Capitolo d`esempio - Mondadori Informatica

Transcript

CAPITOLO 1
Panoramica sull'amministrazione
di Windows Server 2012
■
Windows Server 2012 e Windows 8
4
■
Introduzione a Windows Server 2012
■
Opzioni risparmio energia
■
Strumenti e protocolli di rete
■
Controller di dominio, server membri e servizi di dominio
■
Servizi di risoluzione dei nomi
■
Strumenti utilizzati frequentemente
6
8
11
14
17
23
W
indows Server 2012 è un sistema operativo server potente e versatile, completo di ogni
funzionalità e basato sui miglioramenti forniti da Microsoft nella Release 2 di Windows Server
2008. Windows Server 2012 e Windows 8 condividono numerose funzionalità perché appartengono
a un unico progetto di sviluppo. Queste funzionalità condivise hanno una base di codice comune
per molte aree dei due sistemi operativi, tra cui la gestione, la protezione, la connessione in rete e
l'archiviazione. Di conseguenza, è possibile applicare molto di ciò che si conosce su Windows 8 anche
a Windows Server 2012.
Questo capitolo contiene cenni introduttivi su Windows Server 2012 ed esamina gli effetti
che la nuova architettura ha sull'uso e la gestione dei computer che eseguono Windows Server
2012. Nel corso di questo e degli altri capitoli del presente libro, sono anche inserite delle
spiegazioni dettagliate sui miglioramenti alla sicurezza. Queste spiegazioni includono tecniche per
il miglioramento di tutti gli aspetti della protezione dei computer, tra cui la protezione fisica, la
protezione delle informazioni e la protezione di rete. Benché questo libro sia dedicato essenzialmente
all'amministrazione di Windows Server 2012, i suggerimenti e le tecniche presentate in tutto il testo
possono essere utili per chiunque supporti, sviluppi o gestisca il sistema operativo Windows Server
2012.
3
Windows Server 2012 e Windows 8
Prima di distribuire Windows Server 2012, si dovrebbe pianificare con cura l'architettura
server. Durante la pianificazione dell'implementazione, è necessario osservare attentamente la
configurazione software che sarà utilizzata e modificare la configurazione hardware di conseguenza
per soddisfare i requisiti collegati su una base per-server. Per fornire una maggiore flessibilità nelle
distribuzioni, è possibile implementare i server utilizzando uno dei tre tipi di installazione:
■
■
■
Server con GUI È un’opzione di installazione completa di tutte le funzionalità chiamata
anche installazione full-server. È possibile configurare un server utilizzando qualsiasi
combinazione permessa di ruoli, servizi ruolo e funzionalità e per la gestione del server è
fornita un'interfaccia utente completa. Questa opzione di installazione rappresenta la soluzione
più dinamica ed è consigliata per le distribuzioni di Windows Server 2012 in cui il ruolo server
può cambiare nel corso del tempo.
Installazione dei componenti core del server Un'opzione di installazione minima che
fornisce un sottoinsieme fisso di ruoli ma non comprende la shell grafica del server, la console
MMC o l'esperienza Desktop. È possibile configurare una installazione Core con un insieme
limitato di ruoli. Viene fornita una interfaccia utente di base per la gestione del server e le
principali attività di gestione sono svolte localmente mediante il prompt dei comandi o in
remoto tramite gli strumenti di gestione. Questa opzione di installazione è adatta a situazioni
in cui si desidera dedicare i server a un ruolo server specifico o a una combinazione di ruoli.
Scegliendo di non installare le funzionalità aggiuntive si riduce l'overhead causato da altri
servizi e si garantiscono maggiori risorse ai ruoli dedicati.
Server con una installazione dell'interfaccia grafica minima Un tipo di installazione
intermedia che si ottiene eseguendo una installazione completa e quindi rimuovendo la shell
grafica del server. In questo modo rimane una interfaccia grafica minima, la MMC, Server
Manager e un sottoinsieme del Pannello di controllo per la gestione locale. Questa opzione
di installazione è ideale per situazioni in cui si desidera controllare attentamente le attività
che possono essere eseguite sul server come anche tutti i ruoli e funzionalità installati, ma si
desidera ancora usufruire dell'interfaccia grafica.
Il tipo di installazione si sceglie durante l’installazione del sistema operativo. Rispetto alle
precedenti versioni di Windows Server, è ora possibile modificare il tipo di installazione anche dopo
aver installato il server. Una differenza chiave tra i tipi di installazione riguarda la presenza degli
strumenti di gestione grafici e della shell grafica. Una installazione dei componenti core del server
non ha componenti grafici; una installazione full-server li ha entrambi (strumenti di gestione grafici e
shell grafica); l'installazione minima ha solo gli strumenti di gestione grafici.
MAGGIORI INFORMAZIONI Diversi ruoli e funzionalità server richiedono la shell grafica,
tra i quali il ruolo Server fax, Host sessione Desktop remoto, Servizi di distribuzione Windows
e l'interfaccia utente per la stampa Internet. Inoltre, in visualizzatore eventi, la visualizzazione
Dettagli richiede la shell grafica come succede anche per Windows Firewall .
4
CAPITOLO 1 Panoramica sull'amministrazione di Windows Server 2012
Come Windows 8, anche Windows Server 2012 dispone di queste funzionalità:
■
■
■
Modularizzazione per l'indipendenza dalla lingua e le immagini disco per
l'indipendenza dall'hardware Ogni componente del sistema operativo è progettato come
un modulo indipendente che si può aggiungere o togliere semplicemente. Questa funzionalità
fornisce le basi per l'architettura della configurazione di Windows Server 2012. Microsoft
distribuisce Windows Server 2012 su supporti con immagini disco in formato WIM (Windows
Imaging) che utilizzano la compressione e l'archiviazione di istanze singole per ridurre
significativamente la dimensione del file di immagini.
Ambienti di preparazione all'Installazione e all'avvio Windows Preinstallation
Environment 4.0 (Windows PE 4.0) sostituisce MS-DOS come ambiente di preinstallazione e
fornisce un ambiente di startup avviabile per l'installazione, la distribuzione, il ripristino e la
risoluzione dei problemi. Windows Preboot Environment fornisce un ambiente di avvio con
un boot manager che permette di scegliere quale applicazione di boot avviare per caricare il
sistema operativo. Sui sistemi con diversi sistemi operativi installati, si può accedere ai sistemi
pre-Windows 7 nell'ambiente di avvio usando la voce del sistema operativo precedente.
Controlli account utente e elevazione dei privilegi Il Controllo dell'account utente (UAC)
migliora la sicurezza del computer garantendo una effettiva separazione tra gli account
Utente standard e Administrator. Con UAC, tutte le applicazioni vengono eseguite usando sia
privilegi amministrativi sia standard, e ogni volta che si tenta di eseguire un'applicazione che
richiede privilegi amministrativi viene, per impostazione predefinita, visualizzata un avviso
di protezione. Il modo in cui l'avviso di sicurezza funziona, dipende dalle impostazioni nei
Criteri di gruppo. Se si effettua l'accesso con le credenziali di Amministratore, non verranno
visualizzati avvisi di sicurezza.
Le funzionalità di Windows 8 e Windows Server 2012 con basi di codice comuni hanno interfacce
di gestione identiche. Infatti, quasi ogni utilità Panello di controllo disponibile in Windows Server
2012 è identica o quasi alla corrispondente utilità in Windows 8. Naturalmente in alcuni casi esistono
delle eccezioni per ciò che riguarda le impostazioni standard predefinite. Poiché Windows Server
2012 non utilizza la classificazione delle prestazioni, i server Windows non hanno punteggi di Indice
prestazioni Windows. Poiché Windows Server 2012 non utilizza lo stato Sospensione o gli stati
correlati, i server Windows non dispongono delle funzionalità di sospensione, ibernazione o ripristino.
Dato che solitamente non si utilizzano le opzioni di risparmio energia sui server Windows, Windows
Server 2012 offre un insieme limitato di opzioni per il risparmio energetico.
Inoltre Windows Server 2012 non include i miglioramenti Windows Aero, Windows Sidebar,
Gadget di Windows e altri miglioramenti grafici. Ciò è dovuto al fatto che Windows Server 2012
è progettato per fornire prestazioni ottimali per attività connesse con il server e non per la
personalizzazione avanzata dell'aspetto del desktop. Detto questo, quando si sta lavorando con una
installazione full-server, è possibile abilitare la funzionalità Esperienza Desktop e quindi abilitare
alcune funzionalità di Windows 8 sul server.
Esperienza Desktop rende disponibile la funzionalità desktop sul server. Le funzionalità di Windows
aggiunte includono Windows Media Player, Temi, Video (supporto per file AVI), Windows Defender,
Pulitura disco, Centro sincronizzazione, Registratore di suoni, Mappa caratteri e Strumento di cattura.
Sebbene queste funzionalità permettano di utilizzare un server come un computer desktop, esse
possono ridurre le prestazioni generali del server.
Panoramica sull'amministrazione di Windows Server 2012
CAPITOLO 1
5
Poiché le funzionalità comuni di Windows 8 e Windows Server 2012 sono molto simili, il testo non
si sofferma sulla discussione delle modifiche all'interfaccia rispetto alle versioni precedenti del sistema
operativo, sulla descrizione del funzionamento di Controllo account utente e così via. È possibie
trovare una descrizione dettagliata di queste funzionalità in Microsoft Windows 8 Guida all'uso
(Mondadori Informatica, 2012), che suggerisco di utilizzare insieme a questo libro. Oltre a trattare
le varie attività di amministrazione, questo testo dedicato soprattutto all'uso del desktop esamina
la personalizzazione del sistema operativo e dell'ambiente Windows, la configurazione di dispositivi
hardware e di rete, la gestione degli accessi utente e delle impostazioni globali, la configurazione dei
computer portatili e delle reti mobili, l'utilizzo della gestione remota e delle funzionalità di supporto
remoto, la risoluzione dei problemi del sistema e molto altro. Nel presente libro, invece, viene
approfondita l'amministrazione dei servizi di directory, la gestione dei dati e della rete.
Introduzione a Windows Server 2012
Il sistema operativo Windows Server 2012 include diverse edizioni. Tutte quante supportano i
processori multi core. È importante sottolineare che sebbene una edizione possa supportare solo
un singolo processore (chiamato anche processore fisico), tale processore potrebbe avere otto core
(chiamati anche processori logici).
Windows Server 2012 è un sistema operativo solo a 64-bit. In questo libro, faccio riferimento
ai sistemi a 64-bit progettati per l'architettura x64 come a sistemi a 64-bit . Dato che le differenti
edizioni di Windows Server supportano le medesime funzionalità core e gli stessi strumenti di
amministrazione, è possibile utilizzare le tecniche discusse in questo libro indipendentemente
dall'edizione di Windows Server utilizzata.
Quando si installa un sistema Windows Server 2012, lo si configura secondo il ruolo che svolge
nella rete, basandosi sulle seguenti linee guida.
■
■
■
I server generalmente fanno parte di un gruppo di lavoro o di un dominio.
I gruppo di lavoro sono associazioni libere di computer in cui ogni singolo computer è gestito
separatamente.
I domini sono raccolte di computer che è possibile gestire collettivamente mediante i controller
di dominio, che sono sistemi Windows Server 2012 utili per gestire l'accesso alla rete, al
database database delle directory e alle risorse condivise.
NOTA In questo libro, Windows Server 2012 e la famiglia Windows Server 2012 fanno riferimento
a tutte le versioni di Windows Server 2012. Le diverse versioni server supportano le stesse
funzionalità e strumenti di amministrazione di base.
A differenza di Windows Server 2008, Windows Server 2012 utilizza la schermata Start. Start è
una finestra, non un menu. I programmi possono avere dei riquadri nella schermata Start. Toccando
o facendo clic su un riquadro, si avvia il programma. Quando si tiene premuto o si fa clic con il
tasto destro del mouse su un riquadro, appare un pannello delle opzioni. La barra degli accessi è un
pannello delle opzioni di Start, Desktop e Impostazioni PC. Con l'interfaccia utente touch, la barra
degli Accessi si visualizza scorrendo dalla destra dello schermo verso l'interno. Con un mouse e una
tastiera, si può visualizzare la barra degli Accessi spostando il puntatore del mouse sopra il pulsante
nascosto nell'angolo in alto o in basso a destra di Start, Desktop o premendo il tasto Windows + C.
6
Toccare o fare clic sull'accesso Ricerca per visualizzare il pannello di ricerca. Qualunque testo viene
digitato nella schermata Start viene inserito nella casella di ricerca all'interno del pannello di Ricerca.
La casella Ricerca può poi focalizzarsi su App, Impostazioni o File. Se focalizzata su App, la ricerca
di programmi installati è molto veloce. Se focalizzata su Impostazioni, si possono trovare facilmente
impostazioni e opzioni del Pannello di controllo. Se focalizzata su File, la ricerca di file è molto veloce.
Un modo veloce per aprire un programma è di premere il tasto Windows, scrivere il nome del file
del programma e poi premere Invio. Questa scorciatoia funziona sempre quando la casella Ricerca è
selezionata, e di solito lo è per impostazione predefinita.
Premendo il tasto Windows si passa dalla schermata Start al desktop, o se si sta lavorando con le
Impostazioni PC, si passa da Start a Impostazioni PC. Su Start, c'è un riquadro Desktop che, se toccato
o cliccato, visualizza il desktop. È possibile visualizzare il desktop premendo anche il tasto Windows +
D. Dalla schermata Start è possibile accedere al Pannello di controllo toccando o cliccando il relativo
riquadro. Dal Desktop è possibile accedere al Pannello di controllo aprendo la barra degli accessi,
toccando o cliccando Impostazioni e quindi toccando o cliccando Panello di controllo. Inoltre, visto
che Esplora file è ancorato alla barra delle applicazioni del desktop come impostazione predefinita è
possibile arrivare al Pannello di controllo seguendo questi passaggi:
1. Aprire Esplora file toccando o facendo clic sull'icona nella barra degli strumenti.
2. Toccare o fare clic sulla freccia più a sinistra nella barra degli indirizzi.
3.
Toccare o fare clic su Pannello di controllo.
La schermata Start e il Desktop hanno innumerevoli menu ai quali è possibile arrivare toccando
e tenendo premuto o cliccando con il pulsante destro del mouse l'angolo inferiore sinistro dello
schermo o il desktop. Le opzioni disponibili comprendono Prompt dei comandi, Prompt dei comandi
(aministratore), Gestione dispositivi, Visualizzatore eventi, Sistema e Gestione attività. Nella schermata
Start, il pulsante nascosto nell'angolo inferiore sinistro dello schermo mostra una visualizzazione
in miniatura del desktop quando premuto. Toccando o cliccando la miniatura il desktop viene
attivato. Nel desktop, il pulsante nascosto nell'angolo inferiore sinistro dello schermo mostra una
visualizzazione in miniatura della schermata Start quando premuto. Toccando o cliccando la miniatura
la schermata Start viene attivata. Tenere premuto o fare clic con il pulsante destro del mouse sulla
miniatura apre il menu di scelta rapida.
Arresta il sistema e Riavvia il sistema sono opzioni di Opzioni di risparmio energia. Questo significa
che per spegnere o riavviare il server bisogna seguire questa procedura:
1. Visualizzare gli accessi scorrendo dal lato destro dello schermo verso l'interno o muovendo il
puntatore del mouse nell'angolo inferiore destro dello schermo.
2. Toccare o fare clic su Impostazioni e poi su Arresta.
3.
Toccare o fare clic su Arresta il sistema o Riavvia il sistema a seconda della necessità.
In alternativa è anche possibile premere il pulsante di alimentazione sul computer per avviare la
procedura di spegnimento. Se si sta utilizzando un sistema di classe desktop, e il computer ha un
pulsante di sospensione, come impostazione predefinita questo pulsante è disabilitato, come succede
anche con la chiusura del coperchio dei computer portatili. Inoltre, i server sono configurati in modo
da spegnere il monitor dopo 10 minuti di inattività.
Windows 8 e Windows Server 2012 supportano le specifiche Advanced Configuration and Power
Interface (ACPI) 5.0. Windows utilizza ACPI per controllare le transizioni di stato dell'energia del
CAPITOLO 1
7
sistema e dei dispositivi mettendoli in modalità a basso consumo energetico o spenti per ridurre il
consumo di energia.
Le impostazioni di risparmio energetico di un computer derivano dalla combinazione di risparmio
di energia attiva. È possibile accedere alle combinazioni per il risparmio di energia dal Pannello
di controllo toccando o cliccando Sistema e sicurezza e quindi toccando o cliccando Opzioni
risparmio energia. L'utilità Power Configuration (Powercfg.exe) di Windows 2012 permette di
gestire le combinazioni per il risparmio di energia dalla riga di comando. Al prompt dei comandi è
possibile visualizzare le combinazioni per il risparmio di energia configurate digitando il comando
powercfg /l. La combinazione attiva è contrassegnata da un asterisco.
La combinazione di risparmio di energia attiva predefinita in Windows Server 2012 è denominata
Bilanciato. Questa combinazione è configurate per fare quanto segue:
■
■
■
■
■
■
Non disattivare mai i dischi rigidi (al contrario di disattiva disco rigido dopo un certo periodo di
tempo specificato).
Timer di riattivazione disabilitato (al contrario di Consenti timer di riattivazione in presenza di
eventi programmati)
Impostazione sospensione selettiva USB abilitata (al contrario di Impostazione sospensione
selettiva USB disabilitata)
Risparmio energia stato collegamento moderato (al contrario di risparmio energia massimo).
Aumentare la velocità della ventola di raffreddamento prima di rallentare il processore (al
contrario di utilizzare la modalità passiva che diminuisce la velocità del processore prima di
aumentare la velocità della ventola di raffreddamento).
Utilizzare gli stati del processore minimo e massimo, se supportato (al contrario di utilizzare gli
stati fissi)
NOTA Il consumo energetico è una problematica importante, specialmente per quelle
organizzazioni che stanno cercando di diventare più attente verso la salute del pianeta.
Risparmiare energia vuol dire anche risparmiare soldi e, in alcuni casi, permette di installare più
server nel datacenter. Per esempio, se si installa Windows Server 2012 su un laptop per eseguire un
test, le impostazioni di risparmio energetico saranno leggermente differenti e saranno disponibili
anche opzioni per quando il computer è in funzione solo con la batteria.
Opzioni risparmio energia
Quando si lavora con le impostazioni di risparmio energetico caratteristiche importanti sulle quali
concentrarsi includono le seguenti:
■
Modalità di raffreddamento
■
Stati dei dispositivi
■
Stati del processore
ACPI definisce modalità di raffreddamento attive e passive. Queste modalità di raffreddamento
sono correlate l'un l'altra inversamente.
■
8
La modalità di raffreddamento passiva riduce le prestazioni del sistema ma è più silenziosa
perché le ventole fanno meno rumore. In questa modalità, Windows riduce il consumo di
energia per ridurre le temperature di esercizio a scapito delle prestazioni.
■
■
Qui Windows riduce la velocità del processore per raffreddare il computer prima di aumentare
la velocità delle ventole, che aumenterebbe il consumo di energia.
La modalità di raffreddamento attiva massimizza le prestazioni del sistema. In questa modalità,
Windows aumenta il consumo di energia per ridurre la temperatura della macchina. Qui
Windows aumenta la velocità delle ventole per raffreddare il computer prima di provare a
ridurre la velocità del processore.
Il criterio di risparmio energia comprende un limite alto e uno basso per lo stato del processore
definiti rispettivamente Livello massimo prestazioni del processore e Livello minimo prestazioni del
processore. Questi stati sono implementati utilizzando una funzionalità di ACPI 3.0 e successive
definita processor throttling e determinano la quantità di stati di prestazione del processore che
Windows può sfruttare. Impostando il valore minimo e massimo si definiscono i confini per gli stati
di prestazioni del sistema permessi oppure è possibile impostare il medesimo valore per ambedue
per rimanere in uno specifico stato di prestazioni. Windows riduce il consumo di energia regolando
la velocità del processore. Per esempio, se il limite massimo è impostato al 100% e quello minimo al
5%, Windows può regolare il processore all'interno di questo range se il carico di lavoro permette
di ridurre il consumo di energia. In un computer con un processore a 3-GHz, Windows potrebbe
regolare la frequenza del processore tra i .15 GHz e i 3.0 GHz.
Il throttling del processore e i relativi stati del processore sono stati introdotti con Windows
XP e non sono una novità, ma sono stati progettati per computer con processore fisico e non
per computer con processori logici. Ne consegue che non sono efficaci nel ridurre il consumo di
energia nei computer con processore logico. Windows 7 e versioni successive di Windows riducono
il consumo di energia con i processori multicore sfruttando una funzionalità di ACPI 4.0 chiamata
inattività del processore logico e aggiornando le funzionalità di regolazione della velocità del
processore in modo che possano lavorare con i core dei processori.
L'inattività del processore logico è progettata per assicurare che Windows impieghi il minor
numero possibile di core del processore per un dato carico di lavoro. Windows ottiene questo
risultato consolidando i carichi di lavoro all'interno del minor numero possibile di core e sospendendo
quelli inattivi. Appena si rende necessario una maggior quantità di potenza di calcolo, Windows
attiva i core necessari. Questa funzionalità lavora insieme alla gestione degli stati di prestazione del
processore a livello di core.
ACPI definisce gli stati di prestazione del processore come p-state, e quelli di inattività del
processore come c-state. Gli stati di prestazione del processore comprendono P0 (il processore/core
utilizza la sua massima potenza e può consumare il massimo livello di energia), P1 (il processore/core
utilizza meno della sua massima potenza e consuma meno energia) e Pn (dove lo stato n è il numero
massimo che dipende dal processore e il processore/core lavora alla sua potenza minima e consuma
una quantità di energia minima rimanendo in uno stato di attività).
Gli stati di inattività del processore comprendono C0 (il processore/core può eseguire istruzioni),
C1 (il processore/core ha la latenza più bassa e si trova in uno stato di consumo di energia di non
esecuzione), C2 (il processore/core ha una latenza più lunga per migliorare il risparmio energetico
rispetto allo stato C1) e C3 (il processore/core ha la latenza massima per migliorare il risparmio
energetico rispetto agli stati C1 e C2).
CAPITOLO 1
9
MAGGIORI INFORMAZIONI ACPI 4.0 fu finalizzata in giugno 2009 e ACPI 5.0 fu finalizzata in
dicembre 2011. I computer prodotti prima di questo periodo facilmente non disporranno di un
firmware pienamente compatibile e probabilmente sarà necessario aggiornarlo non appena una
versione compatibile sarà disponibile. In alcuni casi, soprattutto con hardware datato, potrebbe
non essere possibile aggiornare il firmware del computer per renderlo pienamente compatibile con
ACPI 4.0 o ACPI 5.0. Per esempio, se si stanno configurando le opzioni per il risparmio di energia
e non sono disponibili gli stati minimo e massimo del processore, il firmware del computer non è
pienamente compatibile con ACPI 3.0 e facilmente non supporterà anche ACPI 4.0 o ACPI 5.0. In
ogni caso, conviene sempre controllare sul sito del produttore dell'hardware per vedere se sono
disponibili aggiornamenti per il firmware.
Windows modifica lo stato del processore/core tra qualunque stato P e dallo stato C1 a quello C0 in
modo praticamente istantaneo (frazioni di millisecondi) e ha la tendenza a non utilizzare stati più
bassi in modo che non ci si debba preoccupare dell'impatto sulle prestazioni quando si regolano o
si "svegliano" i processori /core. I processori/core sono disponibili quando servono. Detto questo,
il modo più semplice per limitare la gestione del risparmio di energia del processore è quello di
impostare il limite minimo e massimo dello stato del processore al 100%.
L'inattività del processore logico è utilizzata per ridurre il consumo di energia togliendo un processore
logico dall'elenco di lavoro senza affinità di processore del sistema operativo. Tuttavia, dato che il lavoro
con affinità di processore riduce l'efficienza di questa funzionalità, bisogna pianificare con attenzione
prima di impostare affinità di processo per le applicazioni. Gestione risorse di sistema Windows
permette di gestire le risorse del processore attraverso obiettivi di percentuale di utilizzo del processore
e regole di affinità. Ambedue le tecniche riducono l'efficienza dell'inattività del processore logico.
Windows risparmia energia cambiando gli stati P e C in modo appropriato. Su un computer con
quattro processori logici, Windows potrebbe usare p-state da 0 a 5, dove P0 permette un utilizzo
del 100 percento, P1 permette un utilizzo del 90 percento, P2 permette un utilizzo dell'80 percento,
P3 permette un utilizzo del 70 percento, P4 permette un utilizzo del 60 percento e P5 permette un
utilizzo del 50 percento. Quano il computer è attivo, il processore logico 0 sarebbe attivo in uno stato
p-state da 0 a 5 e gli altri processori probabilmente sarebbero nello stato p-state appropriato o in
uno stato di sospensione. La figura 1-1 ne illustra un esempio. Qui il processore logico 1 funziona
al 90 percento, il processore logico 2 funziona all'80 percento, il processore logico 3 funziona al 50
percento e il processore logico 4 è in uno stato di sospensione.
Processore - core 1
Utilizzo
Processore - core 2
Utilizzo
Processore - core 3
Utilizzo
Processore - core 4
Utilizzo
FIGURA 1-1 Comprendere gli stati del processore
10
ESPERIENZA DIRETTA ACPI 4.0 e ACPI 5.0 definiscono quattro stati di risparmio energetico
globali. In G0, lo stato in cui il software è in funzione, il consumo di energia è ai livelli massimi e
la latenza ai livelli minimi. In G1, lo stato di sospensione, il software non è in funzione, la latenza
varia con lo stato di sospensione e il consumo di energia è inferiore rispetto allo stato G0. In G2,
(conosciuto anche come stato di sospensione S5), lo stato di spegnimento soft, il sistema operativo
non è in funzione, la latenza è lunga e il consumo di energia è praticamente molto vicino allo
zero. In G3, lo stato di spegnimento meccanico, il sistema operativo non è in funzione, la latenza è
lunga e il consumo di energia è zero. Esiste anche uno speciale stato globale conosciuto come S4,
sospensione non volatile, nel quale il sistema operativo scrive tutti i dati di contesto in un file o in un
media di archiviazione non volatile, permettendo il salvataggio e il ripristino del contesto di sistema.
All'interno dello stato globale G1 si trovano: S1 è uno stato di sospensione dove tutto il contesto di
sistema è mantenuto. S2 è uno stato di sospensione simile a S1 con l'eccezione che CPU e i contesti
nella cache di sistema sono perduti e il controllo parte da un reset. S3 è uno stato di sospensione dove
tutti i contesti di CPU, cache e chipset sono perduti e l'hardware mantiene il contesto della memoria
e ripristina alcuni contesti di configurazione di CPU e cache L2. S4 è uno stato di sospensione dove si
presume che l'hardware abbia spento tutti i dispositivi per ridurre il consumo di energia al minimo e
solo il contesto di piattaforma è mantenuto. S5 è uno stato di sospensione dove si presume che sia in
uno stato di spegnimento soft, e non viene mantenuto alcun contesto e quindi è richiesto un riavvio
completo del sistema.
Anche i dispositivi hanno uno stato di consumo energia. D0, lo stato di completo funzionamento,
consuma il più alto livello di energia. D1 e D2 sono stati intermedi che i dispositivi potrebbero non
utilizzare. D3hot è uno stato di risparmio energia dove il dispositivo può essere enumerato a livello
software e facoltativamente il dispositivo potrebbe preservare il proprio contesto. D3 è uno stato
di completo spegnimento dove il contesto del dispositivo è perduto e il sistema operativo deve
reinizializzare il dispositivo per riaccenderlo.
Strumenti e protocolli di rete
Windows Server 2012 ha un pacchetto di strumenti di rete, in cui sono inclusi Esplora rete, Centro
connessioni di rete e condivisione e Diagnostica di rete.
FIGURA 1-2 Centro connessioni di rete e condivisione fornisce l'accesso rapido a opzioni di condivisione,
individuazione e connessioni di rete.
CAPITOLO 1
11
Informazioni sulle opzioni di rete
La configurazione delle impostazioni di condivisione e individuazione di Centro connessioni di rete e
condivisione determina le impostazioni di base della rete. Quando le impostazioni di individuazione
della rete sono attive e un server è collegato a una rete, il server può vedere altri computer e
dispositivi di rete e diviene visibile sulla rete. Attivando o disattivando le impostazioni di condivisione,
si consentono o limitano le diverse opzioni di condivisione. Come descritto nel capitolo 12 relativo
alla protezione e al controllo della condivisione dei dati, tra le opzioni di condivisione è inclusa la
condivisione di file, di cartelle pubbliche, di stampanti e la condivisione protetta da password.
Con Windows 8 e Windows Server 2012, le reti possono appartenere a uno dei seguenti tipi:
■
■
■
■
Dominio Una rete di dominio i cui computer sono collegati al dominio aziendale cui
appartengono.
Privato Una rete privata i cui computer sono configurati come membri di un gruppo di lavoro
e non sono collegati direttamente alla rete Internet pubblica.
Home Una rete privata i cui computer sono configurati come membri di un gruppo Home e
non sono collegati direttamente alla rete Internet pubblica.
Pubblico Una rete pubblica i cui computer sono collegati alla rete di un luogo pubblico, come
un bar o un aeroporto, invece che a una rete interna.
Queste tipologie di rete sono organizzate in tre categorie: Privato, Guest o Pubblico e Dominio.
Ogni categoria di rete ha associato un profilo. Poiché un computer salva le impostazioni di
condivisione e del firewall separatamente per ogni categoria di rete, è possibile utilizzare blocchi e
permettere impostazioni diverse per ogni categoria di rete. Quando ci si collega a una rete, si apre
una finestra di dialogo che permette di specificarne la categoria. Se si seleziona privata e il computer
determina che è collegata al dominio aziendale cui appartiene, la categoria di rete è impostata a
Dominio.
Basandosi sulla categoria di rete, Windows Server configura le impostazioni che attivano o
disattivano il rilevamento. Lo stato On (abilitato) indica che il computer è in grado di rilevare altri
computer e dispositivi di rete e viceversa. Lo stato Off (disabilitato) indica che il computer non è in
grado di rilevare altri computer e dispositivi di rete e viceversa.
Il rilevamento e la condivisione dei file possono essere abilitate nelle finestre Rete o nelle
impostazioni di condivisione avanzate nel Centro connessioni di rete e condivisione. Tuttavia, il
rilevamento e la condivisione dei file non sono consentiti su una rete pubblica; ciò comporta un
incremento del livello di protezione impedendo ai computer in rete di rilevare gli altri computer e
dispositivi collegati. Quando queste funzioni sono disabilitate, i file e le stampanti condivisi da questo
computer non sono accessibili dalla rete. Inoltre, alcuni programmi potrebbero non essere in grado di
accedere alla rete.
Utilizzo dei protocolli di rete
Per permettere a un server di accedere a una rete, è necessario installare la connessione TCP/IP e
una scheda di rete. Windows Server utilizza TCP/IP come protocollo WAN (Wide Area Network)
predefinito.
12
Di norma, la connessione in rete è configurata durante l'installazione del sistema operativo. I
protocolli TCP/IP possono anche essere installati tramite le proprietà delle connessioni LAN.
I protocolli TCP e IP consentono ai computer di comunicare attraverso reti diverse e reti Internet
utilizzando le schede di rete. Windows 7 e versioni successive di Windows si basano su un’architettura
a layer IP duale in cui IPv4 (Internet Protocol Version 4) e IPv6 (Internet Protocol Version 6) sono
entrambe implementate e condividono layer di rete e trasporto comune. IPv4 ha indirizzi a 32 bit
ed è la versione principale di IP utilizzata in molte reti, inclusa Internet. D'altro canto, IPv6 ha un
indirizzamento a 128-bit ed è la versione di IP di nuova generazione.
NOTA I client DirectAccess mandano solo traffico IPv6 sulla connessione DirectAccess verso il
server DirectAccess. Grazie al supporto NAT64/DNS64 su un server DirectAccess Windows Server
2012, i client DirectAccess possono avviare la comunicazioni con gli host solo-IPv4 sulla intranet.
NAT64/DNS64 lavorano insieme per tradurre il traffico delle connessione in entrata da un nodo
IPv6 in traffico IPv4. NAT64 traduce il traffico IPv6 in traffico IPv4 ed esegue la traduzione inversa
del traffico di risposta. Il DNS64 risolve il nome di un host solo-IPv4 in un indirizzo tradotto IPv6.
ESPERIENZA DIRETTA La funzionalità TCP Chimney Offload fu introdotta con Windows
Vista e Windows Server 2008. Questa funzionalità permette al sottosistema di rete di scaricare
l'elaborazione di una connessione TCP/IP dal processore del computer al suo adattatore di
rete ammesso che l'adattatore di rete supporti la funzionalità. Sia le connessioni TCP/IPv4 sia
quelle TCP/IPv6 possono essere scaricate. Per Windows 7 e versioni successive di Windows, per
impostazione predefinita, le connessioni TCP su schede di rete a 10 gigabit sono scaricate; sulle
schede a 1 gigabit questo non avviene come impostazione predefinita. Per abilitare la funzionalità
sulle schede di rete da 1 o 10 gigabit digitare il seguente comando in un prompt di comandi con
privilegi di amministrazione: netsh int tcp set global chimney=enabled. È possibile controllare
lo stato digitando netsh int tcp show global. Sebbene questa funzionalità funzioni anche con
Windows Firewall, non verrà usata con IPsec, Hyper-V, bilanciamento del carico di rete o il servizio
NAT. Per determinare se la funzionalità di offload è attiva, digitare netstat-t e controllare lo Stato
offload. Lo Stato offload è elencato come offloaded o inhost.
Windows utilizza anche receive-side scaling (RSS) e network direct memory access (NetDMA). È
possibile abilitare o disabilitare RSS digitando netsh int tcp set global rss=enabled o netsh int
tcp set global rss=disabled rispettivamente. Per verificare lo stato di RSS, digitare netsh int tcp
show global. È possibile abilitare o disabilitare NetDMA impostando un valore DWord a 1 o 0
rispettivamente sotto la chiave del registro di configurazione EnableTCPA. Questa voce del registro si
trova sotto HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters.
Gli indirizzi a 32 bit di IPv4 sono solitamente espressi sotto forma di quattro valori decimali
separati, per esempio 127.0.0.1 oppure 192.168.10.52. I quattro valori decimali sono definiti ottetti,
poiché ognuno rappresenta 8 dei 32 bit dell’indirizzo. Negli indirizzi IPv4 unicast standard, una parte
variabile dell'indirizzo IP rappresenta l'ID di rete, mentre una parte variabile rappresenta l’ID host.
L’indirizzo IPv4 dell’host e l’indirizzo interno della macchina (MAC) utilizzato dalla scheda di rete
dell’host non hanno correlazione.
CAPITOLO 1
13
Gli indirizzi IPv6 a 128 bit sono suddivisi in otto blocchi di 16 bit delimitati da due punti. Ogni
blocco da 16-bit è espresso in notazione esadecimale, come FEC0:0:0:02BC:FF:BECB:FE4F:961D.
Negli indirizzi standard unicast IPv6, i primi 64 bit rappresentano l’ID di rete e gli ultimi 64 bit
rappresentano l'interfaccia di rete. Poiché molti blocchi di indirizzi IPv6 sono impostati a 0, un
insieme contiguo di blocchi 0 può essere espresso come "::", una notazione definita notazione a doppi
due punti (double-colon notation). Utilizzando la notazione double-colon, i due blocchi 0 nell'indirizzo
precedente possono essere compressi come FEC0::02BC:FF:BECB:FE4F:961D. Tre o più blocchi 0 sono
compressi nello stesso modo. Per esempio, FFE8:0:0:0:0:0:0:1 diventa FFE8::1.
Quando l'hardware di rete è individuato durante l'installazione del sistema operativo, sia IPv4 sia
IPv6 sono abilitati per impostazione predefinita. Non è necessario installare un componente separato
per abilitare il supporto di IPv6. L'architettura IP modificata di Windows 7 e versioni successive di
Windows è definita stack TCP/IP di ultima generazione e include molte ottimizzazioni che migliorano
la modalità di utilizzo di IPv4 e IPv6.
Controller di dominio, server membri e servizi di dominio
Quando si installa Windows Server 2012 su un nuovo sistema, è possibile configurare il server in
modo che sia un server membro, un controller di dominio o un server autonomo. Le differenze
fra questi tipi di server sono estremamente importanti. I server membri costituiscono una parte
di un dominio, ma non memorizzano informazioni relative alla directory. I controller di dominio
si distinguono dai server membri perché essi memorizzano informazioni relative alla directory e
forniscono servizi di autenticazione e di directory per il dominio. I server autonomi non costituiscono
una parte di un dominio. Poiché i server autonomi hanno i propri database utente, autenticano le
richieste di accesso in modo indipendente.
Utilizzo di Active Directory
Windows Server 2012 supporta un modello di replica multimaster. In questo modello, qualsiasi
controller di dominio può elaborare le modifiche alla directory e replicare poi automaticamente
tali modifiche in altri controller di dominio. Windows Server distribuisce una intera directory di
informazioni chiamata archivio dati. L’archivio dati contiene insiemi di oggetti che rappresentano
utenti, gruppi e account di computer, oltre a risorse condivise quali server, file e stampanti.
I domini che utilizzano Active Directory sono definiti domini Active Directory. Anche se i domini
Active Directory possono funzionare con un solo controller di dominio, è possibile e consigliabile
configurare più controller di dominio nel dominio. In tal modo, se un controller di dominio presenta
malfunzionamenti, sarà possibile fare affidamento sugli altri controller di dominio per la gestione
dell’autenticazione e di altre attività critiche.
Microsoft ha modificato Active Directory in diversi e fondamentali modi per la release originale di
Windows Server 2008. Ne risulta che Microsoft ha riallineato la funzionalità di directory e ha creato
una famiglia di servizi correlati, compresi i seguenti:
■
14
Servizi certificati Active Directory (AD CS) AD CS fornisce le funzioni necessarie
per emettere e revocare i certificati digitali per utenti, computer client e server. AD CS
utilizza le Autorità di certificazione (CA) responsabili di confermare l'identità di utenti e
computer ed emettere certificati di conferma di queste identità. I domini hanno CA radice
dell'organizzazione, che sono i server dei certificati alla radice delle gerarchie di certificato per
i domini nonché i server dei certificati più attendibili dell'organizzazione e le CA subordinate,
che sono membri di una particolare gerarchia di certificati dell'organizzazione. I gruppi di
lavoro hanno CA radice autonome,ovvero server dei certificati alla radice delle gerarchie di
certificato esterne all'organizzazione e CA subordinate autonome, che sono membri di una
particolare gerarchia di certificati non dell'organizzazione.
■
■
■
■
Servizi di dominio Active Directory (AD DS) AD DS fornisce i servizi di directory essenziali
per la definizione di un dominio, compreso l'archivio di dati che memorizza le informazioni
sugli oggetti in rete rendendole disponibili agli utenti. AD DS utilizza i controller di dominio
per gestire l'accesso alle risorse di rete. Dopo che gli utenti si sono autenticati accedendo a
un dominio, le loro credenziali archiviate possono essere utilizzate per accedere alle risorse
sulla rete. Poiché AD DS è il cuore di Active Directory ed è indispensabile per le applicazioni e
le tecnologie abilitate all'uso delle directory, in questo testo è definito semplicemente Active
Directory, piuttosto che Servizi di dominio Active Directory o AD DS.
Active Directory Federation Services (AD FS) AD FS completa le funzionalità di
autenticazione e di gestione degli accessi di AD DS estendendole al World Wide Web.
AD FS utilizza gli agenti Web per fornire agli utenti l'accesso ad applicazioni e proxy Web
ospitati internamente per gestire l'accesso ai client. Dopo che AD FS è stato configurato, gli
utenti possono utilizzare le proprie identità digitali per autenticarsi sul Web e accedere ad
applicazioni Web ospitate internamente utilizzando un browser Web come Internet Explorer.
Active Directory Lightweight Directory Services (AD LDS) AD LDS fornisce un archivio
di dati per le applicazioni abilitate per le directory che non richiedono AD DS e non devono
essere implementate nei controller di dominio. AD LDS non è eseguito come un servizio di
sistema operativo e può essere utilizzato negli ambienti di dominio e di gruppo di lavoro.
Ogni applicazione eseguita su un server può avere il proprio archivio di dati implementato
attraverso AD LDS.
Active Directory Rights Management Services (AD RMS) AD RMS fornisce un livello
di protezione per le informazioni di un'azienda che possono uscire dall'azienda stessa,
permettendo la protezione contro accessi non autorizzati a messaggi di posta elettronica,
documenti, pagine Web di intranet e molto altro. AD RMS utilizza un servizio per emettere
certificati per account con diritti che identificano utenti, gruppi e servizi autorizzati, un servizio
di licenze che fornisce ad utenti, gruppi e servizi autorizzati l'accesso a informazioni protette
e un servizio di registrazione per controllare e gestire il servizio di gestione dei diritti. Una
volta concessa l'autorizzazione, gli utenti con un certificato per account con diritti possono
assegnare i diritti alle informazioni. Questi diritti controllano quali utenti possono accedere
alle informazioni e che cosa ne possono fare. Gli utenti con i certificati per account con diritti
possono anche accedere al contenuto protetto al quale sono stati autorizzati ad accedere. La
crittografia garantisce che l'accesso alle informazioni protette sia controllato sia all'interno che
all'esterno dell'azienda.
Microsoft ha introdotto degli ulteriori cambiamenti in Windows Server 2012. Questi cambiamenti
includono un nuovo livello di funzionalità del dominio chiamato Livello di funzionalità del dominio
CAPITOLO 1
15
Windows Server 2012 e un nuovo livello di funzionalità della foresta chiamato Livello di funzionalità
della foresta Windows Server 2012. Molti di questi cambiamenti sono discussi nel capitolo 6 relativo
all'utilizzo di Active Directory.
Utilizzo dei controller di dominio di sola lettura
Windows Server 2008 e versioni successive supportano i controller di dominio di sola lettura e i
Servizi di dominio Active Directory riavviabili. Un controller di dominio di sola lettura (RODC) è un
controller di dominio aggiuntivo che ospita una replica di sola lettura dell'archivio di dati Active
Directory di un dominio. GIi RODC sono ideali per le filiali in cui la protezione fisica di un controller di
dominio non può essere garantita. Gli RODC memorizzano gli stessi oggetti e attributi dei controller
di dominio scrivibili, tranne le password. Questi oggetti e questi attributi sono replicati negli RODC
utilizzando una replica unidirezionale da un di controller di dominio scrivibile, che agisce quindi da
partner di replica.
Poiché gli RODC per impostazione predefinita memorizzano solo le password o le credenziali dei
propri account di computer e account Kerberos Target (krbtgt), gli RODC ottengono le credenziali
di utenti e computer da un controller di dominio scrivibile che esegue Windows Server 2008 o
successivo. Se consentito da un criterio di replica delle password applicato sul controller di dominio
scrivibile, lo RODC recupera le credenziali e le inserisce nella cache quando necessario fino a che
queste cambiano. Il fatto che in un RODC sia memorizzato solo un sottoinsieme di credenziali, limita
il numero di credenziali che possono essere potenzialmente compromesse.
SUGGERIMENTO Qualsiasi utente di dominio può essere delegato come amministratore locale
di un RODC senza avere altri diritti nel dominio. Un RODC non può agire da catalogo globale né
può avere il ruolo di master delle operazioni. Benché gli RODC possano ottenere le informazioni
dai controller di dominio che eseguono Windows Server 2003, essi possono recuperare gli
aggiornamenti della partizione di dominio solo da un controller di dominio Windows Server 2008 o
successivo scrivibile nello stesso dominio.
Utilizzo dei Servizi di dominio Active Directory riavviabili
I Servizi di dominio Active Directory riavviabili sono una funzionalità che permette a un
amministratore di avviare e interrompere AD DS. Nella console Servizi, Servizi di dominio Active
Directory è disponibile sui controller di dominio e permette di interrompere e riavviare facilmente
ADDS, come qualsiasi altro servizio eseguito localmente sul server. Mentre AD DS non è attivo, è
possibile eseguire le attività di manutenzione che altrimenti richiederebbero il riavvio del server,
come per esempio eseguire la deframmentazione non in linea del database Active Directory,
applicare gli aggiornamenti al sistema operativo oppure avviare un ripristino autorevole. Mentre AD
DS non è attivo su un server, altri controller di dominio possono gestire le attività di autenticazione
e di accesso. Le credenziali memorizzate nella cache, le smart card e i metodi di accesso biometrico
continuano a essere supportati. Se nessun altro controller di dominio è disponibile e nessuno di
questi metodi di accesso è utilizzato, è possibile comunque accedere al server utilizzando l'account e
la password della modalità di ripristino dei servizi directory.
Tutti i controller di dominio che eseguono Windows Server 2008 o successivo supportano i Servizi
di dominio Active Directory riavviabili, persino RODC. In qualità di amministratore, è possibile avviare
16
o interrompere AD DS utilizzando la voce Controller di dominio nell'utilità Servizi. Grazie ai Servizi
di dominio Active Directory riavviabili, i controller di dominio che eseguono Windows Server 2008 o
successivo possono assumere tre stati:
■
■
■
Active Directory Avviato In questo stato, Active Directory è avviato e il controller di
dominio ha lo stesso stato di esecuzione di un controller di dominio che esegue Windows
2000 Server o Windows Server 2003. Questo permette al controller di dominio di fornire
l'autenticazione e i servizi di accesso per un dominio.
Active Directory Arrestato In questo stato, Active Directory è arrestato e il controller di
dominio non può più fornire i servizi di autenticazione e accesso per un dominio. Questa
modalità condivide alcune caratteristiche di un server membro e di controller di dominio in
modalità ripristino servizi directory. Come nel caso di un server membro, il server è unito al
dominio. Gli utenti possono accedere interattivamente utilizzando credenziali memorizzate
nella cache, smart card e metodi di accesso biometrico. Gli utenti possono anche accedere
dalla rete utilizzando un altro controller di dominio per l'accesso al dominio. Come nella
modalità ripristino servizi directory (DSRM), il database Active Directory (Ntds.dit) sul controller
di dominio locale non è in linea. Ciò significa che è possibile eseguire le operazioni AD DS
non in linea, come la deframmentazione del database e gli aggiornamenti di protezione delle
applicazioni senza dovere riavviare il controller di dominio.
Modalità ripristino servizi directory In questo stato, Active Directory è nella modalità
di ripristino. Il controller di dominio si trova nello stato di ripristino come un controller di
dominio che esegue Windows Server 2003. Questa modalità permette di eseguire un ripristino
autorevole o non autorevole del database Active Directory.
Quando si utilizza AD DS nello stato Interrotto, è importante ricordare che anche i servizi
dipendenti si interrompono quando si ferma AD DS. Ciò significa che i servizi Replica file (FRS),
Centro di distribuzione chiave Kerberos (KDC) e di messaggistica tra siti si interrompono prima
dell'interruzione di Active Directory e che, anche se rimangono in esecuzione, questi servizi
dipendenti vengono riavviati al riavvio di Active Directory. Inoltre, sebbene sia possibile riavviare un
controller di dominio in modalità ripristino servizi directory, ma è impossibile avviare un controller di
dominio nello stato Active Directory Interrotto. Per impostare lo stato Interrotto, è necessario prima
avviare il controller di dominio normalmente e quindi interrompere AD DS.
Servizi di risoluzione dei nomi
I sistemi operativi Windows utilizzano la risoluzione dei nomi per agevolare le comunicazioni con altri
computer su una rete. La risoluzione dei nomi associa i nomi di computer agli indirizzi IP numerici
utilizzati per le comunicazioni di rete. In tal modo, invece di utilizzare lunghe stringhe di cifre, gli
utenti possono accedere a un computer sulla rete utilizzando un nome.
I sistemi operativi Windows attuali, offrono il supporto nativo di tre sistemi di risoluzione dei nomi
■
Domain Name System (DNS)
■
Windows Internet Name Service (WINS)
■
Link-Local Multicast Name Resolution (LLMNR)
Questi servizi sono descritti nelle sezioni successive.
CAPITOLO 1
17
Utilizzo di Domain Name System
DNS è un servizio di risoluzione dei nomi che risolve i nomi del computer in indirizzi IP. Utilizzando
DNS, il nome host completo computer84.cpandl.com, per esempio, potrebbe essere risolto in un
indirizzo IP che permette ai computer di individuarsi reciprocamente. DNS funziona sullo stack di
protocolli TCP/IP e può essere integrato in WINS, DHCP (Dynamic Host Configuration Protocol) e
Servizi di dominio Active Directory. Come descritto nel capitolo 15 relativo all'esecuzione di client e
server DHCP, DHCP è utilizzato per l'indirizzamento dinamico IP e la configurazione TCP/IP.
DNS organizza i gruppi di computer in domini. Questi domini sono organizzati in una struttura
gerarchica che può essere definita su scala Internet per reti pubbliche o a livello di azienda per le
reti private (anche dette intranet ed extranet). I diversi livelli all'interno della gerarchia identificano
i singoli computer, domini organizzativi e domini di primo livello. Nel nome host completo
computer84.cpandl.com, computer84 rappresenta il nome host di un singolo computer, cpandl è il
dominio organizzativo e com è il dominio di primo livello.
I domini di primo livello sono alla radice della gerarchia DNS e sono quindi anche detti domini
radice. Questi domini sono ripartiti geograficamente, per tipo di azienda e per funzione. I domini
normali, come cpandl.com, sono anche definiti domini padre. Essi sono chiamati domini padre perché
sono i padri di una struttura organizzativa. I domini padre possono essere divisi in sottodomini, che
potrebbero essere utilizzati per gruppi o reparti all'interno di un'azienda.
I sottodomini sono spesso chiamati domini figlio. Per esempio, il nome di dominio completo
(FQDN) per un computer all'interno di un gruppo del reparto Risorse Umane potrebbe essere jacob.
hr.cpandl.com. In questo caso jacob è il nome host, hr è il dominio figlio e cpandl.com è il dominio
padre.
I domini Active Directory utilizzano DNS per implementare la propria struttura e gerarchia dei
nomi. Active Directory e DNS sono completamente integrati, tanto che sulla rete sarebbe necessario
installare DNS prima di poter installare i controller di dominio utilizzando Active Directory. Durante
l'installazione del primo controller di dominio su una rete Active Directory, si ha l'opportunità di
decidere se installare DNS automaticamente, quando un server DNS non viene trovato nella rete.
Si può anche specificare se DNS e Active Directory devono essere integrati completamente. Nella
maggior parte dei casi, si risponde affermativamente a entrambe le richieste. Con l'integrazione
completa, le informazioni DNS sono archiviate direttamente in Active Directory. Ciò permette di
sfruttare le funzionalità di Active Directory. La differenza tra l’integrazione parziale e quella completa
è di importanza fondamentale:
■
18
Integrazione parziale Con l’integrazione parziale, il dominio utilizza un metodo
standard di memorizzazione dei file. Le informazioni DNS sono archiviate in file basati
su testo che terminano con l'estensione .dns e l'ubicazione predefinita di questi file è
%SystemRoot%System32Dns. Gli aggiornamenti a DNS sono gestiti attraverso un singolo
server autorevole DNS. Tale server è designato, come il server primario DNS, per un dominio
particolare o un’area compresa all’interno di un dominio, definito zona. I client che usano gli
aggiornamenti DNS dinamici attraverso DHCP devono essere configurati per utilizzare il server
DNS primario nella zona. Se questa configurazione non è eseguita, le loro informazioni DNS
non saranno aggiornate. Allo stesso modo, non è possibile effettuare aggiornamenti dinamici
mediante DHCP se il server primario DNS non è in linea.
■
Integrazione completa Con l’integrazione completa, il dominio utilizza un metodo
di memorizzazione integrato con la directory. Le informazioni DNS sono memorizzate
direttamente in Active Directory e sono disponibili attraverso il contenitore per l'oggetto
dnsZone. Poiché le informazioni fanno parte di Active Directory, qualsiasi controller di dominio
può accedere ai dati ed è possibile utilizzare un approccio multimaster per gli aggiornamenti
dinamici attraverso DHCP. In questo modo qualsiasi controller di dominio può eseguire il
servizio DNS Server per gestire gli aggiornamenti dinamici. Inoltre, i client che utilizzano
gli aggiornamenti DNS dinamici attraverso DHCP possono utilizzare qualsiasi server DNS
all'interno della zona. Un ulteriore vantaggio dell’integrazione della directory consiste nella
capacità di utilizzare la protezione della directory per controllare l’accesso alle informazioni
DNS.
Osservare le modalità con cui le informazioni DNS vengono replicate in tutta la rete, permette di
cogliere i vantaggi dell’integrazione completa con Active Directory. Con l'integrazione parziale, le
informazioni DNS sono archiviate e replicate separatamente da Active Directory. Con due strutture
separate, si riduce l'efficacia di DNS e di Active Directory complicando le attività amministrative.
Poiché DNS è meno efficiente di Active Directory nel replicare le modifiche, anche il traffico di rete e
la durata della replica delle modifiche DNS nell'intera rete potrebbero aumentare.
Per attivare DNS nella rete, è necessario configurare i client e i server DNS. Quando si configurano
i client DNS, si comunica ai client gli indirizzi IP dei server DNS sulla rete. Utilizzando questi indirizzi,
i client possono comunicare con i server DNS dovunque sulla rete, anche se questi ultimi sono in
subnet diverse.
Quando la rete utilizza DHCP, occorre configurare DHCP in modo che combini la sua attività con
quella di DNS. A tale scopo, occorre impostare le opzioni di ambito DHCP, 006 dei server DNS e 015
del nome dominio DNS, come illustrato nella sezione del capitolo 15, “Esecuzione di client e di server
DHCP”, dedicata alle impostazioni delle opzioni di ambito. Inoltre, se i computer di rete devono
essere accessibili da altri domini Active Directory, è necessario creare per loro dei record in DNS. I
record DNS sono organizzati in zone. Una zona è semplicemente un'area all'interno di un dominio. La
procedura per configurare un server DNS è illustrata nel capitolo 16.
Quando si installa il servizio DNS Server su un RODC, quest'ultimo è in grado di ottenere una
replica in sola lettura di tutte le partizioni directory dell'applicazione utilizzate da DNS, tra cui
ForestDNSZones e DomainDNSZones. I client possono interrogare il RODC sulla risoluzione dei nomi
nello stesso modo in cui interrogano qualsiasi altro server DNS. Tuttavia, come con gli aggiornamenti
della directory, il server DNS su un RODC non supporta gli aggiornamenti diretti. Ciò significa che
il RODC non registra i record risorsa del server dei nomi (NS) per nessuna zona ospitata e integrata
in Active Directory. Quando un client tenta di aggiornare i propri record DNS in un RODC, il
server restituisce un riferimento a un server DNS che il client può utilizzare per l'aggiornamento. Il
server DNS sul RODC dovrebbe ottenere il record aggiornato dal server DNS che riceve i dettagli
sull'aggiornamento utilizzando una speciale richiesta oggetto singolo di replica eseguita come
processo in background.
Windows 7 e versioni successive supportano DNS Security Extensions (DNSSEC). Il client DNS
in esecuzione su questi sistemi operativi può inviare query che indicano il supporto per DNSSEC,
elaborare i relativi record e stabilire se un server DNS ha convalidato dei record a suo nome.
CAPITOLO 1
19
Sui server Windows questo permette di firmare zone e ospitare zone firmate DNSSEC. Permette
anche ai server DNS di elaborare i relativi record ed eseguire sia la convalida sia l'autenticazione.
Utilizzo di WINS (Windows Internet Name Service
WINS è un servizio di risoluzione dei nomi che risolve i nomi del computer in indirizzi IP. Utilizzando
WINS, il nome di computer COMPUTER84, per esempio, può essere risolto in un indirizzo IP che
permetta ai computer su una rete Microsoft di individuarsi reciprocamente e scambiarsi informazioni.
WINS è necessario per supportare i sistemi precedenti a Windows 2000 e le applicazioni più obsolete
che utilizzano NetBIOS sui protocolli TCP/IP, come le utilità dalla riga di comando NET. Se non si
utilizzano applicazioni o sistemi precedenti a Windows 2000 in rete, WINS non è necessario.
WINS funziona la meglio negli ambienti client/server in cui i client WINS inviano query a
etichetta unica (host) a server WINS per la risoluzione dei nomi e i server WINS risolvono le query e
rispondono. Quando tutti i server DNS eseguono Windows Server 2008 o successive, la distribuzione
di una zona Global Names crea record globali statici con nomi a etichetta unica, senza basarsi su
WINS. Ciò consente agli utenti di accedere agli host utilizzando nomi a etichetta unica invece di nomi
di dominio completi (FQDN, Fully Qualified Domain Name) eliminando la dipendenza da WINS. Per
trasmettere le query e altre informazioni WINS, i computer utilizzano NetBIOS. NetBIOS fornisce
un'API (Application Programming Interface) con cui i computer possono comunicare su una rete. Le
applicazioni NetBIOS si basano su WINS o sul file LMHOSTS locale per risolvere i nomi dei computer
in indirizzi IP. Nelle reti precedenti a Windows 2000, WINS è il servizio di risoluzione dei nomi
primario disponibile. Sulle reti Windows 2000 o successive, DNS è il servizio di risoluzione dei nomi
principale e WINS ha una funzione diversa. WINS infatti permette ai sistemi precedenti a Windows
2000 di esaminare gli elenchi di risorse sulla rete e consentire ai sistemi Windows 2000 e successivi di
individuare le risorse NetBIOS.
Per attivare la risoluzione dei nomi WINS su una rete, è necessario configurare i client e i server
WINS. Quando si configurano i client WINS, si comunicano ai client gli indirizzi IP per i server
WINS sulla rete. Utilizzando l'indirizzo IP, i client possono comunicare con i server WINS dovunque
sulla rete, anche se i server si trovano in subnet diverse. I client WINS possono anche comunicare
utilizzando un metodo di trasmissione broadcast nel quale trasmettono i messaggi verso altri
computer sul segmento della rete locale richiedendo i loro indirizzi IP. Poiché i messaggi sono
trasmessi tramite broadcast, il server WINS non è utilizzato. Tutti i client non WINS che supportano
questo tipo di trasmissione dei messaggi possono utilizzare anche questo metodo per risolvere i nomi
dei computer in indirizzi IP.
Quando i client comunicano con i server WINS, essi stabiliscono delle sessioni costituite da tre fasi
principali:
■
20
Registrazione del nome Durante la registrazione del nome, il client fornisce al server il
proprio nome computer e indirizzo IP e chiede di essere aggiunto al database WINS. Se il
nome computer e l'indirizzo IP specificati non sono già in uso sulla rete, il server WINS accetta
la richiesta e registra il client nel database WINS.
■
■
Rinnovo del nome La registrazione del nome non è permanente. Anzi, il client può utilizzare
il nome per un periodo specificato, definito lease. Al client è anche indicato un periodo di
tempo durante il quale il lease deve essere rinnovato, detto intervallo di rinnovo. Durante
l'intervallo di rinnovo è necessario ripetere la registrazione del client presso il server WINS.
Rilascio del nome Se il client non può rinnovare il lease, la registrazione del nome viene
rilasciata, a questo punto un altro sistema sulla rete può utilizzare il nome computer o
l'indirizzo IP oppure entrambi. I nomi sono rilasciati anche quando si spegne un client WINS.
Dopo che un client ha avviato una sessione con un server WINS, può richiedere i servizi di
risoluzione dei nomi. Il metodo utilizzato per risolvere i nomi computer in indirizzi IP dipende dalla
configurazione della rete. Sono disponibili i seguenti quattro metodi di risoluzione dei nomi:
■
■
■
■
Nodo B (trasmissione broadcast) Questo metodo consente l’utilizzo di messaggi broadcast
per risolvere i nomi dei computer in indirizzi IP. I computer che devono risolvere un nome
trasmettono un messaggio broadcast a ogni host della rete locale, richiedendo l'indirizzo IP
per un nome computer. Nel caso di una rete molto estesa comprendente centinaia o migliaia di
computer, questi messaggi broadcast possono occupare una quantità significativa di larghezza
di banda di rete.
Nodo P (peer-to-peer) Questo metodo consente l’utilizzo dei server WINS per la risoluzione
dei nomi di computer in indirizzi IP. Come descritto in precedenza, le sessioni client sono
suddivise in tre fasi: registrazione, rinnovo e rilascio del nome. Se si utilizza questo metodo,
quando un client deve risolvere un nome di computer in un indirizzo IP, invia un messaggio di
query al server e il server gli fornisce la risposta.
Nodo M (misto) Anche questo metodo è dato dalla combinazione del nodo B con il nodo
P. Con nodo M, un client WINS tenta prima di utilizzare nodo B per la risoluzione dei nomi.
Se il tentativo fallisce, il client tenta di utilizzare nodo P. Poiché nodo B è utilizzato per primo,
questo metodo presenta i problemi di consumo della larghezza di banda di rete citati.
Nodo H (ibrido) Anche questo metodo è dato dalla combinazione del nodo B con il nodo
P. Con il metodo nodo H, un client WINS tenta prima di utilizzare nodo P per la risoluzione dei
nomi peer-to-peer. Se il tentativo fallisce, il client prova a utilizzare i messaggi broadcast con
nodo B. Poiché peer-to-peer è il metodo usato per primo, nodo H offre le prestazioni migliori
nella maggior parte delle reti. Nodo H è anche il metodo predefinito per la risoluzione dei
nomi WINS.
Se sulla rete sono disponibili dei server WINS, i client Windows utilizzano il metodo del nodo P per
la risoluzione dei nomi. Se nessun server WINS è disponibile sulla rete, i client Windows utilizzano il
metodo nodo B per la risoluzione dei nomi. I computer Windows possono anche utilizzare DNS e i
file locali LMHOSTS e HOSTS per risolvere i nomi di rete. L'utilizzo di DNS è trattato dettagliatamente
nel capitolo 16.
Quando si utilizza DHCP per assegnare gli indirizzi IP dinamicamente, si dovrebbe impostare il
metodo di risoluzione dei nomi per i client DHCP. A tale scopo, occorre definire le opzioni di ambito
DHCP per l'opzione 046, WINS/NBT Node Type (Tipo di nodo WINS/NBT), come descritto nella
sezione intitolata “Impostazione delle opzioni di ambito” del capitolo 15. Il migliore tra i metodi
utilizzabili è nodo H. Questo infatti permette di ottenere le prestazioni migliori e di ridurre il traffico
di rete.
CAPITOLO 1
21
Utilizzo di LLMNR (Link-Local Multicast Name Resolution)
LLMNR copre la necessità di servizi per la risoluzione di nomi peer-to-peer per dispositivi con
indirizzo IPv4 o IPv6 o entrambi, consentendo ai dispositivi IPv4 e IPv6 su una singola subnet senza
un server WINS o DNS di risolvere tutti gli altri nomi. Un servizio che non può fornire né WINS né
DNS. Benché WINS possa fornire sia i servizi di risoluzione dei nomi client/server che peer-to-peer,
non supporta gli indirizzi IPv6. DNS, d'altra parte, supporta gli indirizzi IPv4 e IPv6, ma dipende da
server designati per la fornitura di servizi di risoluzione dei nomi.
Windows 7 e versioni successive supportano LLMNR. LLMNR è progettato appositamente per i
client IPv4 e IPv6, nei casi in cui non sono disponibili altri sistemi di risoluzione dei nomi, come nelle:
■
Reti domestiche o piccole reti di ufficio
■
Reti ad hoc
■
Reti aziendali in cui non sono disponibili i servizi DNS
LLMNR è studiato come complemento di DNS, consentendo la risoluzione dei nomi in scenari in
cui non è possibile la normale risoluzione dei nomi DNS. Benché LLMNR possa sostituire WINS nei
casi in cui NetBIOS non è richiesto, non è in grado di sostituire DNS in quanto opera solo sulla subnet
locale. Dal momento che il traffico LLMNR non può propagarsi attraverso i router, non può intasare
accidentalmente la rete.
Come con WINS, LLMNR si utilizza per risolvere un nome host, per esempio COMPUTER84, in
un indirizzo IP. Per impostazione predefinita, LLMNR è abilitato su tutti i computer che eseguono
Windows 7 e versioni successive e questi computer lo utilizzano solo dopo che tutti i tentativi di
ricerca di un nome host attraverso DNS sono falliti. Di conseguenza, la risoluzione dei nomi per
Windows 7 e versioni successive funziona come descritto di seguito:
1. Un computer host invia una query al server DNS configurato come server primario. Se il
computer host non riceve una risposta o riceve un errore, esegue lo stesso tentativo con ogni
server DNS configurato in alternativa. Se per l'host non sono stati configurati server DNS o se la
connessione al server DNS non riesce, la risoluzione dei nomi viene eseguita con LLMNR.
2. Il computer host invia una query multicast tramite l’UDP (User Datagram Protocol) richiedendo
l’indirizzo IP per il nome ricercato. Questa query è limitata alla subnet locale (anche definita
collegamento locale).
3. Ogni computer sul collegamento locale che supporta LLMNR ed è configurato per rispondere
a query in entrata, riceve la query e confronta il nome con il proprio nome host. Se il nome
host non corrisponde, il computer elimina la query. Se il nome host corrisponde, il computer
trasmette un messaggio unicast con il proprio indirizzo IP all'host mittente.
È possibile utilizzare LLMNR anche per il mapping inverso. In un mapping inverso, un computer
invia una query unicast a un indirizzo IP specifico, richiedendo il nome host del computer di
destinazione. Un computer che supporta LLMNR e riceve la richiesta manda una risposta unicast
contenente il suo nome host all'host mittente.
I computer abilitati per LLMNR devono assicurare che i propri nomi siano unici sulla subnet locale.
Nella maggior parte dei casi, un computer controlla la propria univocità all'avvio, quando si riprende
22
da uno stato di sospensione e quando se ne modificano le impostazioni dell'interfaccia di rete. Se un
computer non ha ancora determinato l'univocità del proprio nome, deve precisare questa condizione
quando risponde a una query sul nome.
ESPERIENZA DIRETTA Per impostazione predefinita, LLMNR è abilitato automaticamente sui
computer che eseguono Windows 7 e versioni successive. È possibile disabilitare LLMNR attraverso
le impostazioni del registro di sistema. Per disabilitare LLMNR in tutte le interfacce di rete, creare e
impostare il seguente valore del registro di sistema a 0 (zero): HKLM/SYSTEM/CurrentControlSet/
Services/Dnscache/Parameters/EnableMulticast.
Per disabilitare LLMNR per un'interfaccia di rete specifica, creare e impostare il seguente valore
del registro di sistema a 0 (zero): HKLM/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/
AdapterGUID/EnableMulticast.
Qui AdapterGUID è il GUID (identificativo univoco globale) della scheda di interfaccia di rete
per la quale si desidera disabilitare LLMNR. È possibile ri-abilitare LLMNR in qualsiasi momento,
impostando questi stessi valori del registro di sistema a 1. È possibile anche gestire LLMNR attraverso
i Criteri di gruppo.
Strumenti utilizzati frequentemente
Per gestire i sistemi Windows Server 2012 sono disponibili molte utilità. Tra gli strumenti che si
utilizzeranno più spesso sono inclusi:
■
■
■
■
Pannello di controllo Un insieme di strumenti per gestire la configurazione del sistema.
Esso può essere strutturato in diversi modi a seconda del tipo di visualizzazione scelto. Una
visualizzazione non è altro che un modo con cui disporre e presentare le opzioni. È possibile
cambiare la visualizzazione utilizzando l'elenco Visualizza per: La visualizzazione per Categoria
è la visualizzazione predefinita e fornisce l'accesso agli strumenti per categoria, strumento e
attività chiave. La visualizzazione per Icone grandi o Icone piccole sono delle visualizzazioni
alternative che elencano ogni strumento separatamente ordinato per nome.
Strumenti di amministrazione grafici Gli strumenti fondamentali per la gestione
dei computer di una rete e delle relative risorse. È possibile accedere a questi strumenti
selezionandoli singolarmente dal gruppo Strumenti di amministrazione.
Procedure guidate di amministrazione Gli strumenti progettati per automatizzare le
attività amministrative principali. È possibile accedere a diverse procedure amministrative
guidate in Server Manager, la console di amministrazione centrale per Windows Server 2012.
Utilità della riga di comando La maggior parte delle utilità di amministrazione possono
essere avviate dalla riga di comando. Oltre a queste utilità, Windows Server 2012 ne fornisce
altre che sono importanti per l'uso dei sistemi Windows Server 2012.
Per apprendere come utilizzare uno degli strumenti dalla riga di comando NET, in un prompt di
comandi immettere NET HELP seguito dal nome del comando , per esempio NET HELP SHARE.
Windows Server 2012 fornisce a questo punto una panoramica sull'uso del comando.
CAPITOLO 1
23
Windows PowerShell 3.0
Per ottenere maggiore flessibilità di scripting della riga di comando, è possibile usare Windows
PowerShell 3.0. PowerShell 3.0 è una shell di comandi completa in grado di utilizzare i comandi
predefiniti, detti cmdlet, e le funzionalità di programmazione incorporate come pure le utilità dalla
riga di comando standard. Sono disponibili anche una console di comando e un ambiente grafico.
Sebbene la console di PowerShell e l'ambiente di scripting grafico siano installati per impostazione
predefinita, diverse altre opzioni di PowerShell non vengono installate. Tra queste abbiamo il motore
di PowerShell 2.0, che viene fornito per una compatibilità con le versioni precedenti di applicazioni
host PowerShell, Accesso Web Windows PowerShell che consente di utilizzare un server come
Gateway Web, tramite il quale gli utenti di un'organizzazione possono gestire computer remoti
tramite l'esecuzione di sessioni Windows PowerShell in un Web browser.
ESPERIENZA DIRETTA
È possibile installare queste funzionalità aggiuntive di Windows
PowerShell attraverso la porcedura guidata Aggiunta guidata ruoli e funzionalità. Sul desktop,
toccare o fare clic sul pulsante Server manager nella barra delle applicazioni Questa opzione è
installata per impostazione predefinita. In Server Manager, toccare o fare clic su Gestione e quindi
toccare o fare clic su Aggiungi Ruoli e funzionalità Si avvia Aggiunta guidata ruoli e funzionalità,
che viene utilizzata per aggiungere queste funzionalità. Va notato che in Windows Server 2012 non
solo è possibile disabilitare un ruolo o una funzionalità, ma è anche possibile rimuovere i binari
necessari per tale ruolo o funzionalità. I binari che servono per installare i ruoli e le funzionalità
sono definiti payload.
La console Windows PowerShell (Powershell.exe) è un ambiente a 32-bit o 64-bit per lavorare
con Windows PowerShell dalla riga di comando. Sui computer a 32 bit, l'eseguibile a 32 bit si trova
nella cartella %SystemRoot%\System32\WindowsPowerShell\v1.0. Sulle versioni di Windows a 64bit, l'eseguibile a 32-bit si trova nella cartella %SystemRoot%\SysWow64\WindowsPowerShell\v1.0
directory e quello a 64-bit si trova nella cartella %SystemRoot%\System32\WindowsPowerShell\v1.0.
Dal desktop è possibile aprire la console di PowerShell toccando o cliccando il pulsante
PowerShell nella barra delle applicazioni. Questa opzione è installata per impostazione predefinita.
Per impostazione predefinita, sui sistemi a 64-bit, viene avviatala versione a 64-bit di PowerShell.
Se si desidera utilizzare la versione a 32-bit della console di PowerShell su un sistema a 64-bit, va
selezionata l'opzione Windows PowerShell (x86).
È anche possibile avviare Powershell da un prompt dei comandi di Windows (Cmd.exe) digitando:
powershell
NOTA
Per impostazione predefinita il percorso della directory per Windows PowerShell
dovrebbe essere nel percorso dei comandi. Ciò assicura che sia possibile avviare PowerShell da un
prompt di comandi senza dover prima passare alla relativa directory.
Dopo aver avviato PowerShell, al prompt è possibile immettere il nome di un cmdlet ed eseguirlo
come avviene dalla riga di comando. I cmdlets possono essere eseguiti anche all'interno di script. Ai
comandi cmdlets sono assegnati dei nomi costituiti da coppie di tipo verbo-nome. Il verbo indica
l'attività generale del comando cmdlet. Il sostantivo indica ciò su cui agisce il comando cmdlet.
Per esempio, la cmdlet Get-Variable ottiene tutte le variabili di ambiente di Windows PowerShell e
24
restituisce i loro valori oppure ottiene direttamente il valore di una specifica variabile d'ambiente. I
verbi comuni associati ai comandi cmdlets sono i seguenti:
■
Get- Interroga un oggetto specifico o un sottoggetto di un tipo di oggetto, come un
contatore delle prestazioni o tutti i contatori delle prestazioni.
■
Set-
■
Enable-
Abilita un'opzione o una funzionalità
■
Enable-
Disabilita un'opzione o una funzionalità
■
New- Crea una nuova istanza di un elemento, per esempio un nuovo evento o servizio.
■
Modifica le impostazioni specifiche di un oggetto.
Removeeventi.
Rimuove un’istanza di un elemento, per esempio un evento o un registro degli
Al prompt di Windows PowerShell, digitando get-help *-*, è possibile ottenere un elenco
completo delle cmdlet disponibili. Per ottenere la documentazione di guida su una cmdlet specifica,
digitare get-help seguito dal nome della cmdlet, per esempio get-help get-variable.
Tutte le cmdleth anno degli alias configurabili che fungono da collegamenti rapidi per l'esecuzione
di una cmdlet. Per elencare tutti gli alias disponibili, digitare get-item -path alias: nel prompt di
PowerShell È possibile creare un alias che richiama qualsiasi comando utilizzando la seguente sintassi:
new-item –path alias:NomeAlias –value:PercorsoCompletoComando.
Qui NomeAlias è il nome dell’alias da creare e PercorsoCompletoComando è il percorso completo
del comando da eseguire, per esempio:
new-item –path alias:sm –value:c:\windows\system32\compmgmtlauncher.exe
Questo esempio crea l’alias sm per l’avvio di Server Manager. Per usarlo, è sufficiente digitare sm e
premere Invio quando si utilizza PowerShell.
ESPERIENZA DIRETTA Tutto quello che si scrive nel prompt dei comandi può essere scritto
nel prompt di Windows PowerShell. Questo è possibile grazie al fatto che Windows PowerShell
cerca i comandi e utilità esterni come parte normale del suo modo di elaborare. Fino a quando i
comandi o le utilità esterne vengono trovate in una cartella specificata dalla variabile d'ambiente
PERCORSO, il comando o l'utilità vengono eseguiti in modo appropriato. Si ricordi , comunque,
che l'ordine di esecuzione di Windows PowerShell può influenzare l'esecuzione del comando
stesso. Per PowerShell, l'ordine di esecuzione è (1) alias alternativi inclusi o definiti dal profilo;
(2) funzioni incluse o definite dal profilo; (3) cmdlet o parole chiave; (4) script con estensione .ps1 e
(5) comandi esterni, utilità e file. Quindi, se un qualunque elemento incluso tra 1 e 4 dell'ordine di
esecuzione ha lo stesso nome del comando, quell'elemento viene eseguito al posto del comando
che ci si aspetta.
Gestione remota Windows
Le funzionalità di gestione remota di Windows PowerShell sono supportate dal protocollo WSManagement e dal servizio WinRM che implementa WS-Management in Windows. I computer che
eseguono Windows 7 e versioni successive oppure Windows Server 2008 R2 e versioni successive
includono WinRM 2.0 o successivi. Se si desidera gestire Windows server da una workstation bisogna
accertarsi che WinRM 2.0 e Windows PowerShell 3.0 siano installati e che il server abbia WinRM
CAPITOLO 1
25
listener abilitato. Una estensione di IIS, installabile come funzionalità denominata Estensione IIS di
Gestione remota Windows, permette al server di agire come un gateway per la gestione remota del
server utilizzando WinRM e un client web.
Abilitazione e utilizzo di WinRM
È possibile verificare la disponibilità di WinRM 2.0 e configurare Windows PowerShell per la gestione
remota seguendo i seguenti passaggi:
1. Toccare o fare clic su Start e puntare su Windows PowerShell. Avviare Windows PowerShell
tenendo premuto o facendo clic con il pulsante destro del mouse sull'icona di Windows
PowerShell e quindi selezionando Esegui come amministratore.
2. Per impostazione predefinita, il servizio WinRM è configurato per l'avvio manuale. È necessario
modificare il tipo di avvio in automatico su ogni computer con il quale si desidera lavorare.
Al prompt di Windows PowerShell è possibile verificare se il servizio WinRM è in esecuzione
usando il seguente comando:
get-service winrm
Come mostrato nel seguente esempio, il valore della proprietà Status dovrebbe essere Running:
Status
-----Running
Name
---WinRM
DisplayName
----------Gestione remota Windows (WS-Managem...
Se il servizio è stoppato, digitare il seguente comando per avviarlo e configurarlo in modo che
sia eseguito automaticamente:
set-service –name winrm –startuptype automatic –status running
3. Per configurare PowerShell per la gestione remota, digitare il seguente comando:
Enable-PSRemoting –force
È possibile abilitare la gestione remota solo quando il computer è collegato a una rete di
dominio o privata. Se il computer dovesse essere collegato a una rete pubblica, è necessario
disconnetterlo, collegarlo a una rete di dominio o privata e quindi ripere questo passaggio. Se
una o più delle connessioni del computer sono impostate come rete pubbliche ma si è connessi
a un dominio o a una rete privata, è necessario cambiare il tipo di connessione nel Centro
connessioni di rete e condivisione e quindi ripetere questo passaggio.
In molti casi sarà possibile lavorare con computer remoti in altri domini. Tuttavia, se il computer
remoto non è parte di un dominio trusted, il computer remoto potrebbe non essere in grado
di autenticare le credenziali di accesso. Per abilitare l'autenticazione, è necessario aggiungere il
computer remoto all'elenco degli host trusted del computer locale in WinRM. Per fare ciò, digitare il
seguente comando:
winrm set winrm/config/client '@{TrustedHosts"ComputerRemoto"}'
Qui ComputerRemoto è il nome del computer remoto, per esempio:
winrm set winrm/config/client '@{TrustedHosts="CorpServer56"}'
26
Quando si sta lavorando con computer in gruppi di lavoro o gruppi home, è necessario usare
HTTPS come trasporto o aggiungere la macchina remota alle impostazioni di configurazione di
TrustedHosts. Se non è possibile connettersi all'host remoto, verificare che il servizio sull'host remoto
sia in esecuzione e accetti le richieste tramite l'esecuzione del seguente comando:
winrm quickconfig
Questo comando analizza e configura il servizio WinRM. Se il servizio è impostato correttamente
l'output del comando sarà simile a quello mostrato di seguito:
Servizio Gestione remota Windows già in esecuzione in questo computer.
Gestione remota Windows già impostato per la gestione remota in questo computer.
Se il servizio WinRM non è impostato correttamente, vengono visualizzati una serie di errori
e sarà necessario rispondere affermativamente a una serie prompt in modo da configurare
automaticamente la gestione remota. Al termine di questa procedura, il servizio WinRM dovrebbe
essere impostato correttamente.
Qunado si utilizzano le funzionalità di connessione remota di Windows PowerShell, è necessario
avviare Windows PowerShell tenendo premuto o facendo clic con il pulsante destro del mouse
sull'icona di Windows PowerShell e quindi selezionando Esegui come amministratore. Quando si
avvia Windows PowerShell da un altro programma, come per esempio un prompt dei comandi, è
necessario avviare tale programma come amministratore.
Configurazione di WinRM
Quando si utilizza il prompt dei comandi come amministratore, è possibile utilizzare l'utilità dalla riga
di comando di WinRM per visualizzare e gestire la configurazione della gestione remota. Digitare
winrm get winrm/config per visualizzare informazioni dettagliate sulla configuarazione della
gestione remota.
Se si osserva l'output del comando, si noterà che esiste una gerarchia nelle informazioni. La base di
questa gerarchia, il livello Config, fa riferimento al percorso winrm/config. Ci sono dei sottolivelli per
client, service e WinRS, che fanno riferimento a winrm/config/client, winrm/config/service e winrm/
config/winrs. È possibile modificare il valore della maggior parte dei parametri di configurazione
usando il seguente comando:
winrm set Percorsodiconfigurazione @{NomeParametro="Valore"}
Qui Percorsodiconfigurazione è il Percorso di configurazione, NomeParametro è il nome del
parametro con il quale si desidera lavorare e Valore imposta il valore del parametro, come per
esempio
winrm set winrm/config/winrs @{MaxShellsPerUser="10"}
Qui si imposta il parametro MaxShellsPerUser in winrm/config/winrs. Questo parametro controlla
il numero massimo di connessioni a un computer remoto che possono essere attive per utente. Per
impostazione predefinita ogni utente può avere solo cinque connessioni attive. Va ricordato che
alcuni parametri sono in sola lettura e non possono essere impostati in questo modo.
CAPITOLO 1
27
WinRM richiede almeno un listener per indicare il trasporto e l'indirizzo IP sui quali le richieste di
gestione possono essere accettate. I trasporti possono essere HTTP, HTTPS o entrambi. Con HTTP i
messaggi possono essere crittografati utilizzando NTLM o la crittografia Kerberos. Con HTTPS per
la crittografia viene utilizzato Secure Sockets Layer (SSL). È possibile esaminare i listener digitando
winrm enumerate winrm/config/listener. Come mostrato nel Listato 1-1, questo comando
visualizza i dettagli della configurazione dei listener configurati.
LISTATO 1-1 Configurazione di esempio per i Listener
Listener
Address = *
Transport = HTTP
Port = 80
Hostname
Enabled = true
URLPrefix = wsman
CertificateThumbprint
ListeningOn = 127.0.0.1, 192.168.1.225
Come impostazione predefinita, probabilmente, il computer è configurato per rimanere in ascolto
su qualunque indirizzo IP. Nel caso, non si vedrà alcun output. Per limitare WinRM su determinati
indirizzi IP, l'indirizzo di loopback locale (127.0.0.1) e gli indirizzi IPv4 e IPv6 assegnati possono essere
configurati esplicitamente per l'ascolto. Per configurare il computer per rimanere in ascolto per le
richieste su HTTP su tutti gli indirizzi IP configurati, digitare:
winrm create winrm/config/listener?Address=*+Transport=HTTP
È possibile rimanere in ascolto per richieste su HTTPS su tutti gli IP configurati sul computer
digitando:
winrm create winrm/config/listener?Address=*+Transport=HTTPS
In questo caso l'asterisco (*) indica tutti gli indirizzi IP configurati. Notare che la proprietà
CertificateThumbprint deve essere vuota per condividere la configurazione SSL con un altro servizio.
È possibile abilitare o dissabilitare un listener per uno specifico indirizzo IP digitando:
winrm set winrm/config/listener?Address=IP:192.168.1.225+Transport=HTTP
@{Enabled="true"}
oppure
winrm set winrm/config/listener?Address=IP:192.168.1.225+Transport=HTTP
@{Enabled="false"}
È possibile abilitare o disabilitare l'autenticazione di base su un client digitando:
winrm set winrm/config/client/auth @{Basic="true"}
oppure
winrm set winrm/config/client/auth @{Basic="false"}
28
È possibile abilitare o disabilitare l'autenticazione Windows utilizzando sia NTLM o Kerberos,
digitando:
winrm set winrm/config/client @{TrustedHosts="<local>"}
oppure
winrm set winrm/config/client @{TrustedHosts=""}
Oltre alla gestione di WinRM dalla riga di comando, è possibile gestire il servizio utilizzando i
criteri di gruppo. Conseguentemente le impostazioni dei Criteri di gruppo possono prevalere sulle
impostazioni inserire.
CAPITOLO 1
29

Capitolo d`esempio - Mondadori Informatica

Transcript

Documenti analoghi

Opzioni della Schermata di scelta del browser

eScan Internet Security Suite

B910 HD Webcam - Allnet.Italia Store

Data Solution di Marco Barraco – Piazzale Bligny 2

REQUISITI PER AVVIARE SECOND LIFE WINDOWS Windows

Blocked vlk windows xp

Internet Explorer e Mozilla Firefox

7 buoni motivi

documento - DuskZone