Archivio

Archivio per novembre 2009

Applicazioni portatili su una penna USB

21 novembre 2009


PortableApps Platform é un programma che permette tramite un menu, di lanciare applicazioni residenti su una penna USB, in poche parole con questo programma potete portarvi dietro, non solo documenti e file, ma anche le applicazioni per poterle modificare senza dover installare programmi su altri computer, basta inserire la Penna USB nel computer e accedervi dal comodo menu.

Penne USB – Premessa sull’utilizzo

Ormai quasi tutti sanno cosa sono le Penne USB (in inglese Pendrive). Per chi non le conosce ancora possiamo dire che sono delle piccole scatoline che contengono un’unità di memorizzazione di massa portatile, utilizzabile mediante la porta USB di un comune personal computer. I dati solitamente vengono immagazzinati in una memoria flash (tipicamente di tipo NAND) contenuta nella chiavetta.

Qui sotto vediamo l’immagine di questo strano oggetto che serve sopratutto per trasferire dati da un computer all’altro

L’utilizzo di queste Pendrive è molto semplice, se si utilizza Windows ME/2000/XP/Vista, basta inserirle in una presa USB del computer e la periferica verrà riconosciuta automaticamente. Per chi invece utilizza Windows 98/98SE, sarà necessario installare il driver fornito in dotazione, in questo caso accertatevi prima dell’acquisto che la penna disponga dei driver per Windows 98, altrimenti non potrete utilizzarli sul vostro computer.

Vediamo come funziona. Inseriamo la pendrive in una presa USB del computer, mentre è acceso, dopo pochi secondi la periferica viene riconosciuta e si apre la cartella con la lettera del disco a lui associato.

Una volta collegato e riconosciuto dal sistema, la penna USB si comporta come un qualsiasi disco fisso. Come vediamo qui sotto la lettera associata nel mio sistema è N, vediamo il motivo

il motivo e che nel mio sistema esistono 4 partizioni del disco fisso C, D, E, F, poi ho una scheda per leggere le memorycard multiple, quelle delle macchinette fotografiche per fare un esempio, queste occupano le lettere G, H, I, J, K, quindi ho le due unità lettore e masterizzatore CD/DVD L, M, quindi la lettera associata alla penna USB non poteva che essere l’ultima disponibile.

Se nel vostro sistema, facciamo solo un esempio, avete un solo disco fisso C, e un solo lettore CD D, la penna USB avrà la lettera E

Una volta riconosciuto dal sistema, la penna USB può essere utilizzato come un qualunque disco fisso, potete copiare da e verso questa unità, qualsiasi file presente nel computer, purché non superi la quantità disponibile sulla penna.

ATTENZIONEQuando la penna USB non vi serve più, e volete estrarla dalla presa del computer, seguite questi consigli:

Nella barra applicazioni cliccate sull’icona Rimozione sicura dell’hardware

quindi selezionate l’unità da rimuovere

e quando vedrete comparire questo messaggio, estraete la penna USB

diversamente, senza eseguire questa procedura, la penna USB potrebbe danneggiarsi, perdere i dati memorizzati o se la estraete mentre è ancora in scrittura, perdere i dati che non erano ancora stati memorizzati.


PortableApps – Installazione

Prima di iniziare la semplice procedura di installazione, vi informo che sul sito dell’autore sono presenti tre versioni di questo programma, tutte gratuite. La prima, quella che descriviamo è la Base di appena 1 Mb. poi c’è la Light da 35 Mb che include alcune applicazioni e infine la Standard da 113 Mb che include tutte le applicazioni disponibili sul sito.

Visto che tutte le applicazioni disponibili nei pacchetti, possono essere scaricate singolarmente, è inutile scaricarli tutti se poi non li utilizzate. Vediamo in seguito come scaricare i programmi.

Inseriamo la Penna USB nella presa del computer e lanciamo il programma PortableApps, comparirà questa finestra, clicchiamo su Next

in questa finestra clicchiamo su Browse…

selezioniamo la lettera unità della nostra Penna USB, clicchiamo su OK

torneremo alla finestra precedente, clicchiamo su Install

clicchiamo su Finish

comparirà la finestra del programma, clicchiamo su Options – Language e impostiamo la lingua Italiana

al termine dell’installazione, nella nostra Penna USB troveremo 4 icone

Documents – cartella dove memorizzeremo i nostri documenti
PortableApps – cartella delle applicazioni che installeremo
Autorun.inf – è il file che farà aprire automaticamente il Menu all’inserimento della penna USB nel computer
StartPortableApps.exe – il programma per lanciare il Menu

le icone Documenti, Musica, Immagini, Video e Explora aprono le cartelle presenti nella penna USB installate dal programma e dove andremmo a salvare i nostri dati


Installare applicazioni dal sito
PortableApps

vediamo adesso come scaricare e installare applicazioni nella penna usb, clicchiamo su Opzioni e selezioniamo Scarica altre Applicazioni

si aprirà la pagina del sito PortableApps con la lista di tutte le applicazioni disponibili, per l’esempio scelgo di installare il programma AbiWord, un programma di scrittura simile al Microsoft Word, clicchiamo sul nome del programma che ci interessa

si aprirà la scheda del programma, per scaricare clicchiamo sul pulsante Download Now

in questa pagina il download dovrebbe partire dopo pochi secondi, se invece compare una fascia gialla selezioniamola con il mouse

e nel menu clicchiamo su Scarica file

attendiamo un attimo e in questa finestra clicchiamo su Salva, salviamo il file sul desktop o in una cartella a nostra scelta

dopo il download andiamo nel menu Opzioni – Installa nuova Applicazione

selezioniamo il file scaricato e clicchiamo su Apri

e iniziamo a installare l’applicazione, l’installazione in questo caso consiste solo nell’estrarre il file compresso per metterli sulla penna USB, clicchiamo su Next

qui spuntiamo la voce Additional Languages e clicchiamo su Next

clicchiamo su Install

clicchiamo su Finish

dopo l’installazione dell’applicazione troveremo il suo nome nella lista come vediamo qui sotto, clicchiamo sul nome del programma

comparirà questa schermata

e subito dopo possiamo utilizzare il programma di scrittura, ripetete le fasi per installare qualsiasi altra applicazione da PortableApps


Installare applicazioni che non si trovano sul sito PortableApps

Ovviamente possiamo utilizzare il programma anche con applicazioni che non si trovano sul sito PortableApps, purché siano programmi senza installazione, su Aiutamici questi programmi, se disponibili, sono indicati con USB (senza installazione) Windows invece indica che il programma deve essere installato su Windows, in questo esempio installiamo un l’agendina elettronica EssentialPIM, entriamo nella sua scheda e clicchiamo su USB

una volta scaricato il file ZIP utilizziamo un programma di decompressione per estrarne il contenuto direttamente nella penna USB, qui viene riportato l’utilizzo del decompressore IZArc ma potete utilizzare qualsiasi altro programma simile

clicchiamo sul file ZIP con il pulsante destro del mouse e selezioniamo IZArc – Estrai In

clicchiamo su questa icona per scegliere il percorso della penna USB

spesso le applicazioni non hanno una loro cartella una volta estratti da ZIP, meglio crearne una altrimenti i file potrebbero mischiarsi ad altri, quindi selezioniamo prima la Penna USB, poi la cartella PortableApps, e su questa selezionata clicchiamo su Crea nuova cartella

diamo il nome alla cartella, in questo caso EssentialPIM e clicchiamo su OK

torneremo nella finestra precedente, clicchiamo su Estrai

e importante che il programma venga inserito dentro la cartella PortableApps altrimenti non verrebbe inserito nel menu, possiamo cliccare su Esplora per controllare la posizione del programma appena inserito

a questo punto andiamo nel menu Opzioni e selezioniamo Ricarica Icone

ed ecco che anche un programma senza installazione automatica verrà riconosciuto come quelli di PortableApps


Backup – fare una copia di riserva

Il programma contiene anche la funzione Backup e Restore, serve per fare una copia di riserva del contenuto della penna e all’occorrenza per ripristinare la penna come era installato al momento della copia.

Oltre alla normale copia dei dati, che conviene fare sempre e in ogni caso per qualsiasi documento che noi realizziamo, la penna potrebbe danneggiarsi o peggio ancora perderla, con essa andrebbero persi tutti i dati su cui avevamo lavorato.

La copia di riserva potrebbe tornare comodo in un’altra situazione, per esempio, andiamo da un amico e dal suo computer vorremmo copiare un file che ci interessa, ma se nella penna sono installati vari applicazioni e non c’é spazio a sufficienza, abbiamo due scelte, rinunciare a quel file o eliminare la cartella applicazioni e documenti, in questo secondo caso, se abbiamo fatto la copia di riserva, possiamo eliminarli senza alcun problema per far spazio al file da copiare dall’amico, quando torneremo a casa, sposteremo il file sul disco fisso e ripristiniamo la copia di riserva per riavere la penna con tutte le applicazioni e documenti cosi come era al momento del backup

Per fare un a copia di riserva, clicchiamo su Backup – Crea backup

compare una finestra che sembra un’installazione, clicchiamo su Next

in questa finestra viene indicato il percorso pre-impostato dal programma, ovvero creerà una cartella dal nome PortableAppsBackup all’interno della solita cartella Documenti di Windows, basta cliccare sul pulsante Backup per iniziare la copia di riserva

Ma spieghiamo prima le tre opzioni in alto

Complete – fa la copia di tutto il contenuto della penna USB
App Data – Fa la copia solo della cartella applicazioni
Documents – Fa la copia solo della cartella documenti

clicchiamo su Backup

attendiamo il termine dell’operazione di copia

e a lavoro terminato clicchiamo su Finish

la copia di riserva consiste in un unico file archivio ZIP che nel backup Complete contiene tutto il materiale presente sulla Penna USB, compreso il menu per lanciare le applicazioni


Ripristina backup

vediamo adesso come ripristinare una copia di riserva, se i nostri dati sono stati danneggiati o cancellati per fare spazio ad altri file.

Dal menu Backup selezioniamo Ripristina il backup

clicchiamo su Next

in questa finestra selezioniamo il pulsante in alto a destra

e carichiamo il file ZIP della copia di riserva, che porta anche la data di creazione

una volta impostato il file da recuperare, clicchiamo su Restore

attendiamo il termine dell’operazione di ripristino

e clicchiamo su Finish


Chiusura del programma

Alla base del menu possiamo vedere la capacità della penna USB, la lettera della sua unità e lo spazio rimanente, nel mio caso ho usato una penna USB da 245 Mb e lo spazio rimanente e di 222 Mb

a destra vediamo due pulsanti, quello con la X chiude il programma lasciando operativa la penna USB

quella con la freccia su serve per chiudere il programma e rimuovere la penna, clicchiamo su questa quando la penna USB non ci serve più

in questa finestra clicchiamo su Disattiva

qui clicchiamo su OK e la luce della penna USB si spegnerà

possiamo cosi estrarre la penna USB senza alcun problema

Buon divertimento con la vostra penna USB e PortableApps.

Share

Documenti Tecnici

Come creare una rete VPN in Windows con OpenVPN

18 novembre 2009

Una VPN (acronimo di Virtual Private Network) può essere considerata come un’estensione di una rete privata che si occupa di instaurare dei “collegamenti” tra due o più sistemi che debbono scambiarsi dati in modo sicuro, utilizzando una rete condivisa o comunque pubblica qual è Internet.
Una rete VPN permette di scambiare dati in modo simile a quanto accade in una connessione privata punto-punto. L’approccio utilizzato dà modo di rendere il computer remoto parte di una rete privata interna alla struttura aziendale creando un “tunnel” virtuale attraverso la rete Internet.
Per simulare un collegamento punto-punto, i dati vengono incapsulati con l’aggiunta di un’intestazione che fornisce le informazioni di routing e cifrati in modo da renderne possibile la lettura da parte di eventuali aggressori, sprovvisti delle necessarie chiavi crittografiche.

Tutti i sistemi Windows integrano il supporto per le reti VPN: lo stesso Windows XP può operare sia in modalità client che fungere da server VPN. Purtroppo, però, configurato in questa seconda modalità, Windows XP non accetta più di una connessione in ingresso.

OpenVPN è una valida soluzione opensource, disponibile per svariati sistemi operativi, che consente di implementare una VPN a costo zero senza quindi doversi necessariamente rivolgere a Windows Server. Precisiamo subito che la configurazione di OpenVPN non è per nulla intuitiva ed è da considerarsi esclusivamente appannaggio degli utenti più esperti che dispongano già di un buon bagaglio di conoscenze informatiche.

Configurazione lato server

La procedura di installazione della versione di OpenVPN per Windows si occupa di caricare sul sistema tre componenti: il software opensource OpenVPN vero e proprio, un’interfaccia grafica sviluppata appositamente per il sistema operativo Microsoft (OpenVPN GUI) e My Certificate Wizard, strumento che consente di gestire i certificati. Per installare quest’ultimo componente è indispensabile spuntare la casella My Certificate Wizard.

Innanzi tutto, per tradurre in italiano l’interfaccia di OpenVPN, è necessario fare clic con il tasto destro del mouse sull’icona del programma visualizzata nell’area della traybar, generalmente in basso a destra quindi selezionare Exit.
A questo punto, è necessario accedere alla cartella c:\programmi\openvpn\bin e cancellare il file openvpn-gui.exe. Dopo aver scaricato questo file, si dovrà memorizzarlo sempre nella cartella c:\programmi\openvpn\bin rinominandolo in openvpn-gui.exe.

Per riavviare OpenVPN basterà fare nuovamente doppio clic sul file eseguibile openvpn-gui.exe oppure cliccare su Start, Tutti i programmi, OpenVPN, OpenVPN GUI.

I passi da compiere sono i seguenti:

– fare doppio clic su init-config.bat. Tale file provvederà a creare due file (openssl.cnf e vars.bat) a partire dagli analoghi file con estensione .sample, memorizzati nella stessa directory.
– aprire il file vars.bat (non vi si faccia doppio clic) con un qualunque editor di testo. E’ possibile utilizzare, ad esempio, un programma come TextPad.
– in calce al file vars.bat, sono riportate alcune variabili precedute dal comando SET. Tale comando, ben noto a coloro che anni fa utilizzavano il DOS, consente di visualizzare, impostare o rimuovere le cosiddette “variabili di ambiente”, utilizzate dal sistema per attingere a delle informazioni di validità generale. Le variabili KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG e KEY_EMAIL verranno impiegate da OpenVPN per generare un certificato digitale. E’ necessario impostare correttamente ciascuna delle cinque variabili facendo attenzione a non lasciarne alcuna bianca. Ecco un esempio:

set KEY_COUNTRY=IT
set KEY_PROVINCE=IT
set KEY_CITY=Milano
set KEY_ORG=MiaAzienda
set KEY_EMAIL=miaemail@miaazienda.it

A questo punto, è possibile fare doppio clic sul file batch vars.bat per configurare tutte le variabili d’ambiente necessarie quindi avviare il file clean-all.bat.
Queste due operazioni servono per inizializzare l’ambiente di lavoro utilizzato da OpenVPN.

Il passo successivo consiste nell’aprire il prompt dei comandi (ad esempio digitando cmd in Start, Esegui…) quindi portarsi all’interno della cartella easy-rsa (cd\programmi\openvpn\easy-rsa). Qui, basterà digitare build-ca e premere Invio per avviare la procedura di creazione di una coppia di chiavi crittografiche, l’una pubblica (mostrata nel certificato in corso di creazione), l’altra privata da mantenere sempre segreta.
Per procedere, è sufficiente premere Invio più volte in modo tale da confermare tutte le impostazioni di default (country name, state or province, locality name, organization name, organizational unit name, email address). Non appena comparirà la voce Common name, è invece bene indicare un nome facile da ricordare che servirà per la configurazione dei client VPN, ad esempio cert-openvpn.

A conclusione di questa fase, è possibile notare come il file batch abbia creato una sottocartella denominata keys.

Digitando build-key-server server al prompt dei comandi, verrà avviata una procedura analoga a quella appena vista con la differenza che, in questo caso, saranno prodotte chiave pubblica e privata per il server VPN. Alla comparsa della stringa Common name si dovrà aver cura di introdurre esattamente lo stesso nome specificato in precedenza (nel nostro caso, cert-openvpn).
Più avanti, l’indicazione Sign the certificate richiederà se il certificato digitale debba essere firmato impiegando le informazioni “master” prodotte in precedenza. Per rispondere affermativamente, è sufficiente digitare il tasto “y” e premere Invio. Successivamente si dovrà rispondere ancora “y”.

All’interno della sottocartella keys saranno così aggiunte anche le informazioni relative alle chiavi utilizzate dal server VPN.

Per la generazione delle chiavi da impiegare sui client, è necessario usare il comando build-key client1 ove client1 è il nome del sistema client. Tale appellativo può essere scelto liberamente senza però utilizzare spazi o caratteri speciali. In corrispondenza della stringa Common name introduciamo, questa volta, la stringa client1 richiedendo successivamente, al solito, la l’apposizione della firma.

Come ultimo passo, è necessario digitare build-dh e premere il tasto Invio. “DH” è l’acronimo di Diffie-Hellman, un protocollo crittografico che permette a due “interlocutori” di accordarsi sull’utilizzo di una chiave condivisa e segreta utilizzando un canale di comunicazione pubblico e quindi da considerarsi potenzialmente insicuro (rete Internet).

Per fidare su un livello di protezione aggiuntivo, è possibile generare una chiave OpenVPN statica cliccando su Start, Tutti i programmi…, OpenVPN, Generate a static OpenVPN key. Questa procedura produrrà una chiave a 2048 bit che verrà conservata nel file key.txt (cartella \Programmi\OpenVPN\config).

Da ultimo, si dovranno copiare i file ca.crt, dh1024.pem, server.crt e server.key dalla sottocartella \easy-rsa\keys nella sottocartella \config di OpenVPN. Così facendo si indicheranno al programma il certificato master, il certificato server e la chiave privata del server da utilizzare.

Dalla sottocartella \sample-config è necessario copiare il file server.ovpn posizionandolo, anch’esso, all’interno della sottodirectory \config.

Ora è possibile avviare l’interfaccia grafica di OpenVPN (Start, Tutti i programmi…, OpenVPN, OpenVPN GUI) in modo da concludere l’ultima parte della configurazione del programma. Cliccando con il tasto destro del mouse sull’icona di OpenVPN mostrata nella traybar quindi selezionando la voce Modifica configurazione, verrà mostrato il contenuto del file server.ovpn.

Per prima cosa è bene optare per dev tap togliendo il punto e virgola posto per default dinanzi all’impostazione. Il punto e virgola (che viene impiegato per trasformare qualsiasi riga in un commento rendendola di fatto inefficace) va invece posto innanzi al parametro dev tun.
In corrispondenza di dev-node è poi necessario specificare il nome dell’interfaccia di rete per la connessione VPN: si digiti OpenVPN. Anche in questo caso deve essere rimosso il punto e virgola posta all’inizio dell’indicazione dev-node.
Davanti alla direttiva server è bene porre un punto e virgola in modo tale da renderla un commento.
Va invece abilitato il parametro server-bridge togliendo il punto e virgola quindi specificando, al posto degli indirizzi IP specificati, rispettivamente, l’indirizzo del server VPN, la relativa netmask, l’indirizzo IP assegnato al primo client ed, infine, l’IP che verrà attribuito al client attraverso il protocollo DHCP.

Da ultimo, è bene togliere il commento dalla voce client-to-client: essa permette ai client di riconoscersi tra di essi e di avere la possibilità di accedere alle risorse condivise dai vari sistemi.
E’ consigliabile anche decommentare la direttiva tls-auth in modo tale da sfruttare la chiave statica di OpenVPN generata precedentemente così da aumentare il livello di sicurezza della rete. La riga deve essere modificata in tls-auth key.txt 0.
L’impostazione max-clients consente invece di definire il numero massimo di sistemi client che possono connettersi al server VPN.
Alla fine dell’intervento, si dovrà salvare il file di testo server.ovpn.

In ultima istanza, è necessario creare un “bridge” tra la connessione di rete locale e l’interfaccia di rete virtuale aggiunta in Windows da parte di OpenVPN.
E’ bene accertarsi di quale sia la connessione aggiunta all’atto dell’installazione di OpenVPN (spesso è indicata come Connessione alla rete locale (LAN) 2 o con dizioni simili): per averne la certezza, è possibile fare clic con il tasto destro del mouse sulle varie connessioni di rete in lista, selezionare Proprietà, quindi verificare che il nome del dispositivo correlato sia TAP-Win32 Adapter V8. Una volta individuata la connessione associata ad OpenVPN, è necessario rinominarla in OpenVPN.

Dopo aver selezionato entrambe le connessioni dalla finestra Connessioni di rete di Windows, facendo clic con il tasto destro del mouse si dovrà scegliere Connessioni con bridging. Dopo la comparsa del messaggio Realizzazione del ponte sulle connessioni in corso, si troverà in elenco una nuova voce, battezzata Bridge di rete che dovrà essere rinominata in OpenVPN Bridge.
Nelle proprietà TCP/IP di OpenVPN Bridge, è bene indicare le stesse impostazioni definite nella finestra delle proprietà TCP/IP relativa alla connessione di rete “fisica”.

Facendo clic con il tasto destro del mouse sull’icona di OpenVPN nella traybar quindi cliccando su Connetti, il programma – dopo una manciata di secondi di attesa – dovrebbe mostrare il messaggio Server è ora connesso.

Configurazione lato client

Conclusa la configurazione del server, si può passare all’impostazione dei sistemi client che dovranno successivamente connettersi alla rete VPN.
Come primo passo, si dovrà installare OpenVPN sul client utilizzando il medesimo file impiegato per il server.

Poi, è necessario copiare i file client1.crt, client1.key e ca.crt dalla cartella \OpenVPN\easy-rsa\keys del server nella cartella \OpenVPN\config del client. Sempre nella directory \OpenVPN\config del client dovrà essere posizionato il file key.txt proveniente dalla cartella \OpenVPN\config del sistema server.
Infine, si dovrà copiare il file client.ovpn dalla cartella \OpenVPN\sample-config del client in \OpenVPN\config, sempre sul client.
Il file di configurazione \OpenVPN\config\client.ovpn deve essere aperto con un editor di testo e modificato attivando – come nel server – solo la direttiva dev tap; abilitando dev-node inserendo OpenVPN quale denominazione dell’interfaccia di rete.

In corrispondenza della voce remote, va indicato l’IP del server VPN. Se al server è associato un IP statico, nella direttiva remote deve essere specificato tale indirizzo. Nel caso in cui il provider Internet assegni al server un indirizzo IP in modo dinamico, si potrà ricorrere a servizi quali DynDNS.

Più sotto, in luogo delle impostazioni di default, vanno specificate le seguenti direttive:

ca ca.crt
cert client1.crt
key client1.key

Ancora più sotto, va abilitata la voce ne-cert-type server e tls-auth. In corrispondenza di quest’ultima l’indicazione del file ta.key va sostituita con key.txt.

Finalmente, dopo aver effettuato il “bridging” tra la scheda di rete “fisica” e l’interfaccia di rete virtuale aggiunta sul client da OpenVPN (quest’ultima dovrà essere rinominata in OpenVPN, così come già fatto in precedenza lato server), sarà possibile instaurare una connessione sicura con il sistema server remoto.

Per gli altri client dovranno essere copiati i file client2.crt, client2.key, ca.crt dal server, creati con il comando build-key client2, build-key client3 e così via.

Dopo aver cliccato con il tasto destro del mouse sull’icona di OpenVPN quindi su Connetti, il client tenterà la connessione al server VPN remoto, specificato in precedenza mediante l’uso della direttiva remote.

A questo punto, dovrebbe essere possibile accedere alle risorse condivise del server e degli altri computer così come se il sistema client remoto facesse parte della medesima rete locale. Cliccando, quindi, sull’icona Risorse di rete si dovrebbe ottenere l’elenco delle risorse condivise ed accessibili.

Nel caso in cui il sistema server fosse collegato alla rete Internet mediante un router, sarà necessario effettuare il forwarding dei dati in transito sulla porta UDP 1194 verso l’IP locale associato alla macchina che fungerà da server VPN.
Va altresì sottolineato che nella modalità “bridged” (dev tap) sia il server che il client devono appartenere alla stessa sottorete (ad esempio, 192.168.0.0). Nel caso in cui fossero attestati su reti con IP differenti, dovrà essere necessariamente attivata la modalità “routed” di OpenVPN (dev tun).

Share

Tutorial

Presentazione di SysPrep e preparazione del sistema

18 novembre 2009

Sysprep – Presentazione di SysPrep e preparazione del sistema con SysPrep

15 novembre 2009

In ambito aziendale molto spesso i sistemi hanno una configurazione simile: sulle varie workstation sono installati software similiari, vengono impiegate le medesime impostazioni di rete, gli stessi programmi per la sicurezza e così via.
Per l’amministratore non è pensabile dover reinstallare da zero il sistema operativo su ciascuna nuova macchina che venga aggiunta alla rete LAN o che sostituisca un’altra workstation. In questo modo si sarebbe infatti costretti a riconfigurare il sistema ed applicare tutte le impostazioni utilizzate all’interno della realtà aziendale.

SysPrep, acronimo di System Preparation è un’utility Microsoft che offre la possibilità di rendere possibile una clonazione “indolore” della configurazione di un sistema già in uso e perfettamente configurato secondo le proprie esigenze.
Utilizzando Microsoft SysPrep ed un software di disk imaging, avviando il nuovo personal computer Windows effettuerà alcune regolazioni di base mantenendo comunque inalterate tutte le altre impostazioni, i programmi presenti, le preferenze dell’utente.

La procedura che porta, di fatto, alla clonazione del contenuto di un personal computer su di una nuova macchina può essere riassunta in quattro passaggi:
1) preparazione del sistema da clonare con SysPrep
2) creazione di un file d’immagine del sistema o clonazione del contenuto del disco fisso
3) ripristino del contenuto del file d’immagine sul disco fisso della nuova macchina
4) avvio del nuovo personal computer e configurazione delle impostazioni base del sistema

Il primo passo da compiere consiste ovviamente nell’accertarsi che il sistema di partenza, a partire dal quale saranno generati altri personal computer “cloni”, sia correttamente configurato. Più accuratamente sarà assolta questa prima fase e meno operazioni si dovranno compiere una volta copiata la stessa configurazione sugli altri personal computer.
E’ quindi bene installare tutti i programmi necessari abitualmente, configurare la connessione di rete, installare stampanti di rete, installare gli aggiornamenti di Windows disponibili ed i software di protezione come antivirus e firewall. Particolare cura va riposta nella configurazione delle preferenze del sistema operativo, del browser e delle altre applicazioni installate.

La preparazione del sistema con SysPrep è il passo cruciale. Applicando i suggerimenti illustrati di seguito sarà possibile replicare la configurazione di Windows anche su sistemi hardware differenti. Diversamente, saltando qualche passaggio oppure non effettuandolo così come indicato, l’immagine SysPrep risulterà utilizzabile solo su personal computer dotati degli stessi componenti hardware del sistema di origine.

Sul sistema di partenza ossia quello avente la configurazione da replicare sugli altri personal computer, è necessario accedere alla finestra Gestione periferiche (Pannello di controllo, Sistema, Hardware, Gestione periferiche) ed espandere il contenuto della sezione Controller IDE ATA/ATAPI. A questo punto, bisogna assicurarsi che tutti i controller dei dischi fissi siano indicati come “standard”. Qualora si avesse in elenco un controller non-standard (ad esempio Controller IDE Intel … Bus Master, Via Bus Master IDE Controller e così via), è bene farvi doppio clic, selezionare la scheda Driver quindi cliccare sul pulsante Aggiorna driver.

Alla comparsa della finestra Aggiornamento guidato hardware, è necessario attivare l’opzione No, non ora per evitare che Windows effettui una ricerca in Rete del driver aggiornato e premere Avanti.
Nella finestra seguente, va selezionata la voce Installa da un elenco o percorso specifico (per utenti esperti) quindi optare per Non effettuare la ricerca. La scelta del driver da installare verrà effettuata manualmente.
A questo punto, dalla finestra recante il titolo Selezionare il driver di periferica da installare per l’hardware, si scelga il controller contenente l’indicazione “standard”. Ecco un esempio in figura:

Cliccando su Avanti, Windows sostituirà il driver correntemente in uso con quello selezionato manualmente. Dopo aver premuto Fine e cliccato su Chiudi, il sistema operativo richiederà il riavvio: si risponda in modo affermativo cliccando su .
L’operazione va ripetuta per tutti i controller non-standard.

Conclusa questa seconda fase, è possibile passare alla preparazione del sistema con SysPrep.
Si abbia a portata di mano il CD di installazione di Windows XP. E’ bene accertarsi che tale CD ROM sia aggiornato allo stesso Service Pack installato sul sistema in uso. Diversamente, si provveda ad effettuare un’operazione di “slipstreaming” ossia l’integrazione del Service Pack nel CD d’installazione del sistema operativo (ved., in proposito, questo articolo).
Se sul sistema è installato Windows XP aggiornato al Service Pack 3, il CD d’installazione di Windows XP deve essere necessariamente aggiornato anch’esso al Service Pack 3.

Dalla finestra Risorse del computer di Windows XP, si faccia clic sul menù Strumenti, Opzioni cartella… quindi sulla scheda Visualizzazione. Nell’area Impostazioni avanzate, è necessario controllare che l’opzione Visualizza cartelle e file nascosti sia attivata.

Nella cartella \Support\Tools del CD ROM d’installazione di Windows XP, si troverà un file denominato deploy.cab. Si estragga il suo contenuto nella cartella c:\sysprep, sul disco fisso.
Dopo aver aperto la cartella c:\sysprep, è necessario fare doppio clic sul file setupmgr.exe, cliccare sul pulsante Avanti, selezionare Crea un file di risposta, optare per Installazione SysPrep, Windows XP Professional, No, non rendere l’installazione totalmente automatica. A questo punto, vanno introdotte le impostazioni di default da assegnare a tutti i nuovi computer. E’ possibile non compilare alcune finestre: si tenga però presente che, in questo caso, una volta clonato ed avviato il sistema operativo, le informazioni non introdotte in questa fase saranno poi richieste.

Si consiglia di regolare subito anche le impostazioni internazionali, scegliendo Specifica le impostazioni internazionali nel file di risposta.

Nella sezione Stringa duplicazione OEM è bene ricordarsi di inserire un riferimento all’interno della casella Information SysPrep, ad esempio “Sistema base NOMEAZIENDA XP SP3 con ELENCO APPLICAZIONI…“.

Cliccando sul pulsante Fine, SysPrep indicherà la cartella ove sarà salvato il file .inf contenente le preferenze impostate: è sufficiente confermare la scelta premendo OK. Dopo qualche secondo di attesa si potrà chiudere SysPrep dal menù File, Esci.

Il passo seguente consiste nel fare doppio clic sul file sysprep.exe, anch’esso presente nella cartella c:\sysprep; apparirà la finestra seguente:

Dopo aver cliccato sul pulsante OK, si dovrà spuntare la casella MiniSetup e premere Fabbrica.


A questo punto si dovrà attendere pazientemente che SysPrep termini la preparazione del sistema in uso. Al termine di tutte le operazioni necessario, il personal computer verrà automaticamente spento.

A questo punto, è possibile creare l’immagine del disco fisso od effettuarne la clonazione del contenuto su un altro hard disk collegato al personal computer (da installare poi su una macchina differente).
Per la creazione del file d’immagine o la clonazione, è possibile ricorrere a software come Norton Ghost od Acronis TrueImage (ci si assicuri di avere a disposizione un CD di boot dal quale avviare il sistema).

Dopo aver ripristino il contenuto del file d’immagine generato sul sistema di partenza oppure dopo avere clonato il contenuto del disco fisso di origine sul nuovo personal computer, è possibile avviarlo normalmente: Windows provvederà a rilevare ed a configurare il nuovo hardware.

Una volta al desktop di Windows verrà nuovamente mostrata la finestra di SysPrep: cliccate su MiniSetup quindi sul pulsante Sigilla.

Cliccando OK alla comparsa del successivo messaggio (Si è scelto di rigenerare gli ID di protezione (SID) al prossimo avvio…), il personal computer – dopo qualche istante – verrà nuovamente spento.

Si riavvii il sistema quindi si attenda qualche minuto: Windows richiederà l’inserimento di tutti quei dati che non sono stati specificati al momento della preparazione del sistema di origine con SysPrep.

Come ultimo passo, è necessario accedere di nuovo alla finestra Gestione periferiche ed eliminare gli “standard” controller per le unità disco inseriti in precedenza: in questo modo, al successivo reboot di Windows, il sistema operativo caricherà il driver corretto e quindi più performante rispetto a quello “standard”.


Al termine della procedura, dopo uno o due riavvii aggiuntivi, si disporrà di un sistema pronto all’uso, perfettamente funzionante e già completamente configurato secondo le proprie esigenze.

Share

Tutorial

Garante della Privacy: Provvedimento Amministratori di sistema

17 novembre 2009

In rifrerimento alle ultime direttive del Garante della Privacy l’amministratore di rete è tenuto a conservare i log degli accessi effettuati a tutti i sistemi di elaborazione con i quali vengono effettuati trattamenti di dati personali per un periodo minimo di sei mesi. Il testo del provvedimento è disponibilie a questo link anche in lingua inglese.

In linea generale si richiede che:

1) Le registrazioni ai sistemi di cui sopra contengano i riferimenti necessari ad identificare l’amministratore ed il sistema: “username”, “data”, “ora”, “descrizione evento”, tipo di evento (logon/logoff), IP della macchina, nome DNS… (Rif comma 2, lettera f).

2) I log non devono poter essere alterati ; proprio per questo nasce l’esigenza di trasferire immediatamente il log dai sistemi remoti ad una macchina centralizzata sottratta al controllo degli utenti (inalterabilità del log).

3) I dati siano visualizzabili e ricercabili attraverso una interfaccia di sola lettura, in modo da fornire uno strumento immediato per l’estrazione selettiva di dati relativi ad uno specifico periodo o ad una specifica tipologia di evento così da semplificare la creazione di reports in caso di controlli (almeno una volta all’anno).

4) Siano definiti tramite un profilo gli ambiti di operatività ( in maniera generale) dell’amministratore (Rif. comma 2, lettera d – “estremi identificativi” degli amministratori di sistema ).

5) Siano monitorati tutti i sistemi operativi, apparati di rete e key devices con lo scopo di prevenire guasti come la rottura di dischi con conseguente perdita di dati , abbassamenti della tensioni elettrica ecc…

Riporto alcune delle possibilità che il software NeCrunch offre per far fronte alle richieste del Garante.  Idee e suggerimenti di utenti che utilizzano già la soluzione sono sempre ben accetti.

In generale NetCrunch 5 è capace di monitorare il log degli eventi di windows di macchine remote e di generare allarmi interni alla ricezione di trap e di messaggi di Syslog (anche per SO Linux) così da creare un repository centrale come richiesto dal Garante. Il log è altresì consultabile online anche tramite un normale web browser utilizzando la funzionalità NetCrunch Web Access (accesso protetto da SSL) per filtrare e creare reports personalizzati da mostrare in caso di controlli.

Si possono creare un numero illimitato di profili di utenza grazie alla funzionalità “User Profiles” e di rispettare a pieno il punto 4 ; è possibile creare singoli utenti o gruppi di utenti in base ai ruoli ed alle competenze; un utente può inoltre appartenere a più ambiti di operatività. Ai fini dell’attività di monitoraggio questo semplifica anche la definizione degli amministratori da notificare quando un determinato problema di rete si verifica. Quando si effettuano poi interventi sugli apparati presi in gestione dal software di monitoraggio è opportuno anche tenere un inventario aggiornato delle attività svolte con i dettagli sul tipo di intervento , data e nome del tecnico di rete. Selezionando dal menu di ogni nodo la voce Properties e portandosi sulla scheda Note si accede ad un Repository che può essere personalizzato, filtrato ed esportato in diversi formati.

Share

Documenti Tecnici

Active Directory disaster recovery: ripristino su hardware differente

17 novembre 2009

Active Directory disaster recovery: ripristino su hardware differente

Di Ermanno Goletto SysAdmin.it – MCTS – MCSA – MCP – MCBMSP – MCBMSS
e Mario Serra SysAdmin.it
Microsoft MCP – MCTS – MCDST

Introduzione

In questo articolo prenderemo in esame uno scenario non aderente alle best practices indicate da Microsoft per quanto riguarda l’implementazione di un’infrastruttura Active Directory ovvero uno scenario in cui vi sia un unico Domain Controller. Questa situazione è però purtroppo frequente soprattutto in situazioni in cui siano presenti pochi client(si pensi ad esempio a piccoli uffici) dove il budget a disposizione non permette l’acquisto dell’hardware e della licenza per un secondo Domain Controller.

Sommario

Scenario

Lo scenario sarà un’infrastruttura con unica foresta a singolo dominio test.local in cui vi sia un solo domain controller SRVDC01 che detiene quindi i ruoli FSMO ed configurato come server DNS e Global Catalog.

Si supponga ora che il server SRVDC01 cessi di funzionare e sia necessario ripristinare il DC su hardware differente.

Ripristino del Domain Controller su hardware differente in ambiente Windows 2003 Server

Per poter ripristinare il Domain Controller su hardware differente occorre che siano verificate le seguenti condizioni:

  1. Avere a disposizione un backup della partizione di sistema e del System State eseguito dopo aver arrestato tutti i servizi che potrebbero bloccare file (antivirus, scansione dischi e servizi di indicizzazione). Essendo in un scenario con un unico DC quindi senza altri DC verso cui replicare il periodi di tombstone degli oggetti di Active Directory di 60 giorni (o 180 per sistemi Windows 2003 SP1 e successivi in determinate situazioni) può essere ignorato.
  2. Il computer origine e destinazione devono avere lo stesso tipo di HAL (Hardware Abstraction Layer) con alcune eccezioni:
    • Si può passare da ACPI multiprocessor a ACPI uniprocessor e viceversa.
    • Si può passare da MPS multiprocessor a MPS uniprocessor e viceversa.

E’ possibile determinare il tipo di HAL tramite il nodo Computer della console Gestione Periferiche devmgmt.msc.

Nel caso in cui il computer sorgente abbia un HAL ACPI e quello destinazione un HAL MPS potrebbe essere possibile aggiornare il BIOS del computer destinazione per consentire il supporto ad ACPI, nel caso il fornitore della scheda madre abbia rilasciato l’aggiornamento.

  1. Il sistema sorgente e destinazione devono utilizzare un identico sistema operativo per quanto riguarda versione software e retail o OEM. La pratica più corretta è quella di installate il sistema di destinazione utilizzando lo stesso media impiegato per installare il sistema sorgente.
  2. Il sistema destinazione deve avere lo stesso livello di service pack e di hotfix del sistema sorgente.
  3. Il sistem sorgente e destinazione devono avere la stessa lettera per il drive logico di sistema (%systemdrive%) e lo stesso path di installazione (%systemroot%). Inoltre nel caso di un Domain Controller devono essere identici anche la posizione del database e dei log del servizio Active Directory e del database e dei log del FRS (File Replication Service).
  4. Sul sistema di destinazione rimuovere tutto l’hardware non necessario per completare il processo di restore in modo aumentare le probabilità di successo del ripristino (ad esempio disabilitare le schede di rete aggiuntive non necessarie che potranno essere installate al termine del processo di ripristino).

La procedura di ripristino si articola nelle seguenti fasi:

  1. Installare sul sistema di destinazione il sistema operativo rispettando le condizioni viste precedentemente ai punti 3,4 e 5.
  2. Terminata l’installazione del sistema operativo sul sistema di destinazione utilizzare la console Gestione Computer (compmgmt.msc /s) per creare, formattare e assegnare le lettere di volume (le stesse del sistema sorgente) ad ogni volume su cui sono memorizzare componenti del system state o applicazioni nel sistema sorgente.
  3. Creare sul sistema di destinazione una directory C:\Backup e inserire all’interno di essa una copia del file %SystermDrive%\Boot.ini, e della cartella %SystemRoot%\Repair e delle sue sottodirectory.
  4. Eseguire il restore del system state e del drive di sistema sul sistema di destinazione tramite la seguente procedura:
    1. Avviare l’utility di sistema Backup (ntbackup.exe) in modalità interattiva (per default al primo avvio viene proposta la modalità guidata).
    2. Selezionare la voce Opzioni del menù Strumenti, selezionare la scheda Ripristino e quindi l’opzione Sostituisci sempre il file nel computer.
    3. Selezionare la scheda Ripristina e gestisci supporti.
    4. Catalogare il backup contenente il system state e il drive di sistema del sistema sorgente tramite la voce di Cataloga un file di backup. del menù Strumenti.
    5. Eseguire il restore assicurandosi che sia selezionata l’opzione Percorso originale in Destinazione file ripristinati.
    6. Selezionare Avvia ripristino.
    7. Confermare il messaggio d’avviso di sovrascrittura dello stato corrente del sistema.
    8. Avviare il ripristino accettando le opzioni di ripristino avanzate predefinite.
    9. Terminato il restore selezionare No al messaggio di richiesta di riavvio del computer.
  5. Eseguire le seguenti operazioni al termine del restore, ma prima di riavviare il sistema:
    1. Sostituire il file %SystermDrive%\Boot.ini e %SystemRoot%\Repair\Boot.ini con quello precedentemente memorizzato in C:\Backup\System.ini.
    2. Copiare la directory Repair e le sue sottodirectory da C:\Backup in %SystemRoot%\Repair.
    3. Reinstallare i driver del controller dell’hard disk nel caso nel sistema di destinazione siano stati utilizzati driver di terze parti non inclusi nel disco di installazione di Windows.
    4. Nelle impostazioni TCP/IP verificare che il server DNS non sia impostato su un server DSN non disponibile o su localhost (indirizzo IP locale o di loopback) in quanto i record DNS del backup potrebbero non essere più validi. Al termine del restore, dopo aver verificato che il sistema di destinazione funzioni correttamente sarà possibile impostare l’indirizzo di loopback come server DNS.
    5. Dal momento che il sistema di destinazione è l’unico DC del dominio occorre eseguire il restore autoritativo del File Replication service (FRS) tramite la seguenti impostazione:
      • Aprire la chiave di registro
        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup
      • Impostare il valore DWORD BurFlags a D4.
    6. Riavviare il sistema di destinazione.
    7. Se dopo il riavvio Windows non si avvia normalmente a causa del chipset differente, driver incompatibili o HAL non corrispondente. In questo caso occorre eseguire il ripristino del sistema operativo tramite la seguente procedura:
      1. Avviare i sistema tramite il CD di installazione di Windows.
      2. Premere Invio alla richiesta di Installazione di Windows.
      3. Premere F8 per accettare il Contratto di licenza di Windows.
      4. Premere R per ripristinare l’installazione di Windows.
    8. Se dopo il ripristino del sistema operativo Windows non si avvia normalmente utilizzare la seguente procedura:
      1. Avviare i sistema tramite il CD di installazione di Windows.
      2. Premere R alla richiesta di Installazione di Windows per aprire la console di ripristino.
      3. Digitare l’identifificativo dell’installazione di Windows a cui accedere (1 nel caso ve ne sia solo una) e premere Invio.
      4. Digitare la password di administrator e premere invio.
      5. Digitare il comando disable acpi per disabilitare l’ACPI.
      6. Digitare exit per chiudere la console di ripristino e riavviare il computer.
      7. Eseguire nuovamente il il ripristino del sistema operativo tramite la procedura descritta al punto 8.
    9. Un volta avviato il sistema di destinazione rimuovere le periferiche appartenenti al sistema sorgente e non esistenti nel sistema destinazione (ad esempio scheda di rete, scheda video, controller dischi) tramite la seguente procedura:
      1. Aprire il prompt dei comandi (cmd).
      2. Digitare il seguente comando per consentire la visualizzazione di tutte le periferiche nascoste:
        set DEVMGR_SHOW_NONPRESENT_DEVICES=1
      3. Aprire la console per la gestione delle periferiche tramite il comando devmgmt.msc.
      4. Visualizzare le periferiche nascoste selezionare la voce Mostra periferiche nascoste del menù Visualizza.
      5. Disinstallare le periferiche non esistenti nel sistema.
    10. Aprire le connessioni di rete (ncpa.cpl) e controllare le impostazioni di rete impostando l’indirizzo di loopback come server DNS.
    11. Riavviare il computer.

Se sul sistema sorgente sono presenti anche altre funzionalità oltre al DNS e all’Active Directory potrebbe accadere che siano necessarie ulteriori operazioni (ad esempio se sul sistema è presente il servizio licenze di Terminal Services durante il ripristino del sistema viene segnalato che sarà necessario reinstallare tale funzionalità).

Il mio consiglio nel caso si debba eseguire tale procedura è quello di utilizzare una macchina virtuale come sistema di destinazione in modo che per il futuro il ripristino su hardware differente si risolva nello spostare i file di quest’ultima o al limite nella loro conversione nel caso si utilizzi una nuova versione del software di virtualizzazione. Inoltre una volta rimessa in funzione l’Active Directory sarebbe consigliabile aggiungere un secondo domain controller e migrare su questo i ruoli fsmo in modo da avere un domain controller basato su un’installazione nuova evitando così di portarsi dietro possibili problemi dovuti al ripristino su hardware differente.

Per ulteriori informazioni si vedano i seguenti:

Ripristino del Domain Controller su hardware differente in ambiente Windows 2008 Server

Con Windows 2008 Server la gestione del backup e del restore è demandata a Windows Server Backup che ha sostituito NTBackup. Windows Server Backup utilizza il servizio Copia Shadow del volume e la tecnologia di backup a livello di blocco per eseguire il backup e ripristino del sistema operativo, di file, cartelle e volumi. Il ripristino può essere eseguito sullo stesso server oppure, in caso di errore hardware, in un server diverso con hardware simile e privo di sistema operativo.

Per quanto riguarda il restore su hardware differente occorre tenere presente che l’immagine di backup contiene i driver utilizzati per avviare il sistema dopo il restore, quindi nei casi in cui il tipo di controller dei dischi (IDE, SATA o SCSI) sia diverso tra computer sorgente e destinazione potrebbe essere necessario specificare i driver necessari durante la fase di ripristino.

La procedura di ripristino si articola nelle seguenti fasi:

  1. Avviare il sistema di destinazione col DVD di installazione di Windows 2008 Server. Nel sistema di destinazione dovrà essere disponibile il backup del sistema sorgente (per esempio memorizzato su un disco USB connesso al sistema).
  2. Selezionare l’opzione Ripristina il Computer.
  3. Selezionare l’opzione Ripristina il computer utilizzando un’immagine del sistema creata in precedenza (nel caso sia necessario utilizzare driver del controller dischi diversi da quelli del sistema sorgente e non compresi tra i driver disponibili sul DVD di installazione specificarli tramite Carica driver) quindi selezionare Avanti.
  4. Accettare l’opzione predefinita di ripristino dell’immagine di sistema più recente o selezionarne una specifica quindi selezionare Avanti.
  5. Terminata la procedura di ripristino, dopo aver avviato il sistema di destinazione rimuovere le periferiche appartenenti al sistema sorgente e non esistenti nel sistema destinazione (ad esempio scheda di rete, scheda video, controller dischi). La procedura è analogoga a quella utilizzata con sistemi Windows 2003 Server e descritta precedentemente al punto 9.
  6. Aprire le connessioni di rete (ncpa.cpl) e controllare le impostazioni di rete impostando l’indirizzo di loopback come server DNS.
  7. Riavviare il computer.

Anche in questo caso valgono le considerazioni fatte precedentemente per sistemi Windows 2003 Server di utilizzare una macchina virtuale come sistema di destinazione e di aggiungere un secondo domain controller su cui migrare i ruoli fsmo.

Per ulteriori informazioni si vedano

Verifica della funzionalità di Active Directory

Per verificare che Active Directory funzioni correttamente è possibile utilizzare il seguente script:

REM *** I test sono memorizzati su file nella directory di avvio dello script

REM Eliminazione test precedenti
DEL Test-*.txt

REM Controllo Share
net share > Test-01-NetShare.txt
dcdiag /test:netlogons /f:Test-02-NetLogons.txt /i

REM Controllo DNS
dcdiag /test:DNS /DnsDynamicUpdate /f:Test-03-DnsDynamicUpdate.txt /i
dcdiag /test:DNS /DnsRecordRegistration /f:Test-04-DnsRecordRegistration.txt /i
dcdiag /test:RegisterInDNS /DnsDomain:%USERDNSDOMAIN% /f:Test-05-RegisterInDNS.txt /i

REM Controllo Membership
dcdiag /test:MachineAccount /f:Test-06-MachineAccount.txt /i

REM Controllo Replica
dcdiag /test:Replications /f:Test-07-Replications.txt /i
dcdiag /test:VerifyReplicas /f:Test-08-VerifyReplicas.txt /i
repadmin /showreps > Test-09-RepAdmin-showreps.txt

REM Controllo Operations Masters
dcdiag /test:knowsofroleholders /f:Test-10-knowsofroleholders.txt /i
dcdiag /test:fsmocheck /f:Test-11-fsmocheck.txt /i
netdom /query fsmo >Test-12-QueryFsmo.txt

Conclusioni

Tale configurazione non rispetta le best practices indicate da Microsoft per quanto riguarda l’implementazione di un’infrastruttura Active Directory dal momento che con un solo DC non è possibile avere alcuna ridondanza. Ciò comporta inevitabilmente un disservizio nell’utilizzo delle funzionalità di rete che richiedono l’autenticazione che si protrae fino al temine della procedura di disaster recovery. E’ quindi consigliabile prevedere la messa in funzione di un secondo DC utilizzando ad esempio una macchina virtuali per ridurre le spese legate all’hardware. In alternativa si potrebbe pensare di virtualizzare l’unico Domain Controller eseguendo periodici backup della macchina virtuale dopo averla arrestata, ciò non eviterebbe un disservizio nel caso in cui l’hardware su cui è in esecuzione la macchina virtuale cessasse di funzionare, ma ridurrebbe i tempi necessari alla procedura di disaster recovery e la semplificherebbe notevolmente.

Share

Microsoft

Guida alle licenze CAL

16 novembre 2009

Guida alle licenze CAL

Che cos’è una licenza CAL (Client Access License)?

Le licenze CAL (Client Access License) non sono prodotti software e il loro acquisto è necessario in ambienti di rete in cui i PC (Personal Computer) utilizzano le funzioni messe a disposizione da uno o più server. Un esempio potrebbe essere una rete di PC che sfrutta le funzioni di stampa o di condivisione di un file che il server mette a disposizione.

Le licenze CAL possono rivelarsi un ambito piuttosto complicato poiché possono esistere ambienti di rete alquanto differenti e complessi. Di seguito sono disponibili diverse informazioni utili per capire quali sono le licenze CAL più adatte alle diverse realtà. Prima di procedere all’acquisto, visita la sezione Scenari di esempio e consulta il tuo rivenditore di fiducia.

Tipologie:

  • Licenze Per Dispositivo (Device CAL)

  • Licenze Per Utente (User CAL)

  • Licenze Per server

  • Licenze Per processore

  • Scenari di esempio
  • Elenco prodotti:

  • Application Center 2000

  • BizTalk Server 2006

  • Class Server

  • Commerce Server 2007

  • Content Management Server 2002

  • Exchange Server 2007

  • Host Integration Server 2006

  • Internet Security and Acceleration Server 2006

  • Live Communications Server 2005

  • Systems Center Operations Manager 2007

  • Office Project Server 2007

  • Office SharePoint Server 2007

  • SQL Server 2005

  • Systems Management Server 2003 R2

  • Windows Server 2003 R2

  • Windows Small Business Server 2003 R2
  • Licenze Per Dispositivo (Device CAL)

    Le licenze Per Dispositivo (Device CAL) concedono il diritto di utilizzare le funzioni rese disponibili da uno o più server per tutti i dispositivi dotati di regolare licenza CAL.

    Licenze Per Utente (User CAL)

    Le licenze Per Utente (User CAL) concedono il diritto di utilizzare le funzioni rese disponibili da uno o più server ad un utente nominale. L’utente può utilizzare le funzioni rese disponibili da uno o più server utilizzando anche più di un solo dispositivo.

    Licenze Per server

    In questo modello di licensing a un particolare server è associato un determinato numero di licenze CAL e il numero di dispositivi autorizzati ad accedere simultaneamente al server non può superare il numero di licenze CAL acquistate per il server. Le licenze CAL non sono associate in modo permanente a un determinato dispositivo, se l’organizzazione decide di aggiungere un altro server Windows Server 2003 R2, sempre in modalità Per server, per accedere a questo secondo server sarà necessario acquistare ulteriori CAL per Windows Server. Nei deployment Per server è l’amministratore di sistema che in fase di configurazione del server determina il numero di licenze CAL da associare, in base al numero di licenze acquistate per il server. Le licenze Per server sono disponibili per Windows Server 2003 R2.

    Licenze Per processore

    Per alcuni prodotti server è disponibile anche il modello di licensing Per processore, che prevede l’acquisto di una licenza per ciascun processore installato nel server in cui il software dovrà essere eseguito. La licenza Per Processore consente l’accesso da parte di un numero illimitato di utenti, che possono connettersi dall’interno della rete LAN (Local Area Network) o WAN (Wide Area Network) oppure dall’esterno del firewall. Pertanto, non è necessario acquistare ulteriori licenze server, CAL o Internet Connector.

    Scenari di esempio

    Licenziamento “Per Device” o “Per User”

    In questo scenario l’organizzazione ha scelto di distribuire Windows Server 2003 R2 in modalità mista “Per Device” e “Per User” acquistando un mix di licenze CAL Device e User.

    Licenziamento “Per Server”

    In questo scenario l’organizzazione ha scelto di distribuire Windows Server 2003 R2 in modalità Per server, l’acquisto di cinque licenze CAL consentirà a un massimo di cinque dispositivi di connettersi simultaneamente al server. Per offrire l’opportunità di connessione al server, da parte dei dispositivi esclusi, sarà quindi necessario aumentare la quantità di licenze CAL oppure attendere che uno dei cinque dispositivi che occupa una licenza CAL termini la connessione al server e, quindi, la renda libera.

    Licenziamento “Per Processore”

    L’impresa oggetto di questo scenario utilizza un server mono processore con una copia di SQL Server quale database per il proprio applicativo gestionale. Le funzionalità rese disponibili da SQL Server vengono utilizzate da un numero elevato di utenti interni e da un numero indefinito di utenti tramite Internet. In questo caso non è possibile definire il numero esatto di licenze CAL da acquistare e ci si è orientati sulla scelta di licenziare SQL Server grazie alla modalità “Per Processore”. In questo modo è necessario acquistare tante licenze di SQL Server “Per Processore” in base al numero di processori del server.

    Le licenze “Per Processor” sono disponibili per SQL Server e ISA Server.

    Per ulteriori informazioni su Microsoft Windows Server System, visita l’area dedicata.

    Share

    Documenti Tecnici, Microsoft

    L’editor del registro di sistema è stato disabilitato dall’amministratore del sistema

    16 novembre 2009

    Probabilmente è stata inserita questa chiave:[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]; con il valore DWord “DisableRegistryTools” (senza virgolette), e come valore 1. In questo modo, al successivo riavvio del programma Regedit, il sistema operativo produrrà un messaggio di errore specificando che l’editor del registro di sistema è stato disabilitato dall’amministratore.

    Bisogna creare con un editor di testo un piccolo file .REG che, eseguendolo, lo disabiliti.

    Oppure prova ad entrare in modalità provvisoria.

    se fosse XP proverei con Start Esegui : digita gpedit.msc ed invia.
    Vai su Configurazione utente – Sistema – quindi disattiva Impedisci accesso
    agli strumenti di modifica del Registro.

    In alcuni casi anche un virus può generare il tuo problema.
    prova con
    http://download.nai.com/products/mcafee-avert/stinger.exe

    Oppure, e forse la migliore, prova
    http://www.kellys-korner-xp.com/regs_edits/disableregistrytoolsundo.reg

    Share

    Malware / Virus ,

    Configurazione Cisco 1720/1721 con WIC-1ADSL per Telecom Alice 7Mbit

    15 novembre 2009

    Di seguito riporto un esempio di per router 1720/1721 con WIC-1ADSL e connessione 7Mbit.

     version 12.4
     service timestamps debug datetime msec
     service timestamps log datetime msec
     service password-encryption
     !
     hostname Router
     !
     boot-start-marker
     boot-end-marker
     !
     no aaa new-model
     !
     resource policy
     !
     mmi polling-interval 60
     no mmi auto-configure
     no mmi pvc
     mmi snmp-timeout 180
     ip subnet-zero
     ip cef
    !
     no ip domain lookup
     ip name-server 151.99.125.2
     ip name-server 151.99.125.1
     ip name-server 151.99.125.3
     ip name-server 212.216.112.222
     !
     interface ATM0
       description Interfaccia ATM0/0 - Wic 
       bandwidth 2464
       no ip address
       no atm ilmi-keepalive
       dsl operating-mode ansi-dmt
       hold-queue 224 in
       pvc 8/35
         encapsulation aal5mux ppp dialer
         dialer pool-member 1
     !
     !
     interface FastEthernet0
       description Interfaccia FastEthernet0/0 - Lan interna
       ip address 192.168.0.1 255.255.255.0
       ip nat inside
       ip virtual-reassembly
       speed auto
     !
     interface Dialer0
       description Interfaccia Dialer1 - Connessione   7Mbit/s
       bandwidth 2464
       ip address negotiated
       ip nat outside
       ip virtual-reassembly
       encapsulation ppp
       dialer pool 1
       ppp pap sent-username aliceadsl password 7 094D42001A0016161800
     !
     ip classless
     ip route 0.0.0.0 0.0.0.0 Dialer0
     !
     no ip http server
     no ip http secure-server
     ip nat translation timeout 420
     ip nat translation tcp-timeout 120
     ip nat translation pptp-timeout 420
     ip nat translation icmp-timeout 1
     ip nat translation max-entries 1000
     ip nat inside source list nat interface Dialer0 overload
     !
     ip access-list extended nat
       permit ip 192.168.0.0 0.0.0.255 any
       permit icmp 192.168.0.0 0.0.0.255 any
     !
     control-plane
     !
     !
     line con 0
     line aux 0
     line vty 0 4
     login
     !
     end
    Share

    Cisco

    Cisco – PPPoE per router Cisco 827

    15 novembre 2009

    Di seguito riporto un esempio di configurazione per router con connessione Telecom Alice 7Mbit.

    version 12.3
    no service pad
    service tcp-keepalives-in
    service tcp-keepalives-out
    service timestamps debug datetime msec
    service timestamps log datetime msec
    service password-encryption
    !
    hostname c827
    !
    boot-start-marker
    boot-end-marker
    !
    no aaa new-model
    ip subnet-zero
    ip name-server 151.99.125.2
    ip name-server 212.216.112.112
    ip dhcp excluded-address 192.168.0.100
    ip dhcp excluded-address 192.168.0.1 192.168.0.5
    !
    ip dhcp pool LAN
      network 192.168.0.0 255.255.255.0
      default-router 192.168.0.1
      dns-server 208.67.222.222 151.99.0.100
      lease 0 12
    !
    no ip bootp server
    vpdn enable
    !
    vpdn-group 1
    request-dialin
      protocol 
    !
    interface Ethernet0
    description Interfaccia Ethernet0/0 - Lan interna
    ip address 192.168.0.1 255.255.255.0
    no ip redirects
    ip mtu 1492
    ip nat inside
    ip tcp adjust-mss 1452
    no cdp enable
    hold-queue 100 out
    !
    interface ATM0
    description Interfaccia ATM0/0 - Connessione ADSL
    no ip address
    no atm ilmi-keepalive
    bundle-enable
    dsl operating-mode auto
    hold-queue 224 in
    pvc 8/35
     -client dial-pool-number 1
     !
    !
    interface Dialer0
    description Interfaccia Dialer0/0 - Alice Mega ADSL 7Mbit/s
    bandwidth 8096
    ip address negotiated
    ip mtu 1492
    ip nat outside
    encapsulation ppp
    ip tcp header-compression passive
    ip tcp adjust-mss 1452
    dialer pool 1
    dialer-group 1
    no cdp enable
    ppp pap sent-username aliceadsl password 0 aliceadsl
    !
    ip nat translation timeout 420
    ip nat translation syn-timeout 40
    ip nat translation max-entries 5000
    ip nat inside source list 1 interface Dialer0 overload
    ip classless
    no ip forward-protocol udp bootps
    no ip forward-protocol udp tftp
    no ip forward-protocol udp nameserver
    no ip forward-protocol udp domain
    no ip forward-protocol udp time
    no ip forward-protocol udp netbios-ns
    no ip forward-protocol udp netbios-dgm
    no ip forward-protocol udp tacacs
    ip route 0.0.0.0 0.0.0.0 Dialer0
    no ip http server
    no ip http secure-server
    !
    access-list 1 permit 192.168.0.0 0.0.0.255
    banner login ^C
                     ||        ||
                     ||        ||
                    ||||      ||||
                ..:||||||:..:||||||:..
                   Systems Inc.
                           -
                  c827 @ 192.168.0.1
    
    *** Accesso alla configurazione del router. Ogni accesso viene loggato ***^C
    banner prompt-timeout ^C
    La sessione di lavoro e' scaduta. Per continuare e' necessario
    riautenticarsi.^C
    !
    line con 0
    transport preferred all
    transport output all
    stopbits 1
    line vty 0 4
    access-class 1 in
    exec-timeout 0 0
    logging synchronous
    login
    transport preferred all
    transport input all
    transport output all
    !
    scheduler max-task-time 5000
    sntp server 193.204.114.232
    sntp server 193.204.114.233
    end
    Share

    Cisco

    Cisco NTP – Sincronizzazione del tempo

    15 novembre 2009

    Sincronizzazione del tempo

    E’ bene usare il protocollo NTP per sincronizzare i router con un NTP Server stratum 1 o stratum 2 (vedi http://www.ntp.org per informazioni)., avendo cura di autenticare –quando possibile- il protocollo NTP. Si consiglia di usare la timezone UTC qualora si gestiscano più router distribuiti su più fasce orarie: questo accorgimento facilita la lettura nel caso fosse necessario correlare i log. Esempio:

    clock timezone UTC 0
    no clock summer-time
    ntp update-calendar
    ntp authenticate
    ntp authentication-key 10 md5 ntpkey
    ntp trusted-key 10
    ntp server 172.16.3.2 key 10

    interface Serial 0/0
    ntp disable
    interface Ethernet 0/0
    ntp broadcast

    Share

    Cisco ,