo la scheda "Connessioni" nelle opzioni del browser.

Se premiamo il tasto Impostazioni LAN avremo l'accesso diretto a diverse impostazioni

Una delle più comuni è la conoscenza del server proxy che ci permette di navigare in rete.

Premetto che per poter utilizzare questa guida bisogna aver ben studiato quella Devi essere registrato per poter vedere questo link.

Per prima cosa entriamo nel nostro Windows Server che dovrà essere anche il nostro domain controller principale e dal menù Start --> Esegui scriviamo dentro alla riga di comando gpmc.msc, come ci mostra la figura sotto.

Coma possiamo notare troveremo all'interno del gruppo l'unità organizzativa chimata Amministrazione creata nella guida precedente che possiede la GPO che restriziona le proprietà di rete.

Facciamo click con il tasto destro del mouse sulla unità organizzativa Amministrazione e scegliamo Create and Link a GPO Here; a differenza della guida precedente che indicava prima come creare la GPO e poi assegnarla successivamente all'unità organizzativa, questa nuova opzione ci permette di creare la nuova GPO e linkarla contemporaneamente evitandoci un passaggio in più.

Inseriamo il nome della GPO che vogliamo dare, in questo caso la chiameremo "Protezione Internet" e procediamo premendo il tasto OK.

Come possiamo notare la GPO è stata creata, adesso dobbiamo solo configurarla, quindi facciamoci click con il tasto destro del mouse e scegliamo l'opzione Edit.

All'apertura della form dell'Editor degli oggetti di gruppo espandiamo Configurazione Utente --> Modelli amministrativi --> Componenti di Windows --> Internet Explorer e selezioniamo Pannello di controllo Internet. Spostiamoci ora sulla parte destra della form dove troviamo l'opzione Disattiva la scheda Connessioni e facciamoci doppio click sopra.

Attiviamo la regola selezionando il checkbox relativo ad Attivata e proseguiamo premendo il tasto OK.

Chiudiamo il nostro Editor oggetti di gruppo premendo la X in alto a destra del form.

Come possiamo notare, essendo tornati nella nostra interfaccia Group Policy Management, oltre al link della GPO sotto l'unità organizzativa Amministrazione, se espandiamo Group Policy Object, troviamo anche la reale GPO appena creata... tutto in un passaggio.

Entriamo ora loggandoci nel nostro client di dominio ed apriamo il browser Internet Explorer e dal menù Strumenti scegliamo Opzioni Internet.

Come potete ben vedere la scheda Connessioni non è più visibile e quindi non più configurabile, impedendo ogni accesso non consentito agli utenti furbetti.

By sreverbe for umts-italia.net

Windows Server 2003 - Configurazione PRINTSERVER

Introduzione

Un piccolo ufficio può avere più utenti che condividono una stampante collegata direttamente alla rete dati, in questo tipo di ambiente ogni utente spesso agisce in qualità di amministratore di ogni singola macchina o vi è una sola persona che effettua gestione d'amministrazione in aggiunta alle loro altre responsabilità. Con un server esistente e non limitato al traffico di rete, una connessione diretta IP può essere il modo meno costoso per configurare e condividere una stampante.Alcuni uffici con le stampanti condivise possono già disporre di un computer che esegue Windows 2003 Server, che agisce come un server di stampa. Poiché la funzione di server di stampa è incluso come una parte di questi sistemi operativi, può essere opportuno prendere in considerazione la condivisione della stampante tramite il server di stampa piuttosto che la diretta connessione IP per contribuire a ridurre l'overhead amministrativo.Un grande ufficio può essere invece un gruppo di persone il cui lavoro principale è l'amministrazione del sistema e la cui responsabilità primaria è il mantenimento e il sostegno dell'organizzazione dei computer e dei dati di rete. Spesso nelle organizzazioni di queste dimensioni, gli utenti sono scoraggiati, se non sono vietati, ad installare o modificare la loro configurazione del computer. Strumenti di amministrazione e funzioni come la stampa, può essere di notevole vantaggio.L'utilizzo di connessioni dirette IP per condividere le stampanti possono essere sufficienti per le esigenze di stampa di un piccolo ufficio o in ufficio nel quale quelle configurazioni non sono abbastanza grandi, o è abbastanza complesso richiedere un apposito amministratore di sistema. Tuttavia, negli uffici in cui il personale è in aumento , probabilmente verrà il momento in cui la condivisione di stampanti che utilizzano un server di stampa, diventerà più efficace e meno complicato la condivisione utilizzando connessioni dirette IP. L'uso di un server di stampa per condividere e gestire le stampanti, offre molti vantaggi sia per l'utente finale sia per l'amministratore, come ad esempio il numero di utenti che cresce e può anche offrire un modo per evitare molti dei problemi incontrati con le connessioni dirette IP della stampante.Questa guida descrive alcuni problemi che possono essere sperimentati se si condividono le stampanti tramite connessioni dirette IP delle stampanti, oltre che a descrivere alcune delle principali caratteristiche e vantaggi come utilizzare un server di stampa per gestire le stampanti condivise. Comprendere i vantaggi che può offrire un server di stampa, vi aiuterà a comprendere quale sarà la migliore delle due soluzioni.

Caratteristiche

Un server di stampa aiuta a ridurre la mole di lavoro amministrativo e la gestione locale, centralizzando la gestione delle stampanti in remoto sull server di stampa; semplifica, inoltre, molte delle funzioni di di lavoro intenso da parte degli utenti quando si utilizzano connessioni dirette IP della stampante. Questa sezione descrive le principali caratteristiche del server di stampa e dei loro benefici per l'amministratore e l'utente finale.

Point and Print

Point and Print permette ad un utente di creare una nuova connessione a una stampante condivisa, senza richiedere all'utente di installare alcun software per la stampante.Inoltre, il Point and Print può aiutare ad evitare problemi di sicurezza, perché gli utenti non hanno bisogno di accedere alle loro macchine, al fine di installare il software per una nuova stampante. Point and Print installa il software sulla macchina automaticamente senza preoccuparsi che l'utente abbia l'accesso al computer come amministratore.

Gestione delle code di stampa

Un server di stampa facilita la gestione delle code di stampa, supporta il controllo delle prestazioni, e consente la definizione delle priorità e la programmazione di posti di lavoro nella coda di stampa.

Definizione delle priorità

Il server di stampa consente inoltre la priorità nei lavori di stampa; i lavori e le code di stampa possono essere assegnati in modo che quelli più critici vengono stampati prima rispetto a quelli meno critici. L'amministratore può stabilire una diversa priorità predefinita per ogni coda di stampa. Gli utenti che definiscono una priorità inferiore, evitando così disagi ad una più elevata priorità di stampa. La gestione della coda consente inoltre agli utenti di pianificare i lavori di stampa al momento più conveniente, consentendo in tal modo un uso più efficiente delle risorse.

Installazione e Configurazione

Lato server

In questa guida abbiamo a disposizione un Server Windows 2003 installato in lingua inglese e già configurato come printserver, perciò andremo semplicemnete a vedere cosa occorre predisporre per preparare la macchina al ruolo di printserver ed aggiungere la condivisione di una stampante ad un elenco di stampanti già presenti sul server.

Clicchiamo il pulsante Start --> Programmi --> Strumenti di amministrazione, quindi scegliamo Servizi

Scorriamo l'elenco fino a trovare il servizio Print spooler, verifichiamo che il suo stato sia impostato su automatico e sia avviato; se così non fosse esercitiamo pressione sui tasti evidenziati dal cerchio rosso per avviare il servizio.

Ora cliecchiamo nuovamente sul pulsante Start --> Settings, quindi scegliamo Stampanti e Fax

Dall'elenco di stampanti già installate andiamo a creare una nuova condivisione per una nuova stampante, quindi premiamo Aggiungi stampante dove ci mostra il cerchio rosso

A questo punto partirà il wizard che ci guiderà alla creazione della nuova stampante, proseguiamo premendo il tasto Avanti

Selezioniamo, come ci mostra la freccia rossa, Stampante locale agganciata a questo computer, quindi premiamo il tasto Avanti

Scegliamo l'opzione Crea una nuova porta, come ci mostra la freccia rossa, quindi apriamo la combobox e scegliamo Standard TCP/IP prt come indicato dalla freccia verde

Proseguiamo premendo il tasto Avanti

Ora partirà un secondo wizard relativo alla creazione della porta del protocollo, procediamo premendo il tasto Avanti

Inseriamo nella textbox indicata dalla freccia rossa l'indirizzo IP della stampante precedentemente configurato su essa, quindi premiamo il tasto Avanti

Concludiamo il primo wizard premendo il tasto Fine

Adesso il sistema ci chiede di inserire il driver della nostra stampante, se sappiamo a priori che il modello è presente nell'eleco di default di Windows, andiamo a selezionare il produttore ed il modello, altrimenti se il driver è stato fornito con un CD d'installazione o è collocato in rete, premiamo il pulsante Have Disk...

Premiamo il tasto Browse per definire il percorso nel quale si trova il nostro driver

Selezioniamo il drive del CD o un percorso di rete, quindi premiamo il tasto Open

Clicchiamo sul tasto OK

Selezioniamo il modello della nostra stampante, in quanto sappiamo che molti driver supportano anche più modelli, quindi premiamo il tasto Avanti

Se il driver della nostra stampante si trova già nel sistema operativo è consigliabile mantenere il driver scegliendo il checkbox indicato dalla freccia rossa; se invece vogliamo aggiornare o sostituire il driver scegliamo il checkbox indicato dalla freccia verde e concludiamo premendo il tasto Avanti

Ora inseriamo nella textbox indicata dalla freccia rossa il nome della nostra stampante di rete, facendo attenzione a non utilizzare nomi già esistenti se vi sono altre stampanti configurate in quanto il sistema non gestisce i nomi uguali, quindi premiamo il tasto Avanti

Selezioniamo il checkbox indicato dalla freccia rossa per condividere la nostra stampante ed inseriamo nella textbox indicata dalla freccia verde il nome di condivisione che vogliamo assegnare e concludiamo premendo il tasto Avanti

E' assolitamente consigliato inserire nella textbox indicata dalla freccia rossa la Locazione, dove per locazione generalmente si intende l'ufficio di ubicazione, questo ci tornerà molto utile quando sui clients andremo a cercare la stampante; procediamo premendo il tasto Avanti

Eseguiamo il test della pagina di prova per vedere se la nostra installazione è andata a buon fine selezionando il checkbox indicato dalla freccia rossa e premiamo il tasto Avanti per proseguire

Concludiamo il wizard premendo il tasto Fine

Come possiamo notare la nostra stampante è stata installata con successo ed è ora visibile nell'elenco delle stampanti, come ci mostra il cerchio rosso

Attenzione: potrebbe anche succedere che il servizio dhcp del server abbia distribuito alla nostra stampante un indirizzo precedentemente utilizzato da un'altra peroferica, il quale è rimasto registrato nai DNS (Domani Name Services), specialmente se la stampante che stiamo installando è la sostituzione di un'altra; in questo caso avremo durante la fase d'installazione, in fase di digitazione dell'indirizzo IP, il seguente errore.

La porta è già in uso ! Nessuno problema, premete il tasto OK sul messaggio d'errore

Dopo essere usciti dal wizard andate nell'elenco delle stampanti e èremete il tasto Proprietà Server indicato dal cerchio rosso

Andate nella scheda Porte indicato dalla freccia rossa ed identificate l'indirizzo IP che deve essere presente nella lista indirizzi, quindi selezionatelo e premete il tasto Cancella Porta

Confermate premendo il tasto Si e se tutto va bene otterrete la liberazione della porta.

Concludete premento il tasto Chiudi

In alcuni casi invece potreste imbattervi nel seguente errore, ossia il sistema non vi permette l'eliminazione della porta in quanto essa è ancora in uso. In tal caso premete il tasto OK, Riavviate il server e ripete sia l'eliminazione della porta che l'installazione della stampante.

Lato client

Ora abbiamo la nostra stampante correttamente configurata ed installata sul nostro PRINTSERVER, vediamo cosa fare sui clients

Dal client premiamo il pulsante Start e selezioniamo Stampanti e fax

Clicchiamo su aggiungi stampante come indicato nel cerchio rosso

Una volta partito il wizard premiamo il tasto Avanti

Ora selezioniamo, come ci mostra la freccia rossa, Stampante di rete o collegata a un altro computer, quindi procediamo premendo il tasto Avanti

Selezioniamo il chekbox indicato dalla freccia rossa Cerca una stampante in Active Directory, quindi premiamo il tasto Avanti

Premiamo il tasto Trova

Dopo qualche istante si aprirà l'elenco delle stampanti configurate sul nostro PRINSERVER, individuiamo la nostra stampante appena creata sul server, indicata dalla freccia rossa e premiamo il tasto OK

Ora decidiamo se la stampante che vogliamo installare dovrà essere impostata come la nostra stampante predefinita (checkbox dentro al cerchio rosso) e procediamo premendo il tasto Avanti

Concludete il wizard premendo il tasto Fine

Ecco la nostra stampante correttamente configurata sul nostro client, nessuna richiesta d'installazione di criver, nessuna preoccupazione di gestione delle stampe, Ci pensa tutto il server

[GUIDA] - Windows Server Update Services (WSUS)

Microsoft Windows Server Update Services, comunemente chimato in termine informatico WSUS è la soluzione gratuita per la gestione degli aggiornamenti che consente agli amministratori di rete di tenere aggiornati i prodotti su piattaforma Microsoft aumentando la sicurezza del proprio ambiente di rete e riducendo la superficie d’attacco da virus e worms che sfruttano le vulnerabilità di protezione.Ma non solo ! Permette all'interno di una struttura aziendale di risparmiare notevolmente tempo e denaro ed evita sopratutto rallentamenti della rete internet perchè gli aggiornamenti sono scaricati una volta sola dal nostro server su cui è installata la piattaforma WSUS, evitando che ogni clients di dominio si scaricarsi aggiornamenti identici tra loro.Infatti se all'interno del nostro dominio abbiamo clients di uguale struttura a livello di sistema operativo, i clients scaricheranno esattamente gli stessi aggiornamenti rilasciati da Microsoft provocando un notevole traffico sulla rete internet, provocando inutili rallentamenti di navigazione.Con WSUS possiamo stabilire l'orario (preferibilmente notturno) di sincronizzazione con Windows Update, scaricare gli aggiornamenti e decidere come e quando distribuirli ai nostri clients di dominio.

In WSUS, successore di Software Update Services (SUS), sono state introdotte alcune caratteristiche per facilitare e migliorare la distribuzione degli aggiornamenti.

Tra queste:

Selezione degli aggiornamenti

WSUS rispetto a SUS, che consentiva solo di scegliere la lingua degli aggiornamenti da scaricare, permette di scegliere la piattaforma ed il tipo di aggiornamenti scaricabili durante il processo di sincronizzazione.

Supporto di più prodotti Microsoft rispetto a SUS

Nella fase iniziale WSUS oltre agli aggiornamenti per Windows 2000/XP Pro/2003 supporta anche Office XP, Office 2003, Microsoft SQL Server 2000, Microsoft SQL Server Desktop Engine (MSDE), Microsoft Exchange Server 2003, Isa Server 2004, Windows Defender. Microsoft ha intenzione di allargare il supporto anche ad altri suoi prodotti.

Client Targeting

WSUS offre la possibilità di creare gruppi di computer e di popolarli con i computer appropriati così da poter distribuire gli aggiornamenti tra i vari gruppi in modo mirato e indipendentemente.

Reports migliorati

I miglioramenti introdotti consentono di monitorare le varie attività del server WSUS come lo stato degli aggiornamenti, l’attività di sincronizzazione, quali aggiornamenti sono richiesti dai computer, ecc.

Disinstallazione delle patch

WSUS consente la disinstallazione degli aggiornamenti a condizione che supportino tale caratteristica.

Componenti

Windows Server Update Services – Componente server

La parte server è basata sulla tecnologia del sito Microsoft Update da cui scarica gli aggiornamenti disponibili per distribuirli ai client o ad eventuali server WSUS subordinati in ambienti dove c’è l’esigenza di distribuire più server WSUS. La gestione del componente server viene effettuata attraverso un’interfaccia Web che permette di configurare la sincronizzazione degli aggiornamenti dal sito Microsoft Update , di approvare gli aggiornamenti da distribuire, il tipo di localizzazione degli aggiornamenti da sincronizzare, ed altre impostazioni.

WSUS client – Componente client

La parte client è una versione di Aggiornamenti automatici compatibile con WSUS che consente ai computer di scaricare gli aggiornamenti e comunicare con il proprio server. Windows XP service pack 2 e Windows Server 2003 Service Pack 1 contengo già il WSUS client mentre per gli altri client supportati è sufficiente connetterli ad un server WSUS in modo che aggiornino la versione di Aggiornamenti automatici con quella compatibile tramite la funzionalità client self-update.

Self-update, Windows XP e WSUS

WSUS client supporta i seguenti sistemi operativi:

- Windows 2000 Service Pack 3 e successivi- Windows XP e successivi- Windows Server 2003 e successivi

Questi sistemi operativi eseguono una versione di Aggiornamenti automatici che supporta la funzionalità di self-update.Quando un computer che supporta self-update si connette a Microsoft Update o ad un server interno per scaricare gli aggiornamenti controlla anche se esiste una nuova versione di Aggiornamenti automatici e se presente la installa.Windows XP senza service pack ha una versione di Aggiornamenti automatici che non supporta la caratteristica di self-update quindi se si hanno computer con Windows XP senza service pack e che non hanno mai usato SUS è necessario installare il SUS client per abilitare questa funzionalità.Dopo aver installato il SUS client sarà sufficiente far puntare questi computer ad un server WSUS ed il client Aggiornamenti automatici verrà aggiornato alla versione compatibile con WSUS.

Prefazione all'installazione di WSUS

L’installazione di WSUS può essere effettuata su una macchina con Windows 2000 SP4 o Windows 2003 ed è una procedura semplice guidata da un wizard.Prima di passare all’installazione vale la pena elencare alcune linee guida nella preparazione del disco fisso per l’installazione di WSUS.

Preparazione disco

- La partizione di sistema e la partizione dove viene installato WSUS devono essere formattata utilizzando NTFS come file system.- Minimo 1 GB di spazio libero per la partizione di sistema.- Minimo 6 GB di spazio libero per il volume dove viene installato WSUS, Microsoft consiglia 30 GB.- Minimo 2 GB di spazio libero nel volume in cui viene installato Windows SQL Server 2000 Desktop Engine (WMSDE).

Scelta di un database per WSUS

WSUS scarica gli aggiornamenti dal sito Microsoft Update, gli aggiornamenti consistono in due componenti:

- L’aggiornamento stesso che viene distribuito ed installato dai client.- Il metadata che descrive l’aggiornamento, incluso il nome, la data di rilascio, il numero di revisione, a quali prodotti si applica e se richiede il riavvio della macchina.

Il metadata viene archiviato nel database dedicato al server WSUS dove vengono archiviate le impostazioni di configurazione del server WSUS, quali client richiedono gli aggiornamenti, quali aggiornamenti sono stati approvati, lo stato di installazione di ogni aggiornamento su ogni client ed alcune informazioni di inventario.

Ogni server WSUS richiede il suo database, i seguenti database sono stati testati per l’utilizzo con WSUS:

- Microsoft Windows SQL Server 2000 Desktop Engine (WMSDE), che è incluso con WSUS, ed installabile solo su Windows 2003.- Microsoft SQL Server 2000 Desktop Engine (MSDE), utilizzare questo database quando si installa WSUS su una macchina Windows 2000. MSDE rispetto a WMSDE ha alcune limitazioni riguardo alle performance ed alla dimensione del database (max 2 GB). Sia WMSDE che MSDE sono gratuiti.- Microsoft SQL Server 2000, è la soluzione completa di gestione per i database Microsoft. WSUS supporta SQL Server 2000 con Service Pack 3.

In questa guida vedremo l'installazione su Windows 2003Per una corretta installazione vediamo quali sono i requisiti software:

- Internet Information Services 6 (IIS6) installabile tra i componenti di Windows Server 2003 - Dot Net Framework 2 scaricabile da Devi essere registrato per poter vedere questo link- Microsoft Management Console 3 (MMC3) scaricabile da Devi essere registrato per poter vedere questo link- L'applicativo WSUS 3 scaricabile da Devi essere registrato per poter vedere questo link- La modifca di alcune GPO per inserire i nostri client all'inteno di una unità organizzativa gestita da WSUS

Iniziamo l'installazione vera e propria, partendo dal presupposto di essere già in possesso dei componenti sopra citati, quindi procediamo come segue:

Installazione di Internet Information Services

Dal nostro server premiamo su Start --> Pannello di controllo --> Installazione applicazioni

Ora premiamo in tasto relativo ad Installazioni componenti di Windows

Scorriamo l'elenco dei nostri componenti e selezioniamo la voce Server applicazioni, quindi premiamo il tasto Dettagli

Spuntiamo il checkbox relativo a Internet Information Services (IIS) e verifichiamo che automaticamente venga selezionato anche la voce "Abilita l'accesso COM+ alla rete", quindi procediamo premendo il tasto OK.

Procediamo il nostro wizard premendo il tasto Avanti

Concludiamo premendo il tasto Fine.

Installazione di Dot Net Framework 2

Eseguiamo doppio click sul file dotnetfx.exe ed attendiamo la partenza del wizard

Procediamo premendo il tasto Avanti

Spuntiamo il checkbox relativo ad Accetto i termini del contratto di licenza Microsoft, come indicato dalla freccia rossa, e proceidamo premendo il tasto Avanti

Pazientiamo ancora qualche decina di secondi per lasciare al programma l'installazione dei suoi componenti

Infine terminiamo la nostra installazione premendo il tasto Fine

Installazione di Microsoft Management Console 3

Dopo aver eseguito doppio click sul file scaricato es essersi aperto il nostro wizard, procediamo come segue

Premiamo il tasto Avanti

Accettiamo il contratto di licenza Micosoft spuntando il checkbox relativo, come indicato dalla freccia rossa e proseguiamo premento il tasto Avanti

Terminiamo premendo il tasto Fine

Installazione di WSUS3 + SP1

Eseguiamo doppio click sul file WSUSSetup_30SP1_x86.exe scaricato dal link indicato precedentemente, ed attendiamo la partenza del wizard

Proseguiamo premendo il tasto Avanti

Selezioniamo il tipo di installazione di WSUS da eseguire scegliendo il checkbox relativo a "Installazione server completa inclusiva di console di amministrazione" e proseguiamo premendo il tasto Avanti

Accettiamo i termini del contratto di licenza Microsoft selezionando il checkbox indicato dalla freccia rossa e procediamo premendo il tasto Avanti

Il wizard si accorgerà che il componente Microsoft Report Viewer Redistributable non è installato e quindi ci segnalerà che senza questo componente non sarà possibile utilizzare l'interfaccia utente.Ci avviserà inoltre che l'installazione sarà possibile anche dopo aver installato WSUS.In realtà questo non è vero nel senso che più avanti ci accorgeremo che solo la sezione report non sarà disponibile, e che se ci interesserà potremo installare anche la caratteristicaProcediamo premendo il tasto Avanti

Adesso selezioniamo l'origine degli aggiornamenti, quindi premiamo il checkbox relativo a "Archivia aggiornamnti in locale" e lasciamo il percorso indicato di default "C:\WSUS" e prosegioemo premendo il tasto Avanti

Settiamo le opzioni del database scegliendo come indicato dalla freccia rossa "Installa il database interno di Windows in questo computer", lasciamo anche invariato nella textbox il percorso e procediamo premendo il tasto Avanti

Selezioniamo le preferenze del sito web lasciando il check su "Usa il sito web predefinito di IIS esistente e procediamo premendo il tasto Avanti

A questo punto inizierà l'installazione vera e propria di WSUS3, procediamo premendo il tasto Avanti

Poniamo particolare attenzione ai punti 1, 2 e 3 indicati della form e proseguiamo premendo il tasto Avantiù

Deselezioniamo il checkbox relativo alla partecipazione al programma Analisi utilizzo di Microsoft Update e procediamo premendo il tasto Avanti

Ora decidiamo il server padre dal quale sarà possibile sincronizzare gli aggiornamenti, quindi scegliamo il checkbox relativo all'opzione "Sincronizza da un altro server di WSUS" come ci mostra la freccia rossa e nelle textbox sottostanti inseriamo il nome del nostro server e la porta utilizzata, come ci mostra la figura e procediamo premendo il tasto Avanti

Se all'interno del nostro dominio siamo in possesso di un server proxy dobbiamo settare le credenziali, altrimenti lasciamo la form come mostra la figura e proseguiamo premendo il tasto Avanti

Adesso premiamo il tasto Avvia Connessione per consentire di scaricare le informazioni di aggiornamento di Microsoft Update dal server padre ed attendiamo la fine della procedura

Ultimata la sincronizzazione premiamo il tasto Avanti

Adesso decidiamo in base alla struttura dei clients del nostro dominio in quali lingue vogliamo scaricare le patch, se siamo in una struttura mista dobbiamo settare più lingue, se invece i nostri client sono tutti in Italiano e sufficente lasciare il check solo sulla lingua Italiano.Una volta scelto le lingue procediamo premendo il tasto Avanti

Ora decidiamo i prodotti per i quali vogliamo scaricare gli aggiornamenti, quelli che consiglio sono indicati nelle 2 figure appena mostrate.Continuamo premendo il tasto Avanti

Scegliamo adesso le classificazioni dei prodotti degli aggiornamenti da sincronizzare, quelli consigliati sono indicati in figura e proseguiamo premendo il tasto Avanti

Nella figura sopra come esempio ho utilizzato una sincronizzazione manuale ma il consiglio è quello di un utilizzo di una configurazione al giorno.Procediamo premendo il tasto Avanti

Concludiamo la nostra installazione premendo il tasto Fine senza avviare nè l'avviamento della Console, nè l'avvio di sincronizzazione in quanto prima bisogna settare le GPO per abilitare i clients all'utilizzo del WSUS.

Modifica delle GPO per inserire i nostri clients all'interno di una unità organizzativa gestita da WSUS

Entriamo nell'applicativo Group Policy Management (verificando prima di avere installato l'applicativo; per eseguire l'installazione di Group Policy Management fate riferimento a Devi essere registrato per poter vedere questo link guida) dagli strumenti di amministrazione oppure digitando più semplicemente Start --> Esegui e dentro la riga di comando scrivete: gpmc.msc

Dalla nostra interfaccia premiamo click con il tasto destro del mouse sul nostro dominio e selezioniamo l'opzione "New Organizational Unit"

Inseriamo nella textbox il nome che vogliamo assegnare, in questo caso scriveremo "WSUS", quindi proseguiamo premendo il tasto OK.

Ora selezioniamo con il tasto destro del mouse l'unità organizzativa appena creata e scegliamo l'opzione "Create and Link a GPO Here..."

Ora inseriamo nella textbox il nome della policy che vogliamo attribuire, in questo caso chiamiamola per semplicità con lo stesso nome della nostra unità organizzativa, quindi "WSUS"

Selezioniamo con il tasto destro del mouse la nostra policy e scegliamo l'opzione Edit

Una volta entrati nell'edito oggetti criteri di gruppo espandiamo Configurazione Computer --> Modelli amministrativi --> Componenti di Windows e selezioniamo Windows Update come ci mostra la freccia rossa.Nella parte sinistra della nostra interfaccia iniziamo a configurare le policy e cominciamo facendo doppio clieck sulla GPO Configura aggiornamenti automatici.

Cominciamo con attivare la GPO come ci mostra la freccia rossa, quindi settiamo le 3 opzioni:

- decidiamo come configurare il tipo di aggiornamento automatico scegliendo la voce dalla combobox "3 - Download ed avviso installazione come indicato dalla freccia verde- decidiamo il giorno pianificato per l'installazione scegliendo la voce "0 - Tutti i giorni" come indicato dalla freccia blu- decidiamo l'orario pianificato per l'installazione scegliendo la voce "03.00" come indicato dalla freccia arancione

Confermiamo il tutto premendo il tasto OK

Ora eseguiamo doppio click sulla GPO "Specifica il percorso del servizio di aggiornamento Microsoft nella rete Intranet"

Attiviamo la GPO come indicato dalla freccia rossa, poi inseriamo nelle textbox successive il nome del nostro server intranet e la porta utilizzata, quindi inseriamo Devi essere registrato per poter vedere questo link come ci mostrano le freccie arancione e verde.Proseguiamo premendo il il tasto OK

Terza ed ultima GPO da settare è quella relativa all'impostazione ai non amministratori di ricevere le notifiche di aggiornamento, quindi facciamo doppio click sulla GPO ed attiviamola nel modo standard

Entriamo adesso in Utenti e computer di Active Directory ed andiamo nella sezione di sinistra cliccando sulla voce Computers; nella parte destra troviamo l'elenco dei clients del nostro dominio, selezioniamone uno a caso come esempio e con il drag & drop trasciniamolo sotto l'unità organizzativa WSUS

Solito messaggio di avviso, proseguiamo premendo il tasto SI

Come prova se tutto quello che abbiamo eseguito è corretto, entriamo nel nostro client e con il tasto destro del mouse clicchiamo su Risorse del computer --> scheda Aggiornamenti automatici, noteremo subito che la parte dei settaggi relativa proprio agli aggiornamenti automatici è tutta disattivata, o meglio non più modificabile, perchè adesso è gestita da WSUS

Perfetto ! Ora possiamo passare alla nostra applicazione

Eseguiamo Start --> Strumenti di amministrazione --> e scegliamo WSUS3 SP1

Cominciamo ad analizzare la nostra piattaforma e partiamo dalla sezione Tutti gli aggiornamenti; nella parte sinistra abbiamo l'elenco degli aggiornamenti precedentemente scelti durante l'installazione, mentre nella parte destra in alto troviamo l'elenco di tutti gli aggiornamenti scaricati dopo la sincronizzazioneLa cosa più importante è osservare lo stato dell'aggiornamento, ossia quello che ci mostra la freccia rossa; fino a quando un aggiornamento non è approvato, i nostri client non subiranno alterazioni.Nella parte centrale bassa troviamo i dettagli sull'aggiornamento selezionato.

Scendendo più in dettaglio possiamo trovare una distinzione degli aggiornamenti in base ai criteri scelti durante l'installazione, cioè:

- Elenco aggiornamenti ad alta priorità- Elenco aggiornamenti della protezione- Elenco aggiornamenti di WSUS

Spostandoci ancora più in basso espandiamo la voce Computers quindi tutti i compuetrs es infine selezioniamo Computer non assegnati e controlliamo nella parte centrale in alto che sia presente il nostro client che abbiamo deciso di assegnare all'unità organizzativa WSUS all'interno di AD

Passiamo ora alla cartella Sincronizzazioni; come precedentemente anticipato la sincronizzazione serve per registrare i client di dominio all'interno del WSUS, nonchè gli aggiornamenti da scaricare; è sufficente premere il tasto Sincronizza indicato dalla dreccia rossa ed attendere che il nostro WSUS scarichi gli aggiornamnti e sincronizzi i client.A fine sincronizzazione ultimata basta verificare nella parte centrale bassa se lo stato della sincronizzazione è andato a buon fine, come ci mostra le freccie blu.

Continuamo a scendere passando ora alla cartella Rapporti che, come precedentemente indicato durante l'installazione, per poter usufruire di tale servizio è indispensabile installare Microsoft Report Viewer 2005 Redistributable che potete scaricare da Devi essere registrato per poter vedere questo link e che lascio a vostra libera scelta di installare oppure o meno.

Infine concludiamo con la cartella Opzioni che non sto a illustrare più di tanto in quanto le opzioni sono quasi tutte settate durante l'installazione ma che sono comunque modificabili nella sezione indicata.

Vediamo ora come rilasciare degli aggiornamenti ai nostri client:

Prendiamo un aggiornamento qualsiasi e facciamoci click con il tasto destro del mouse, quindi scegliamo Approva

Ora indichiamo in quale gruppo vogliamo approvare l'installazione, facciamo click con il tasto sinistro del mouse e scegliamo Approvato per l'installazione

Se il nostro risultato è la figura sopra riportata vuol dire che la nostra patch è stata rilasciata correttamente, quindi procediamo premendo il tasto OK

Il nostro aggiornamento è stato rilasciato con successo, quindi premiamo il tasto Chiudi

Come possiamo notare dalla figura sopra riportata lo stato dell'aggiornamento è passato da approvare ad Installa, come ci mostra la freccia rossa.Particolare attenzione va riporatata su eventuali notazioni sullo stato dell'aggiornamento e sui dettagli dell'aggiornamento come ci indicano le frecce blu; in queste informazioni possiamo trovare note importanti come ad esempio se il tipo di aggiornamento richiede il riavvio del client.

Come ci mostra la figura sopra si possono rilasciare anche più di un aggiornamento alla volta, basta tenere premuto il tasto shift come in una normale selezione di files

Come possiamo notare nel giro di qualche decina di minuti il nostro client ha ricevuto gli aggiornamenti dal nostro WSUS

Win Server 2003 - Replica Dei Domain Controllers

In un dominio Windows Server 2003 Active Directory con più Domain Controller è indispensabile che i DC siano perfettamente replicati e sincronizzati tra loro.Benchè questa sia una operazione assolutamente automatica, vi sono alcune cause che possono compromettere la replica, una delle più frequenti è l'errata configurazione dell'orario.Per questa motivazione vi riporto alla guida precedentemente pubblicata Devi essere registrato per

poter vedere questo link Tuttavia la mancata sincronizzazione può portare i diversi Domain Controller a funzionare autonomanete creando incongruenze molto pericolose in quanto i computer del dominio non riconoscono più con quale DC parlare.Ma la cosa ancora più grave è che una volta entrato in gioco questo meccanismo, l'unico modo per aggiustare la situazione è la Sincronizzazione manuale

In questa guida vedremo quindi come replicare 2 Domain controller (MAILSERVER = DC1 e DATASERVER = DC2) manualmente riportando la situazione nelle condizioni ottimali per il dominio.

Dal nostro DC1 premiamo il pulsante Start --> Programmi --> Strumenti di Amministrazione --> Siti e Servizi di Active Directory

Espandiamo la struttura della cartella Sites come indica la freccia rossa

Espandiamo ancora la struttura relativa al nome della foresta come indica la freccia rossa

Espandiamo ancora la struttura della cartella Servers come indica la freccia rossa

Ora espandiamo la struttura relativa al nome del server DC2, che nel nostro caso si chiama DATASERVER

Selezioniamo con il pulsante sinistro del mouse il servizio NTDS Settings

Spostiamoci sulla perte destra della nostra form e selezioniamo con il pulsante destro del mouse il nome del server, quindi scegliamo l'opzione Replica ora

Fatto attendiamo solo il completamento dellla nostra operazione

I meccanismi della replicaAi fini di questi esempi, discuteremo solo della replica tra siti. Fondamentalmente, la replica tra siti è stata progettata per replicare rapidamente le modifiche ai controller di dominio all'interno dello stesso sito e viene eseguita utilizzando la notifica delle modifiche. Nel caso di replica tra siti DC1 informerà DC2 che dispone delle modifiche da replicare e DC2 richiamerà tali modifiche da DC1. Allo stesso modo, DC2 informerà DC1 quando dispone di alcune modifiche e DC1 richiamerà tali modifiche da DC2. Come si può notare, tutta la replica di Active Directory ha luogo nelle operazioni pull e non push.Poiché Active Directory è in grado di garantire una scalabilità che consente di supportare centinaia di migliaia o persino di milioni di oggetti, è necessario suddividere il database di Active Directory in sezioni, definite contesti di denominazione. Ogni controller di dominio memorizza minimo tre contesti dei nomi nella copia locale del database di Active Directory.Contesto dei nomi dello schema Questo contesto dei nomi viene replicato in tutti gli altri controller di dominio nell'insieme di strutture e contiene informazioni sullo schema di Active Directory, che a sua volta definisce diverse classi e attributi dell'oggetto in Active Directory.Contesto dei nomi della configurazione Replicato anche in qualsiasi altro controller di dominio nell'insieme di strutture, questo contesto dei nomi contiene informazioni sulla configurazione a livello dell'insieme di strutture relative al layout fisico di Active Directory, nonché informazioni sugli identificatori di visualizzazione e sulle quote di Active Directory a livello dell'insieme di strutture.Contesto dei nomi del dominio Questo contesto dei nomi viene replicato in tutti gli altri controller di dominio all'interno di un solo dominio di Active Directory. Si tratta del contesto dei nomi che contiene i dati di Active Directory utilizzati più di frequente: utenti, gruppi, computer correnti, nonché altri oggetti che si trovano all'interno di un determinato dominio di Active Directory.Per ottimizzare al meglio il traffico di replica, i contesti dei nomi vengono replicati separatamente in modo che un contesto dei nomi che si modifica raramente, come il contesto dei nomi dello schema, non sottragga la larghezza di banda necessaria per il contesto dei nomi del dominio, che sembra cambiare più frequentemente.Poiché è possibile apportate modifiche alla directory da qualsiasi controller di dominio di Active Directory, sono disponibili due operazioni di scrittura delle quali la replica di Active Directory deve tenere traccia. Un tipo è rappresentato dalle scritture di origine, ovvero quando una particolare modifica è stata apportata direttamente in un controller di dominio particolare. Ad esempio, se si effettua la connessione a DC1 e si modifica la password di un utente, tale modifica viene considerata una scrittura di origine su DC1. È necessario, inoltre, che Active Directory tenga traccia delle scritture replicate. Come è possibile immaginare, ciò significa che una particolare modifica è stata replicata da un altro controller di dominio. La modifica considerata come scrittura di origine in DC1 verrà considerata una scrittura replicata nel momento in cui tale modifica viene replicata in DC2, DC3 e in qualunque altro controller di dominio all'interno del dominio.I controller di dominio di Active Directory gestiscono la trasmissione delle modifiche alla directory attraverso l'uso di metadati di replica. Ciò significa che, oltre a comunicare i dati reali che sono stati modificati da un controller di dominio in un altro (la carica di John Smith è stata modificata in "Direttore

delle risorse umane"), Active Directory trasmette anche altre informazioni su tale modifica per consentire ai controller di dominio di gestire la replica nel modo più efficiente possibile, ad esempio il controller di dominio da cui ha avuto origine la modifica, l'ora in cui è avvenuta la modifica e altre informazioni essenziali.Il primo elemento dei metadati della replica che verrà affrontato è il numero di sequenza di aggiornamento (USN, Update Sequence Number). Ogni controller di dominio gestisce un USN specifico per quel controller di dominio. Ogni volta che viene apportata una modifica ad Active Directory da quel controller di dominio, il numero di sequenza di aggiornamento subisce un incremento di 1. Pertanto, se un controller di dominio dispone di un USN pari a 1000 alle 11.00 e 1005 alle 11.30, è chiaro che sono state apportate 5 modifiche al database di Active Directory in quel controller di dominio. Conoscere esattamente queste modifiche non ha alcuna importanza per quanto concerne l'USN. È possibile che siano stati modificati, creati o eliminati 5 oggetti differenti o qualsiasi combinazione, l'USN del controller di dominio crescerà sempre di 5 punti. Inoltre, i numeri di sequenza di aggiornamento sono interni a un solo controller di dominio specifico e non hanno alcuna importanza se paragonati con altri controller di dominio. Un controller di dominio in un dominio potrebbe effettuare una modifica alle 11.30 che prevede l'assegnazione di un USN di 1051, mentre un secondo controller di dominio nello stesso dominio potrebbe apportare esattamente nello stesso momento una modifica che prevede l'assegnazione di un USN di 5084. Nonostante questi due controller di dominio abbiano chiaramente USN completamente differenti a causa di una modifica apportata quasi contemporaneamente, ciò non ha alcun rilievo sulla modalità con cui tali modifiche vengono replicate; il numero di sequenza di aggiornamento di un controller di dominio non ha alcun significato per altri controller di dominio se le due modifiche vengono messe a confronto.Ma questo non è l'unico modo in cui l'USN di un controller di dominio viene incrementato. Si tenga presente che una modifica al database di Active Directory può comportare una scrittura di origine o una scrittura replicata. Il numero di sequenza dell'aggiornamento in un controller di dominio viene incrementato da entrambi i tipi di operazioni di scrittura, il che significa che viene incrementato ogni volta che avviene la replica di una modifica in un altro controller di dominio. A questo punto è chiaro che ciascun controller di dominio necessita di un metodo per tenere traccia delle modifiche già replicate, altrimenti a ogni replica potrebbe trovarsi a inviare l'intero database di Active Directory tramite cavo. Per evitare che ciò si verifichi, ogni controller di dominio di Active Directory mantiene un valore definito vettore limite massimo (HWMV) per gli altri controller di dominio con cui esegue la replica. Ogni controller di dominio assocerà questo valore all'identificatore univoco globale (GUID) del controller di dominio remoto, per evitare qualunque confusione nel caso in cui un controller di dominio remoto venga ridenominato o rimosso dalla directory.Iniziamo con un semplice esempio, in cui due controller di dominio sono stati configurati nel dominio contoso.com, dc1.contoso.com e dc2.contoso.com. Poiché sono presenti soltanto due controller di dominio nel dominio contoso.com, DC1 e DC2 si replicano a vicenda. Si noti che si tratta di un esempio semplificato che non indica ancora l'intera storia della replica di Active Directory. Ulteriori dettagli verranno aggiunti più avanti.Ipotizziamo inoltre che l'attuale USN del DC1 sia 3000, che l'USN del DC2 sia 4500 e che, nel momento in cui cominciamo l'esempio questi due controller di dominio siano completamente aggiornati tra loro:

Passaggio 1: DC1 e DC2 sono aggiornati con i rispettivi dati. DC1 presenta un vettore limite massimo per DC2 di 4500, mentre DC2 presenta un vettore limite massimo per DC1 di 3000, come illustrato nella Figura 1.

Figura 1 Stato attuale dei due controller di dominio

Passaggio 2: Un amministratore crea un nuovo oggetto nel DC1 e l'USN del DC1 viene incrementato a 3001, come illustrato nella Figura 2. Si noti che il vettore HWMV del DC1 non è cambiato in DC2, perché DC1 non ha ancora informato DC2 che è in attesa di modifiche.

Figura 2 Viene aggiunto un nuovo oggetto

Passaggio 3: DC1 informa DC2 che sono disponibili alcune modifiche. DC2 inizia la replica con DC1 per richiedere tutti gli aggiornamenti disponibili. Nella stessa richiesta, DC2 invia a DC1 il vettore limite massimo che viene memorizzato per DC1, come illustrato nella Figura 3.

Figura 3 Notifica delle modifiche

Passaggio 4: DC1 invia a DC2 la modifica che corrisponde a USN 3001, ovvero, l'oggetto creato su DC1 nel Passaggio 2. DC2 aggiorna il proprio USN a 4501 e il relativo HWMV per DC1 a 3001, come illustrato nella Figura 4.

Figura 4 Modifiche e aggiornamenti

Fin qui tutto bene. Ma ecco presentarsi un problema. DC2 dispone di una modifica da replicare. Se le uniche cose da portare avanti erano gli USN e i vettori limite massimo, a questo punto DC2 dovrebbe contattare DC1 per replicare la stessa modifica appena replicata da DC1 a DC2, il che creerebbe un ciclo di replica infinito e consumerebbe progressivamente sempre più larghezza di banda. Per evitare ciò, sono necessari alcuni pezzi del puzzle, il primo del quale è il vettore di aggiornamento (vettore UTD o semplicemente UTDV).L'UTDV è un altro pezzo dei metadati di replica che viene utilizzato per il blocco della propagazione; il suo scopo è evitare che la stessa modifica sprechi larghezza di banda mediante la replica ripetuta attraverso la rete. Ogni controller di dominio conserva una tabella UTDV per qualsiasi altro controller di dominio che memorizza una copia del contesto dei nomi in questione. Per il contesto dei nomi del dominio, ogni controller di dominio in un dominio conserva un UTDV per ciascun controller di dominio nel dominio; per il contesto dei nomi della configurazione e dello schema, viene mantenuto per ogni controller di dominio nell'insieme di strutture. La tabella UTDV tiene traccia non solo dell'USN più alto che ogni controller di dominio ha ricevuto dai partner di replica, ma anche il valore USN più alto che ha ricevuto da ciascun controller di dominio che esegue la replica di un determinato contesto dei nomi. Per tenerne conto, ogni modifica replicata contiene anche le seguenti informazioni:

- Il GUID del controller di dominio che replica la modifica. Potrebbe trattarsi di una modifica che viene replicata come una scrittura di origine o come una scrittura replicata.- L'USN del controller di dominio che replica la modifica. Ancora una volta, ciò può avvenire da una scrittura di origine o replicata.- Il GUID del controller di dominio che ha dato origine alla modifica. Se questo GUID è uguale al GUID del controller di dominio che replica la modifica, si tratta di una scrittura di origine. Altrimenti, entra in gioco la tabella UTDV.- L'USN del controller di dominio che ha dato origine alla modifica. Ancora una volta, se questo USN è uguale all'USN del controller di dominio che replica la modifica, si tratta di una scrittura di origine. In caso

contrario, non entra in gioco la tabella UTDV.

Per illustrare meglio questo processo, renderemo più complesso l'esempio aggiungendo un terzo controller di dominio, DC3. In questo esempio, DC1, DC2 e DC3 sono tutti partner di replica reciproci; DC1 si replica con DC2 e DC3, DC2 con DC1 e DC3, infine DC3 con DC1 e DC2:Passaggio 1: DC1, DC2 e DC3 sono aggiornati l'uno con i dati degli altri.Passaggio 2: DC3 esegue una singola operazione di scrittura di origine reimpostando la password per l'account utente jsmith. DC3 informa DC1 e DC2 che sono disponibili alcune modifiche. DC1 e DC2 contengono la scrittura di origine di DC3 e aggiornano le tabelle HWMV e UTDV per DC3, come illustrato nella Figura 5.

Figura 5 Aggiornamento delle tabelle HWMV e UTDV

Passaggio 3: Ecco dove entra in gioco il vettore di aggiornamento. DC2 informa DC1 che sono disponibili alcune modifiche. DC1 contatta poi DC2 che richiede tutte le modifiche nuove inviando a DC2 le seguenti informazioni:

- Il vettore limite massimo di DC1 per DC2, in questo caso 4501.- Tabella UTDV del DC1 (illustrata nella Figura 6), che indica l'USN di origine più elevato ricevuto da tutti i controller di dominio, compreso DC3.

Figure 6 Tabella UTDVIn base al valore HWMV di 4501, DC2 verifica che non sia stata replicata la modifica in questione a DC1 (vedere la Figura 7).

Figure 7 È necessario replicare una modifica

Tuttavia, in base alla tabella UTDV che DC1 ha trasmesso prima dell'avvio della replica, DC2 determina che DC1 non necessita effettivamente di questa modifica, poiché DC1 l'ha già ricevuta da DC3. A questo punto, DC1 aggiorna semplicemente la voce HWMV affinché DC2 rifletta l'USN incrementato, come illustrato nella Figura 8. Tuttavia, per risparmiare larghezza di banda, i dati reali non vengono inviati tramite cavo.

Figura 8 Blocco della propagazione

Passaggio 4: Questo stesso blocco della propagazione avrà luogo quando DC2 informa DC3 della presenza di modifiche disponibili e quando DC1 informa allo stesso modo DC2 e DC3. Tutti e tre i controller di dominio aggiorneranno le rispettive voci HWMV per i propri partner di replica, come illustrato nella Figura 8, ma i dati correnti non attraverseranno nuovamente il cavo poiché sono già stati trasmessi a ciascun DC nel Passaggio 2.

Risoluzione dei conflitti in un ambiente multimasterFino a qui i nostri esempi rientravano in un mondo perfetto, dove un solo amministratore alla volta apporta modifiche a un controller di dominio e nessuno si sovrappone alle operazioni di qualcun altro. Nel mondo reale, ciò non avviene mai. Poiché gli aggiornamenti a un oggetto di Active Directory possono essere eseguiti da qualsiasi controller di dominio nel dominio, cosa accade se i due amministratori apportano aggiornamenti in conflitto da due controller di dominio diversi? Esistono tre tipi di conflitti che possono verificarsi in un ambiente Active Directory, ciascuno dei quali utilizza un metodo diverso di risoluzione dei conflitti.Conflitti nelle modifiche delle proprietà . Un conflitto di questo tipo si verifica nel caso in cui due amministratori aggiornano lo stesso oggetto in maniera differente: un amministratore imposta una descrizione dell'utente su "Marketing", mentre un altro amministratore su un controller di dominio diverso imposta la descrizione di quell'utente su "Vendite e marketing".Creazione di nuovi oggetti in conflitto . Questo conflitto si verifica se due amministratori creano contemporaneamente un oggetto con lo stesso nome, ad esempio due utenti denominati jsmith.Spostamento di un oggetto in un contenitore eliminato . Questo tipo di conflitto è molto più raro e ha luogo se un amministratore crea o sposta un oggetto in un contenitore, ad esempio un'unità organizzativa, mentre un altro amministratore su un controller di dominio diverso elimina quel contenitore.Per risolvere i primi due tipi di conflitti, è arrivato il momento di presentare due ulteriori parti di metadati di replica che vengono utilizzati principalmente per la risoluzione dei conflitti. Il valore versionID viene assegnato a ogni singolo attributo su un oggetto, con un valore iniziale di 1 la prima volta che viene creato l'oggetto e viene incrementato di 1 ogni volta che un singolo attributo viene modificato da qualunque controller di dominio. Pertanto, se l'attributo della descrizione di un determinato utente viene aggiornato rispetto al relativo valore predefinito (vuoto o <non impostato>) in "Reparto marketing", l'attributo della descrizione avrà un valore versionID di 2. Se, successivamente, la descrizione viene modificata in "Reparto vendite e marketing", l'attributo della descrizione avrà un valore versionID di 3, e così via. Questo valore versionID è incluso in ogni voce di replica insieme ad altre parti di metadati già presentati.È possibile utilizzare versionID anche per ridurre il traffico di replica. Ad esempio, se un amministratore su DC2 ha apportato diverse modifiche a un singolo attributo (digitando a volte erroneamente la modifica) per cui DC2 dispone di scritture di origine che corrispondono al valore versionIDs 2, 3, 4 e 5, DC2 replicherà soltanto la scrittura che corrisponde all'ultimo valore, versionID 5. Poiché le prime modifiche verrebbero comunque semplicemente sovrascritte, si ottiene un collegamento che consente di ridurre l'utilizzo inutile della larghezza di banda.Ogni modifica ad Active Directory include anche il secondo pezzo aggiuntivo di metadati utilizzato per la risoluzione dei conflitti, un timestamp, come parte dei metadati di replica, che indica quando è stata apportata la modifica.L'attributo timestamp viene utilizzato anche come misura proattiva dello stato di replica di Active Directory. Se un controller di dominio non ha visualizzato alcuna modifica con un timestamp relativamente recente di un controller di dominio particolare, inizierà a generare dei messaggi di errore che indicano la possibile presenza di problema con il controller di dominio in questione.Pertanto, come vengono utilizzati questi due attributi nella risoluzione dei conflitti? Esaminiamo

singolarmente ogni tipo di conflitto.

Risoluzione dei conflitti nelle modifiche delle proprietàSi prenda in considerazione l'esempio dell'oggetto utente jsmith nel dominio contoso.com. Un amministratore nel DC1 modifica la descrizione di jsmith in "Marketing". Quasi contemporaneamente, un amministratore nel DC3 modifica la stessa descrizione dell'utente in "Vendite e marketing". A questo punto, le informazioni di DC1 e DC3 relative all'attributo di descrizione di jsmith vengono messe a confronto, come illustrato nella Figura 9.

Figure 9 Modifiche quasi simultanee

Se DC2 riceve entrambe queste modifiche contemporaneamente, dovrà necessariamente determinare quale sia quella "vincente". L'ordine degli spareggi per la risoluzione di conflitti è il seguente:

1. La modifica che ha il valore versionID più elevato sarà accettata come modifica "vincente"; quella "perdente" verrà sovrascritta. In questo caso, il valore di versionID è 2 per entrambi i record, dunque sarà necessario passare al secondo spareggio.2. Se entrambi i record hanno lo stesso valore di versionID, la modifica con il timestamp più recente verrà considerata come vincente; l'altra verrà sovrascritta. In questo caso, il timestamp della scrittura di origine di DC3 è successivo, pertanto la descrizione di jsmith verrà impostata su "Vendite e marketing". Nel raro caso in cui sia il valore versionID che il timestamp siano identici, sarà necessario un terzo spareggio definitivo:3. Se entrambi i record hanno lo stesso valore versionID e timestamp, qualunque scrittura proveniente dal controller di dominio con il GUID inferiore vincerà; la scrittura con il GUID superiore verrà sovrascritta. Pertanto, se il GUID del DC1 è 1234567890 e quello del DC3 è 2345678901, la scrittura di origine del DC1 avrebbe la meglio se entrambi i valori di versionID e timestamp fossero identici.Probabilmente verrebbe da pensare, "Non avrebbe più senso far sì che timestamp sia il primo spareggio?". Ciò non è prestabilito, come si potrebbe pensare. Se timestamp fosse lo spareggio principale nella risoluzione dei conflitti di Active Directory, l'unica cosa che dovrebbe fare un amministratore malintenzionato per diffondere le proprie modifiche sarebbe impostare di nuovo l'orologio su un controller di dominio particolare in modo che vincesse in base al timestamp.

Risoluzione dei conflitti nella creazione degli oggettiNel caso in cui venissero creati due oggetti con lo stesso nome, Active Directory utilizzerà gli stessi tre spareggi descritti nella sezione precedente per stabilire qual è l'oggetto "vincente". A differenza della sezione precedente, tuttavia, l'oggetto "perdente" non viene sovrascritto. Al contrario, tale oggetto viene ridenominato utilizzando il CNF dei caratteri (per l'oggetto di conflitto), seguito da due punti e dal GUID dell'oggetto "perdente". Ciò consente agli amministratori di stabilire in maniera più metodica quale oggetto deve essere conservato e quale invece eliminato.

Risoluzione dei conflitti dovuti allo spostamento di un oggetto in un contenitore eliminatoCome già accennato, la risoluzione di un conflitto dovuto allo spostamento di oggetto in un contenitore eliminato è un caso abbastanza raro che si verifica soltanto in uno dei due scenari illustrati di seguito. Nel primo, un amministratore su un controller di dominio crea un oggetto all'interno di un contenitore particolare, ad esempio Unità organizzativa di formazione, nello stesso momento in cui un amministratore in un altro controller di dominio elimina proprio tale contenitore. Il secondo scenario può verificarsi quando un amministratore in un controller di dominio sposta un oggetto in un contenitore nello stesso momento in cui un amministratore in un altro controller di dominio elimina quel contenitore.La risoluzione in questo caso è abbastanza semplice: Active Directory sposta l'oggetto rimasto "orfano" in un contenitore speciale all'interno di Active Directory progettato proprio a questo scopo, il contenitore LostAndFound che si trova al di fuori della radice di ogni dominio Active Directory. Per il dominio contoso.com, il contenitore LostAndFound dovrebbe trovarsi nel seguente percorso LDAP: LDAP://cn=LostAndFound.dc=contoso.dc=com. Se quando viene aperto lo snap-in Utenti e computer di Active Directory non viene visualizzato il contenitore LostAndFound, è sufficiente fare clic su Visualizza | Funzionalità avanzate.

Protezione dal ripristino USNUna delle situazioni più gravi che è possibile riscontrare in un ambiente Active Directory è anche una delle più semplici da evitare, una volta individuati la causa e il modo per risolverla. Il ripristino USN è una condizione di errore che può arrestare completamente la replica sulla rete e viene causato consentendo a un controller di dominio di rimanere non in linea per troppo tempo e poi riattivarlo o ripristinando un controller di dominio utilizzando un metodo non supportato.Una causa implicita del ripristino USN ha a che fare con il modo in cui viene eseguita l'eliminazione degli

oggetti nell'ambiente multimaster di Active Directory. Quando un oggetto viene eliminato definitivamente da un controller di dominio, l'oggetto viene contrassegnato per la rimozione definitiva in modo che tale oggetto possa essere replicato in altri controller di dominio, informandoli dell'eliminazione. In particolare, un oggetto contrassegnato per la rimozione definitiva dispone di un attributo isDeleted impostato su TRUE. Per ridurre la dimensione dell'oggetto contrassegnato per la rimozione definitiva, la maggior parte dei valori contenuti nell'oggetto, come la descrizione, le informazioni personali e l'appartenenza al gruppo di un oggetto utente, vengono rimossi (per ulteriori informazioni su questo processo, vedere l'articolo di Gil Kirkpatrick "Recupero degli oggetti contrassegnati per la rimozione definitiva di Active Directory".È possibile che si verifichi il ripristino USN perché questi oggetti non rimangono sospesi all'infinito. Per impostazione predefinita, vengono eliminati completamente dal database di Active Directory dopo 60 o 180 giorni (a seconda della versione di Windows Server® in esecuzione sul proprio computer la prima volta che è stato creato l'ambiente Active Directory). Questo periodo di 60 o di 180 giorni viene definito durata dell'oggetto contrassegnato per la rimozione definitiva. Tutti i controller di dominio devono essere in grado di replicare almeno una volta durante questo periodo altrimenti diventano inutili e creano un'opportunità per il ripristino USN. Fondamentalmente, il ripristino USN si verifica quando un controller di dominio è talmente obsoleto da non contenere più oggetti contrassegnati per la rimozione definitiva e che, pertanto, non è in grado di mantenere aggiornata la copia locale del database di Active Directory con gli altri controller di dominio. Per cautelarsi, qualunque controller di dominio che è stato non in linea per un tempo maggiore rispetto alla durata dell'oggetto contrassegnato per la rimozione definitiva non deve essere ripristinato; sarà opportuno, invece, crearlo da zero eliminando i vecchi metadati del controller di dominio di Active Directory seguendo i passaggi presenti nell'articolo della Microsoft Knowledge Base 216498 (support.microsoft.com/kb/216498).Il ripristino USN si verifica anche quando un controller di dominio viene ripristinato utilizzando un metodo non supportato oppure, più spesso, utilizzando uno strumento di creazione di immagini o di clonazione dei dischi. Nel momento in cui si verifica una situazione di questo tipo, il database di Active Directory ripristinato non realizza di essere tornato "indietro nel tempo" perché il metodo di ripristino non era supportato per Active Directory. Con Windows 2000 e la prima versione di Windows Server 2003 era difficile poter individuare un ripristino USN mentre Windows Server 2003 SP1 (e Windows Server 2008 disponibile a breve) dispone di controlli incorporati che consentono di rilevare eventuali ripristini non corretti di un controller di dominio. In queste nuove versioni del sistema operativo, un controller di dominio registrerà l'ID evento 1115, 2095, 2103 e 2110 nel registro eventi dei servizi di directory. Il testo di questi eventi, oltre ai passaggi necessari per il ripristino USN, sono rintracciabili nell'articolo della Knowledge Base 875495 per Windows Server 2003. È possibile trovare ulteriori informazioni sulla gestione del ripristino USN in Windows 2000 nell'articolo della Knowledge Base 885875, disponibile all'indirizzo support.microsoft.com/kb/885875.

Aggiornamento del modello multimaster nel 2008Con la versione imminente di Windows Server 2008, Microsoft ha inserito una leggera modifica al modello multimaster introducendo il Controller di dominio di sola lettura (RODC, Read-Only Domain Controller). Il RODC è stato progettato principalmente per le distribuzioni alle succursali o per qualunque scenario in cui non si dispone in sede di personale IT dedicato e in cui è necessario effettuare operazioni aggiuntive per garantire l'integrità di un controller di dominio particolare. Sebbene potremmo dedicare un intero articolo per approfondire tutti i dettagli tecnici del RODC, riesaminiamo i punti principali di cui è necessario essere a conoscenza.Come indica il nome stesso, la copia del database di Active Directory che si trova in un RODC è di sola lettura. È possibile connettersi a un RODC per leggere tutte le informazioni desiderate, ma non sarà possibile eseguire alcuna operazione di scrittura.In secondo luogo, un RODC non esegue repliche in uscita. Si tratta di una differenza fondamentale rispetto al modello di replica multimaster di cui abbiamo discusso fino a questo punto. Un RODC riceverà la replica in ingresso dagli altri controller di dominio di Windows Server 2008 scrivibili, ma non replicherà tutte le informazioni al di fuori del controller di dominio. In questo modo viene a crearsi un ulteriore livello di protezione che, nel caso in cui un utente malintenzionato fosse in grado di modificare Active Directory dal RODC, tali modifiche non verrebbero diffuse in tutto l'ambiente.Probabilmente, la cosa più interessante di tutte è che il RODC non replica le password dell'utente per impostazione predefinita. Quando il database di Active Directory viene replicato in ingresso a un RODC da un controller di dominio scrivibile, tutti gli oggetti utente vengono replicati senza le informazioni sulla password dell'utente. In questo modo viene fornito un ulteriore livello di protezione in una succursale, in maniera tale che se a un controller di dominio "gli crescono le gambe e scappa via", il disco rigido non contiene alcuna informazione sulla password. Nel loro insieme, queste differenze con l'idea originale della replica di Active Directory multimaster creano un modello migliorato per la protezione dei controller di dominio nelle filiali o in altre posizioni remote.

File System Distribuito, DFS

SpiegazioneUn file system distribuito (in inglese, Distributed File System, o DFS) è un particolare file system che permette la memorizzazioni di files e risorse in dispositivi di archiviazione distribuiti in una rete informatica.A differenza di un comune file system locale, i dati non vengono letti o archiviati su di un dispositivo locale, ma, attraverso un meccanismo client-server, su dispositivi remoti, collegati in maniera trasparente alla propria gerarchia di file.Un file system distribuito deve poter gestire i file in maniera trasparente e concorrente e, di solito, è dotato di sistemi di autenticazione e, a volte, di criptazione.Il primo file system distribuito venne sviluppato negli anni settanta, mentre NFS (introdotto nel 1985 da Sun Microsystems) divenne il primo file system distribuito realmente diffuso ed usato.Oltre a questo, particolarmente apprezzati sono stati l'AFS e il CIFS.

Client e serverUn file server provvede a fornire una serie di servizi ai client.Sui client è installata una interfaccia al file server che include alcune operazioni normalmente effettuabili su di un comune file server, come la creazione di un file, la sua cancellazione, la lettura e la scrittura.Il file server controlla un insieme di dispositivi di memoria che ospitano il filesystem locale e su cui agisce in base alle richieste dei client.

DistribuzioneIn un filesystem distribuito i dispositivi di memorizzazione sono dislocati in una rete: le richieste e le risposte devono essere trasportate attraverso tale rete e, invece di un dispositivo unico e centralizzato, il sistema ne può avere molti ed indipendenti.La configurazione e l'implementazione di un filesystem distribuito possono variare: in talune occasioni il server (chiamato gergalmente file server) viene eseguito su una macchina dedicata, in altre il sistema client accede simultaneamente a più file server oppure la stessa macchina ospita sia un server che un client.Esso può essere implementato come componente del sistema operativo o da una componente dello strato software usata per mediare le comunicazioni tra i sistemi operativi e i file system locali.

TrasparenzaIdealmente un filesystem distribuito appare all'utente come un normale filesystem centralizzato: la molteplicità e la dispersione dei server e dei dispositivi cui si riferisce possono essere celati.Anche l'interfaccia rivolta alle applicazioni che usa l'utente non dovrebbe poter distinguere tra file locali e file remoti: è compito del filesystem distribuito individuare e trasportare i dati per mezzo della rete.

PrestazioniIl modo più conveniente per misurare le prestazioni di un filesystem distribuito è nel quantificare l'ammontare di tempo impiegato per soddisfare una data richiesta.Nei sistemi convenzionali questo tempo consiste nell'accesso al disco locale e in piccola quantità di elaborazione da parte della CPU, nei sistemi distribuiti si somma il ritardo dovuto alle comunicazioni di rete.Tale ritardo include il tempo necessario a sottoporre la richiesta al server e quello per ottenere la risposta attraverso la rete, mentre occorre sommare il tempo necessario alla CPU per manipolare il protocollo di comunicazione in ciascuna direzione.Le prestazioni di un filesystem distribuito incidono sul suo livello di trasparenza: idealmente, un sistema distribuito dovrebbe avere una velocita' paragonabile a quella di un sistema convenzionale.

Aggiornamenti concorrenti ai filesUn filesystem distribuito deve provvedere non solo all'accesso dei client ai files, ma anche alla loro modifica: gli aggiornamenti operati da un client non possono interferire con gli accessi e le modifiche fatte da altri client.Meccanismi di controllo della concorrenza e locking possono essere inclusi nel filesystem stesso o resi disponibili da un protocollo parallelo.

Magazzini distribuitiUn magazzino distribuito è una rete in cui l'utente conserva le proprie informazioni in un certo numero di nodi della rete.Solitamente tale utente permette a sua volta agli altri utenti di usare la propria macchina come nodo.Le informazioni possono essere accedute o meno dagli altri utenti a seconda dell'implementazione della rete.

Protocolli per reti distribuite- 9P- AFS- CIFS/SMB- Coda- DCE/DFS- Google File System- Lustre- SFS- Mnet- Chord Project

Guida all'Installazione

Eseguiamo click su Start --> Strumanti di amministrazione --> File System Distribuito

Clicchiamo con il pulsante destro del mouse su File System Distribuito, quindi scegliamo Nuova directory principale...

A questo punto partirà il Wizard, procediamo premendo il tasto Avanti

Verifichiamo che il checkbox relativo a Directory principale di dominio sia flaggato e proseguiamo premendo il tasto Avanti

Verifichiamo che il nome del nostro dominio sia corretto, quindi premiamo il tasto Avanti

Premiamo il tasto Sfoglia per cercare il nome del nostro Server

Individuiamo il nostro controller di dominio nell'elenco dei computer presentato, quindi premiamo il tasto OK

Verifichiamo che nella textbox relativa al nome del server sia stato inserito il nome corretto con questa schematizzazione: NomeServer.NomeDominio.TipoDominio e proseguiamo premendo il tasto Avanti

Adesso nella textbox relativa indicata dalla freccia rossa dobbiamo scegliare un nome univoco per la directory principale, io consiglio di utilizzare questo nome dfsroot in quanto abbastanza particolare, quindi premiamo il tasto Avanti

Ora dobbiamo scegliere la cartella da condividere per il DFS ed i nostri utenti, se la cartella è già condivisa in rete possiamo inserire il path assoluto (\\NomeServer\CartellaCondivisa) se invece non la conosciamo premiamo il tasto Sfoglia

Espandiamo il disco nel quale si trova la cartella condivisa (nel nostro es. C:\Amministrazione) e premiamo il tasto OK

Verifichiamo che nella textbox indicata dalla freccia rossa vi sia il percorso appena scelto e premiamo il tasto Avanti

Bene, terminiamo il nostro Wizard premendo il tasto Fine

Rientriamo nella form del File System Distribuito ed eseguiamo click con il pulsante destro del mouse sulla radice principale, quindi scegliamo l'opzione Nuovo collegamento

Inseriamo nella textbox il nome del collegamento per la nostra cartella condivisa, nel es. ho scelto "FIN", poi nella successiva textbox scegliamo il percorso di destinazione, se non lo conosciamo premiamo il tasto Sfoglia

Individuiamo la cartella Amministrazione precedentemente condivisa e premiamo il tasto OK

Verifichoamo che nel percorso di destinazione della cartella condivisa sia stato inserito il path assoluto della condivisione e proseguiamo premendo il tasto OK

Rientriamo nuovamente nella form del File System Distribuito e noteremo subito che è stata creata l'istanza FIN.Ora, per verificare che le nostre precedenti configurazioni siano andate a buon fine eseguiamo click con il pulsante destro del mouse sulla cartella FIN, quindi scegliamo l'opzione Verifica stato

Verifichiamo attentamente che sopra alla cartella sia apparso un pallino bianco con un segno visto di spunta di colore verde

Molto bene ! Abbiamo Finito

Ora la cartella Amministrazione è raggiungibile sia dal path assoluto "\\reverserver\amministrazione" ma anche dal path del DFS "\\revserver\dfsroot\FIN".

Perchè tutto questo ?Perchè abituare gli utenti ad utilizzare SEMPRE il percorso del DFS ?

Perchè se un domani il nostro amministratore di rete volesse spostare la cartella Amministrazione su un altro server, locale o remoto che sia, gli sarà sufficente cambiare il percorso nel DFS ed i nostri utenti di dominio non se accrogereanno nemmeno.

Windows Server 2003 - DISKPART

In un Server Windows 2003 è di fondamentale importanza sapere che esiste una gestione vera e propria del management dei dischi e delle loro dimenzioni.Infatti è possibile dal solo sistema operativo eseguire operazioni di espansione delle dimensioni del disco dal semplice prompt dei comandi della shell.

In questa guida andremo a vedere un esempio molto semplice di come eseguire con pochissime istruzioni come espandare le dimensioni di un disco del nostro sistema operativo.La premessa d'esempio che segue è la seguente:

Abbiamo nel nostro Windows Server 2003 un disco di sistema C:\ di dimensioni di 25gbEd un altro disco supplementare con spazio non ancora allocato sempre di 25gbLo scopo è, in una prima fase indicizzare il disco creando una partizione primaria chimata Dati di 15gb ed assegnare l'opportuna lettera per l'unità.

Vediamo quindi come procedere:

Eseguiamo click col tasto destro del mouse su Risorse del Computer e scegliamo Gestione

Nella parte sinistra della nostra form clicchiamo su Gestione Disco e soffermiamoci nella parte destra analizzando quando vediamo:come possiamo notare abbiamo il nostro disco "0" di sistema chimato C: da 25gb, in più abbiamo un altro disco "1" con spazio non allocato di altri 25gb.Quello che sostanzialmente contraddistingue lo stato dei 2 dischi è il colore di quella riga che si trova in alto, si vedano figure sotto:

La freccia rossa indica la striscia blu sul disco "0" che sta a significare che il disco è attivo ed indicizzato, mentre la freccia verde inidca la striscia nera sul disco "1" che indica appunto lo stato non attivo.

Infatti se visualizziamo le nostre risosre del computer potremo subito appurare che al momento vi è un solo disco nel nostro sistema operativo, ossia il disco C:\

Torniamo alla nostra gestione dei dischi e posizionandoci in un punto qualsiasi dello spazio non allocato, eseguiamo click con il tasto destro del mouse e scegliamo Nuova partizione...

Immediatamente partirà il Wizard che ci guiderà nella procedura di creazione, quindi proseguiamo premendo il tasto Avanti

Assicuriamoci che sia selezionata nel nostro checkbox come tipo di partizione la Partizione Primaria come indica la freccia rossa, quindi proseguiamo premendo il tasto Avanti

Adesso inseriamo nella nostra textbox le dimensioni del nostro disco, nel nostro esempio impostiamo in un primo momento uno spazio di 15gb e proseguiamo premendo il tasto Avanti

Assegnamo ora la lettera da attribuire al nostro disco, nel nostro esempio la "E" va benissimo e procediamo premendo il tasto Avanti

Ora scegliamo, come ci indica la freccia rossa, di formattare la nostra unità disco, quindi la sciamo invariate gli altr1 2 valori, cioè quelli relativi al tipo di partizione (che in Windows 2003 è sempre NTFS) e le dimensioni unità di allocazione (Predefinite), ed impostiamo nella relativa textbox indicata dalla freccia verde l'etichetta del nostro disco, che nel nostro esempio è Dati.Assicuriamoci di flaggare il checkbox relativo all'esecuzione delle formattazione veloce, vedi freccia arancione e procediamo premendo il tasto Avanti.

Perfetto non ci resta che terminare la nostra procedura guidata premendo il tasto Fine

Tornando nella nostra gestione dei dischi avremo questo:

Ossia un disco E:\ di circa 15gb (non spaventatevi se in realtà ce scritto 16, il sistema arrotonda sempre)

Come possiamo notare la procedura è andata a buon fine, lo dimostra il fatto che nelle nostre risorse del computer ora abbiamo 2 dischi, quello di sistema C:\ da 25gb ed il nuovo appena creato E:\ da circa 15gb come mostrano le freccie rosse.

Ottimo ora la parte più difficile, si fa per dire In un ambiente virtuale o quando si è in possesso di uno storage le dimensioni sono molto elevate, nel nostro caso stiamo parlando solo di gb ma questo rende bene l'esempio di come dobbiamo comportarci quando ci troviamo a gestire anche centinaia di gb.

Procediamo aprendo la nostra shell, quindi eseguiamo Start --> Esegui e dentro alla riga di comando scriviamo: cmd, alla fine otterremo questo:

Ora dobbiamo espandere la nostra partizione da 15gb a 25gb, vediamo come fare:

Dentro alla shell scriviamo diskpart ed attendiamo che il prompt venga modificato come indicato dalla freccia rossa.

Visualizziamo l'elenco dei nostri dischi con il comando list disk (freccia rossa) e noteremo subito il nostro disco "1" da 25gb (freccia verde) mentre sappiamo bene che lo spazio del disco è solo 15gb.

Selezioniamo il disco con il comando select disk 1 (freccia rossa) ed attendiamo la risposta del sistema che nel nostro caso deve essere: Il disco attualmente selezionato è il disco 1 (freccia verde)

Ora richiamiamo la lista delle partizioni con il comando list partition (freccia rossa) e noteremo che la nostra partizione "2" è di soli 16gb (freccia verde).

Selezioniamo la nostra partizione su cui operare con il comando select partition 2 (freccia rossa) ed attendiamo il messaggio di buona riuscita: La partizione attualmente selezionata è la partizione 2 (freccia verde).

Non ci resta che scrivere la parolina magica extend (freccia rossa) ed attendere il messaggio: Estensione volume completata (freccia verde).

Infine digitiamo exit (freccia rossa) per uscire dalla modalità DISKPART ed avremo il seguente messaggio: Chiusura di diskpart in corso... (freccia verde) e poi avremo di nuovo il prompt (freccia arancione).

Rientrando nella gestione dei dischi, ora la nostra sitiazione sarà questa:

Il nostro disco E:\ con 25gb di spazio

Microsoft Exchange Server 2003

Introduzione:Al giorno d'oggi un numero crescente di aziende considera i sistemi di messaggistica come elementi di importanza strategica per le proprie attività: per questo motivo, i sistemi di posta elettronica aziendali

devono soddisfare severi requisiti di affidabilità e disponibilità.Altrettanto importante è la richiesta sempre maggiore di nuove funzionalità per i sistemi di messaggistica.Accentuata mobilità della forza lavoro e organizzazioni con sedi geograficamente lontane comportano una continua evoluzione dei requisiti degli utenti.L'insieme di questi fattori coinvolge in primo luogo architetti di sistemi e responsabili IT (Information Technology), incaricati della progettazione di sistemi di messaggistica con un elevato livello di affidabilità e disponibilità in grado di soddisfare le esigenze degli utenti.Tutti questi requisiti ci portano a concludere che Microsoft Exchange Server 2003 è lo strumento che fa al nostro caso.Per lo sviluppo di un valido sistema di messaggistica Microsoft Exchange Server 2003, è fondamentale comprendere le potenzialità e i limiti del software e dell'hardware su cui tale sistema si basa.Sia nel caso dello sviluppo di un nuovo sistema di messaggistica Exchange Server 2003 che dell'aggiornamento di una precedente implementazione di Exchange, è necessario valutare le limitazioni dell'infrastruttura di rete, confrontandole con le capacità del sistema di messaggistica, del sistema operativo e del software degli utenti.Questi argomenti rappresentano un utile supporto per il processo di valutazione dell'ambiente esistente e per l'identificazione delle problematiche tecniche che influenzano le scelte di progettazione e sviluppo.Vengono inoltre offerte indicazioni per la creazione di un sistema di messaggistica Exchange 2003.In altri argomenti vengono descritti i miglioramenti di Exchange 2003, Microsoft Windows Server 2003 e Microsoft Office Outlook 2003 e identificati problemi relativi a infrastruttura di rete, hardware, servizio Microsoft Active Directory® e amministrazione.Questi argomenti propongono anche una serie di considerazioni che consentono di sviluppare un sistema di messaggistica ad elevata affidabilità e disponibilità, inclusi tecnologie di archiviazione, clustering, ottimizzazione del server e configurazione dei computer client.

Informazioni

- Quali fattori è necessario prendere in considerazione in fase di progettazione o di aggiornamento di un sistema di messaggistica Exchange 2003 ?- In quale modo le nuove funzionalità di Exchange 2003, Windows Server 2003 e Outlook 2003 influenzano le scelte di progettazione del sistema ?- Come è possibile integrare Exchange con l'infrastruttura Active Directory esistente ?- Quali sono i suggerimenti per il posizionamento di cartelle pubbliche e cartelle relative alla disponibilità ?- Come è possibile utilizzare gli strumenti di consolidamento dei siti per spostare i dati di Exchange dai server di siti remoti a un server di un sito centrale ?- Quali sono i suggerimenti per la progettazione del routing e il posizionamento dei server? Come è possibile ottimizzare l'utilizzo di memoria nei server ?- Sulla base dei requisiti e dell'infrastruttura di rete, a quale livello è possibile centralizzare i server?- Quali sono i limiti e le capacità di adattamento di Exchange 2003 ?- Come è possibile ottimizzare l'affidabilità e la disponibilità del sistema di messaggistica ?

Destinatari

Questi argomenti si rivolgono ai professionisti del settore IT responsabili della pianificazione e della progettazione dei sistemi di messaggistica Exchange per la propria azienda. I ruoli rivestiti da tali professionisti includono:

- Architetti di sistemi: responsabili della progettazione dell'infrastruttura globale dei server, dello sviluppo di strategie e criteri di distribuzione dei server e della partecipazione allo sviluppo della connettività di rete.- Responsabili IT (Information Technology): responsabili tecnici a capo dello staff IT per la distribuzione server, desktop e dell'infrastruttura, oltre che per l'amministrazione dei server e le operazioni tra siti.- Amministratori di sistema: responsabili della pianificazione e della distribuzione di tecnologie tra server Microsoft Windows®, oltre che della valutazione e dell'indicazione di nuove soluzioni a livello di tecnologia.- Amministratori di messaggistica: responsabili dell'implementazione e della gestione della messaggistica nell'organizzazione.

Tecnologie

In questi argomenti sono illustrati ad alto livello il sistema di messaggistica e le relative tecnologie, allo scopo di sottolinearne funzionalità e limitazioni. Per informazioni dettagliate su specifiche tecnologie, fare riferimento alla documentazione prodotto di Windows, Outlook ed Exchange. Le tecnologie prese in esame in questi argomenti includono:

- Sincronizzazione ed esplorazione di Microsoft Exchange dai dispositivi mobili- Microsoft Office Outlook Web Access 2003

- Modalità cache di Microsoft Outlook 2003- Partizionamento di domini e insiemi di strutture di Microsoft Windows Server Active Directory- Servizio cluster di Microsoft Windows- RAID (Redundant Array of Independent Disks)- RPC (Remote Procedure Call) su HTTP- Reti SAN (Storage Area Network)- Servizio Copia Shadow del volume

Note di preinstallazione

Exchange Server 2003 esiste in 2 versioni, la Standard e la Enterprise (da installare nelle versioni Enterprise di Windows Server 2000/2003).La versione Standard, con Service Pack 2, supporta un solo Storage Group che può contenere 1 Database Public ed 1 Database Private con grandezza massima di 75GB, limite che deve essere aggiustato via Registry, altrimenti impostato a 18GB.La versione Enterprise supporta 4 Storage Group che possono contenere 5 Database, non vi sono limiti nella grandezza massima dei DB.Exchange Server 2003 Enterprise supporta inoltre le funzionalità di Clustering tanto care agli ambienti ad altà disponibilità.

Requisiti di Active DirectoryExchange 2003 può essere installato su OS Windows 2000 e Windows Server 2003, inoltre può coesistere in ambienti Active Directory 2000 e 2003, dulcis in fundo sono supportati ambienti misti con Exchange 5.5 e Exchange 2000.Exchange 2003 può godere di tutte le sue feature esclusivamente in una Foresta 2003, in fase di setup estende la Foresta ed il dominio.In uno stage di migrazione è possibile far coesistere macchine 5.5 e 2000 in modo semplice e quasi sempre indolore.In un sito dove è presente una macchina Exchange 2003 è obbligatoria la presenza di almeno un Global Catalog Server.

Requisiti Hardware e ConsigliUna domanda spesso comune è la voracità a livello hardware del sistema di messaggistica di Microsoft.Ebbene giusto per mettere dei paletti, un server monoprocessore con 1GB di ram e dischi SCSI veloci può tranquillamente soddisfare le esigenze di 1000 utenti/mailbox!Ovviamente un disegno ottimo di un’infrastruttura Exchange non si può limitare a questo calcolo fatto sulla “carta del formaggio”.Gli elementi da tener conto sono il sottosistema dischi esclusivamente scsi/san, un ottimo partizionamento è quello mostrato nella tabella sottostante.

Per quanto riguarda la Ram, il limite massimo allocabile nelle architetture a 32 bit è di 4GB a meno di modificare il boot loader boot.ini, diventa inutile comunque dedicare più di 4gb ad una macchina Exchange 2003, per quanto riguarda le cpu lo standard odierno è 4core per cui anche macchine a 1 via soddisafano la maggior parte degli scenari.

Design e Ruoli

Il design di un’infrastruttura Exchange presuppone la definizione di 3 ruoli Server, precisamente Front-End Server, Back-End Server e Bridgehead Server, un'altra considerazione importante sta nel fatto che preferibilmente la macchina Exchange deve essere preposta a questa unica funzione, a meno che ci si trovi dinanzi a SBS 2003 o a installazioni presso clienti molto piccoli, questo perché AD ed i servizi di Exchange possono creare conflitti in fase di Startup e di shutdown della macchina casusando disagi abbastanza fastidiosi quali servizi non startati e lentezza generale all’avvio.Tornando ai ruoli possiamo definire il Server di Front-End come la macchina Exchange preposta a ricevere richieste di accesso client verso connessioni non Mapi quali Rpc over Https, OWA, OMA e Active Sync, questa macchina non caricherà nessun DB semplicemente dirigerà le chiamate client verso i Server di

Back-End i quali, avendo in carico gli Storage Group contenenti i DB, potranno soddisfare le varie richieste Proxate.I server di Bridgehead sono così così chiamati perché responsabili delle connessioni tra Server di Routing group diversi ma connessi con linee dati affidabili, in Exchange 2003 sono infatti i routing group a definire il flow dei messaggi.

SicurezzaUn disegno sicuro di Exchange presuppone l’uso di macchine non necessariamente Windows in DMZ per il pre-filtraggio dei messaggi e per il Reverse Proxy dell’autenticazione verso i server di Front-End.Exchange 2003 non è nato per essere esposto direttamente su internet, uno o più smart host che ricevano le mail in DMZ e le igenizzano da Spam e Virus sono la chiave per un infrastruttura di messaggistica sicura e disponibile, se poi vengono utilizzati sistemi di reverse proxy per l’autenticazione (Apache su Linux o ISA server 2004/2006 o RSA) allora Exchange trova la sua consacrata e sicura configurazione!

Preinstallazione (attivazione dei componenti)

Per poter eseguire correttamente l'installazione del nostro Microsoft Eschange Server 2003 è indispensabile che i servizi Network News Transport Protocol (NNTP) ed il Simple Mail Transfer Protocol (SMTP), siano attivati all'interno del Internet Information Services (IIS).Per attivare tali protocolli attenersi alla seguente procedura:

Eseguire Start --> Pannello di controllo, quindi scegliere Installazione componenti di Windows

Scorrere l'elenco dei componenti fino a raggiungere Server applicazioni, selezionarlo quindi premere il tasto Dettagli

Selezionare Internet Information Services (IIS), quindi premere ancora il tasto Dettagli

Scorrere l'elenco dei componenti fino a raggiungere i servizi relativi ai protocolli NNTP e SMTP, attivare i componenti flaggando i relativi checkbox, quindi proseguire premendo il tasto OK

Premere nuovamente il tasto OK

Premere il tasto Avanti

Completare il wizard premendo il tasto Fine

Installazione di Exchange Server 2003

Dal nostro server inseriamo il CD d'installazione ed attendiamo l'autorun

Clicchiamo su Strumenti di distribuzione di Exchange

Clicchiamo su Distribuire il primo server di Exchange 2003

Clicchiamo su Nuova installazione di Exchange 2003

Flaggare tutti gli 8 checkbox e proseguire cliccando su Esegui programma di installazione

Partito il wizard cliccare su Avanti

Attivare il checkbox relativo all'accettazione delle condizioni Miscorsoft e proseguire premendo il tasto Avanti

Procediamo premendo il tasto Avanti

Verifichiamo che sia flaggato il checkbox relativo a Creare una nuova organizzazione Exchange e proseguiamo premendo il tasto Avanti

Ora diamo il nome alla nostra organizzazione inserendo nella textbox indicata dalla freccia blu quanto vogliamo scrivere e procediamo premendo il tasto Avanti

Accettiamo i termini del contratto di licenza e premiamo il tasto Avanti

Verifichiamo le scelte effettuate sull'installazione e proseguiemo premendo il tasto Avanti

Attendiamo che il wizard termini tutti i punti indicati nel rettangolo rosso

Terminiamo la nostra procedura wizard premendo il tasto Fine

Usciamo dal Setup premendo il tasti Esci

Panoramica al Gestore di sistema di Exchange

Adesso che il nostro Exchange è installato vediamo di capire come funzionano le principali caratteristiche:

Eseguimo click sul pulsante Start --> Programmi --> Microsoft Exchange quindi scegliamo Gestore di sistema

Ecco la nostra interfaccia

Ecco la collocazione fisica delle cassette postali (mailbox)

Ecco i nostri connettori

Perfetta integrazione con Active Directory

Assegnazione di una cassetta postale ad un utente di Active Directory:

Entriamo in AD e eelezioniamo un utente del dominio, nel nostro esempio "Mario Rossi", eseguiamo click con il pulsante destro del mouse e scegliamo Operazioni di Exchange... (come possiamo notare la voce è comparsa nuova nel menù a tendina)

A questo punto partirà il wizard per la gestione di Exchange relativa al nostro utente: premiamo il tasto Avanti

Vediamo come assegnare una cassetta postale all'utente, selezioniamo la voce Crea cassetta postale indicata dalla freccia rossa e procediamo premendo il tasto Avanti

Lasciamo invariato nelle textbox ciò che ci propone il nostro sistema e procediamo premendo il tasto Avanti

Concludiamo il wizard premendo il tasto Fine

Rieseguiamo click con il pulsante destro del mouse sul nostro utente "Mario Rossi" e scegliamo l'opzione Proprietà

Cosa è cambiato rispetto ad un normale utente ? Ci sono dei nuovi tab relativi ad Exchange!

Vediamo di spiegarne il significato e le operazioni possibili:

Nel tab indirizzi di posta elettronica vi è l'indirizzo mail assegnato automaticamente dal server distribuito in questo modo: NomeCognome@dominio.tipodominioNomeCognome [at] dominio [dot] tipodominioinfatti nel nostro esempio abbiamo mariorossi@revhome.localmariorossi [at] revhome [dot] local ma sappiamo tutti che revhome.local è un nome di un dominio locale, quindi per sistemare la situazione dobbiamo cambiare l'indirizzo di posta verso un dominio esterno registrato.Oppure procedere a pubblicare il nostro dominio revhome.local in internet, per esempio @revhome.it; vedremo poi in alra sede come fare.

Per cambiare nome alla mail procediamo premendo il tasto Nuovo

Selezioniamo nell'elenco delle scelte Indirizzo SMTP, quindi premiamo il tasto OK

Inseriamo il nuovo indirizzo di posta elettronica nella textbox e procediamo premendo il tasto OK

Come possiamo notare è rimasto l'indirizzo precedente contrassegnato dalla freccia rossa ma è anche stato inserito il nuovo indirizzo appena creato, come mostra la freccia blu.Se notiamo il vecchio indirizzo ha una formattazione in grassetto, mentre il nuovo no ! Cosa vuol dire ?Semplice: l'indirizzo formattato in grassetto è l'indirizzo principale dell'utente, quindi ogni mail che tenterà di uscire da exchange lo farà con tale indirizzo.Per i motivi citati sopra questo non potrà mai accedere, in quanto abbiamo detto che il nostro dominio non è registrato in internet, quindi dobbiamo procedere a cambiarlo.

Selezioniamo il nostro nuovo indirizzo di posta mario.rossi@revhoma.itmario [dot] rossi [at] revhoma [dot] it quindi premiamo il tasto Imposta come principale

Se notiamo adesso gli indirizzi hanno cambiato di stato, ossia il nostro indirizzo mail è quello corretto Non ci resta che premere il tasto Applica per rendere definitive le modifiche.

Il vecchio indirizzo possiamo lasciarlo, tanto non verrà utilizzato, ma possiamo anche rimuoverlo semplicemente selezionandolo e premendo il tasto Rimuovi.

[c]Caratteristiche di Exchange vesro l'utente:[/b]

Il nostro utente vanta un'ampia serie di funzioni che posso essere configurate, prendiamo come esempio due tra le più interessanto OMA (Outlook Mobile Access) ed OWA (Outlook Web Access).OMA permette di ricevere in tempo reale le mail ricevute su un telefono cellulare, mentre OWA permette da qualsiasi PC del mondo che sia collegato ad internet di visualizzare su interfaccia HTML la stessa scherata di Microsoft Outlook.Vedremo poi in altra sede come configurare tutte queste funzioni.

Per abilitare o disabilitare questi servizi è semplicissimo, basta verificarne lo stato e premere a piacimento sui tasti Attiva / Disattiva.

[c]Impostazioni avanzate di Exchange verso l'utente:[/b]

In questa sezione andiamo a vedere le cose più importanti, ad esempio il Nome visualizzato semplice. Il nome visualizzato semplice è quel nome che per internderci ci ritroveremo aprendo la rubrica del nostro Outlook; possiamo quindi inserire nella textbox quanto più ci soddisfa.

Oppure semplicemente decidere di non mostrare il nome dell'utente flaggando il checkbox Non

visualizzare negli elenchi di indirizzi di Exchange.Non dimentichiamo di preme il tasto Applica per confermare le nostre scelte.

Altra cosa che possiamo decidere di configurare sono le Autorizzazione della cassetta postale, premendo quindi sul tasto indicato dal mouse.

Se l'amministratore, oltre che all'utente stesso, decide di voler avere accesso alla cassetta postale non

dovrà far altro che premere il tasto Aggiungi

Immettere nella textbox il nome dell'utente che vuole ricercare in AD e premere il tasto Controlla nomi

In questo caso sono stati individuati in AD più nomi con le stesse credenziali, basterà quindi selezionare l'utente Administrator e confermare premendo il tasto OK

L'utente apparirà pertanto sottolineato, come ci mostra la freccia rossa, non si dovrà far altro che confermare premendo il tasto OK

Applicare tutti i permessi d'accesso e confermare premendo il tasto OK

[c]Impostazioni generali di Exchange verso l'utente:[/b]

In questa sezione andremo a vedere le impostazioni relative ai tre pulsanti racchiusi dal rettangolo rosso.

Premiamo il tasto relativo a Restrizioni di recapito

Quì possiamo optare per una diversa serie di opzioni una delle quali è la dimensione massima dei messaggi in uscita o in arrivo, come ci mostrano le freccie rosse possiamo decidere di lasciare una

dimensione predefinita dal sistema, oppere decidere autonomamente inserendo nelle apposite textbox la dimensione espressa in Kb che vogliamo assegnare.Altra opzione, sulla quale possiamo lavorare, è quella sulla restrizione dei messaggi:possiamo, semplicemente selezionando i nostri chekbox, accettare messaggi solo da utenti autenticati nel dominio, oppure da tutti, come ci mostrano le freccie blu.Possiamo antrare ancora più nel dettagli decidendo di accettare messaggi solo da, oppure da tutti tranne: e premedo il tasto Aggiungi (freccia arancione) selezionare l'utente o gli utenti che possono interagire o non interagire con la mail dell'utente.

Ora premiamo il pulsante Opzioni di recapito

Anche qui seguendo le freccie rosse abbiamo l'opzione [b]Invia per conto di/b], dove possiamo concedere l'autorizzazione ad un altro utente di dominio all'invio delle nostre mail, basterà premere il tasto Aggiungi e comparirà l'elenco degli utenti del dominio.Oppure seguendo le freccie blu possiamo, in nostra assenza, assegnare un indirizzo di inoltro al quale le mail saranno ricevute. In riferimento q questa opzione, possiamo decidere se i messaggi dovranno essere recapitati solo all'indirizzo d'inoltro (flag disattivato) o anche alla cassetta postale dell'utente originale (falg attivato).Infine possiamo limitare il numero dei destinatari ad un limite predefinito dal sistema, oppure decidere un limite massimo inserendo nella textbox il numero dei destinatari a nostra scelta, come indicato dalla freccia viola.

Infine premiamo il pulsante Limiti di archiviazione

Possiamo lasciar decidere al sistema sia il limite di archiviazione predefinito sia le impostazioni della cassetta postale (flag attivi)...

oppure impostare nelle textbox dei valori a nostro piacimento espressi in Kb come ci mostrano le freccie rosse e blu.