Capitolo d`esempio - Mondadori Informatica
Transcript
Capitolo d`esempio - Mondadori Informatica
CAPITOLO 1 Panoramica sull'amministrazione di Windows Server 2012 ■ Windows Server 2012 e Windows 8 4 ■ Introduzione a Windows Server 2012 ■ Opzioni risparmio energia ■ Strumenti e protocolli di rete ■ Controller di dominio, server membri e servizi di dominio ■ Servizi di risoluzione dei nomi ■ Strumenti utilizzati frequentemente 6 8 11 14 17 23 W indows Server 2012 è un sistema operativo server potente e versatile, completo di ogni funzionalità e basato sui miglioramenti forniti da Microsoft nella Release 2 di Windows Server 2008. Windows Server 2012 e Windows 8 condividono numerose funzionalità perché appartengono a un unico progetto di sviluppo. Queste funzionalità condivise hanno una base di codice comune per molte aree dei due sistemi operativi, tra cui la gestione, la protezione, la connessione in rete e l'archiviazione. Di conseguenza, è possibile applicare molto di ciò che si conosce su Windows 8 anche a Windows Server 2012. Questo capitolo contiene cenni introduttivi su Windows Server 2012 ed esamina gli effetti che la nuova architettura ha sull'uso e la gestione dei computer che eseguono Windows Server 2012. Nel corso di questo e degli altri capitoli del presente libro, sono anche inserite delle spiegazioni dettagliate sui miglioramenti alla sicurezza. Queste spiegazioni includono tecniche per il miglioramento di tutti gli aspetti della protezione dei computer, tra cui la protezione fisica, la protezione delle informazioni e la protezione di rete. Benché questo libro sia dedicato essenzialmente all'amministrazione di Windows Server 2012, i suggerimenti e le tecniche presentate in tutto il testo possono essere utili per chiunque supporti, sviluppi o gestisca il sistema operativo Windows Server 2012. 3 Windows Server 2012 e Windows 8 Prima di distribuire Windows Server 2012, si dovrebbe pianificare con cura l'architettura server. Durante la pianificazione dell'implementazione, è necessario osservare attentamente la configurazione software che sarà utilizzata e modificare la configurazione hardware di conseguenza per soddisfare i requisiti collegati su una base per-server. Per fornire una maggiore flessibilità nelle distribuzioni, è possibile implementare i server utilizzando uno dei tre tipi di installazione: ■ ■ ■ Server con GUI È un’opzione di installazione completa di tutte le funzionalità chiamata anche installazione full-server. È possibile configurare un server utilizzando qualsiasi combinazione permessa di ruoli, servizi ruolo e funzionalità e per la gestione del server è fornita un'interfaccia utente completa. Questa opzione di installazione rappresenta la soluzione più dinamica ed è consigliata per le distribuzioni di Windows Server 2012 in cui il ruolo server può cambiare nel corso del tempo. Installazione dei componenti core del server Un'opzione di installazione minima che fornisce un sottoinsieme fisso di ruoli ma non comprende la shell grafica del server, la console MMC o l'esperienza Desktop. È possibile configurare una installazione Core con un insieme limitato di ruoli. Viene fornita una interfaccia utente di base per la gestione del server e le principali attività di gestione sono svolte localmente mediante il prompt dei comandi o in remoto tramite gli strumenti di gestione. Questa opzione di installazione è adatta a situazioni in cui si desidera dedicare i server a un ruolo server specifico o a una combinazione di ruoli. Scegliendo di non installare le funzionalità aggiuntive si riduce l'overhead causato da altri servizi e si garantiscono maggiori risorse ai ruoli dedicati. Server con una installazione dell'interfaccia grafica minima Un tipo di installazione intermedia che si ottiene eseguendo una installazione completa e quindi rimuovendo la shell grafica del server. In questo modo rimane una interfaccia grafica minima, la MMC, Server Manager e un sottoinsieme del Pannello di controllo per la gestione locale. Questa opzione di installazione è ideale per situazioni in cui si desidera controllare attentamente le attività che possono essere eseguite sul server come anche tutti i ruoli e funzionalità installati, ma si desidera ancora usufruire dell'interfaccia grafica. Il tipo di installazione si sceglie durante l’installazione del sistema operativo. Rispetto alle precedenti versioni di Windows Server, è ora possibile modificare il tipo di installazione anche dopo aver installato il server. Una differenza chiave tra i tipi di installazione riguarda la presenza degli strumenti di gestione grafici e della shell grafica. Una installazione dei componenti core del server non ha componenti grafici; una installazione full-server li ha entrambi (strumenti di gestione grafici e shell grafica); l'installazione minima ha solo gli strumenti di gestione grafici. MAGGIORI INFORMAZIONI Diversi ruoli e funzionalità server richiedono la shell grafica, tra i quali il ruolo Server fax, Host sessione Desktop remoto, Servizi di distribuzione Windows e l'interfaccia utente per la stampa Internet. Inoltre, in visualizzatore eventi, la visualizzazione Dettagli richiede la shell grafica come succede anche per Windows Firewall . 4 CAPITOLO 1 Panoramica sull'amministrazione di Windows Server 2012 Come Windows 8, anche Windows Server 2012 dispone di queste funzionalità: ■ ■ ■ Modularizzazione per l'indipendenza dalla lingua e le immagini disco per l'indipendenza dall'hardware Ogni componente del sistema operativo è progettato come un modulo indipendente che si può aggiungere o togliere semplicemente. Questa funzionalità fornisce le basi per l'architettura della configurazione di Windows Server 2012. Microsoft distribuisce Windows Server 2012 su supporti con immagini disco in formato WIM (Windows Imaging) che utilizzano la compressione e l'archiviazione di istanze singole per ridurre significativamente la dimensione del file di immagini. Ambienti di preparazione all'Installazione e all'avvio Windows Preinstallation Environment 4.0 (Windows PE 4.0) sostituisce MS-DOS come ambiente di preinstallazione e fornisce un ambiente di startup avviabile per l'installazione, la distribuzione, il ripristino e la risoluzione dei problemi. Windows Preboot Environment fornisce un ambiente di avvio con un boot manager che permette di scegliere quale applicazione di boot avviare per caricare il sistema operativo. Sui sistemi con diversi sistemi operativi installati, si può accedere ai sistemi pre-Windows 7 nell'ambiente di avvio usando la voce del sistema operativo precedente. Controlli account utente e elevazione dei privilegi Il Controllo dell'account utente (UAC) migliora la sicurezza del computer garantendo una effettiva separazione tra gli account Utente standard e Administrator. Con UAC, tutte le applicazioni vengono eseguite usando sia privilegi amministrativi sia standard, e ogni volta che si tenta di eseguire un'applicazione che richiede privilegi amministrativi viene, per impostazione predefinita, visualizzata un avviso di protezione. Il modo in cui l'avviso di sicurezza funziona, dipende dalle impostazioni nei Criteri di gruppo. Se si effettua l'accesso con le credenziali di Amministratore, non verranno visualizzati avvisi di sicurezza. Le funzionalità di Windows 8 e Windows Server 2012 con basi di codice comuni hanno interfacce di gestione identiche. Infatti, quasi ogni utilità Panello di controllo disponibile in Windows Server 2012 è identica o quasi alla corrispondente utilità in Windows 8. Naturalmente in alcuni casi esistono delle eccezioni per ciò che riguarda le impostazioni standard predefinite. Poiché Windows Server 2012 non utilizza la classificazione delle prestazioni, i server Windows non hanno punteggi di Indice prestazioni Windows. Poiché Windows Server 2012 non utilizza lo stato Sospensione o gli stati correlati, i server Windows non dispongono delle funzionalità di sospensione, ibernazione o ripristino. Dato che solitamente non si utilizzano le opzioni di risparmio energia sui server Windows, Windows Server 2012 offre un insieme limitato di opzioni per il risparmio energetico. Inoltre Windows Server 2012 non include i miglioramenti Windows Aero, Windows Sidebar, Gadget di Windows e altri miglioramenti grafici. Ciò è dovuto al fatto che Windows Server 2012 è progettato per fornire prestazioni ottimali per attività connesse con il server e non per la personalizzazione avanzata dell'aspetto del desktop. Detto questo, quando si sta lavorando con una installazione full-server, è possibile abilitare la funzionalità Esperienza Desktop e quindi abilitare alcune funzionalità di Windows 8 sul server. Esperienza Desktop rende disponibile la funzionalità desktop sul server. Le funzionalità di Windows aggiunte includono Windows Media Player, Temi, Video (supporto per file AVI), Windows Defender, Pulitura disco, Centro sincronizzazione, Registratore di suoni, Mappa caratteri e Strumento di cattura. Sebbene queste funzionalità permettano di utilizzare un server come un computer desktop, esse possono ridurre le prestazioni generali del server. Panoramica sull'amministrazione di Windows Server 2012 CAPITOLO 1 5 Poiché le funzionalità comuni di Windows 8 e Windows Server 2012 sono molto simili, il testo non si sofferma sulla discussione delle modifiche all'interfaccia rispetto alle versioni precedenti del sistema operativo, sulla descrizione del funzionamento di Controllo account utente e così via. È possibie trovare una descrizione dettagliata di queste funzionalità in Microsoft Windows 8 Guida all'uso (Mondadori Informatica, 2012), che suggerisco di utilizzare insieme a questo libro. Oltre a trattare le varie attività di amministrazione, questo testo dedicato soprattutto all'uso del desktop esamina la personalizzazione del sistema operativo e dell'ambiente Windows, la configurazione di dispositivi hardware e di rete, la gestione degli accessi utente e delle impostazioni globali, la configurazione dei computer portatili e delle reti mobili, l'utilizzo della gestione remota e delle funzionalità di supporto remoto, la risoluzione dei problemi del sistema e molto altro. Nel presente libro, invece, viene approfondita l'amministrazione dei servizi di directory, la gestione dei dati e della rete. Introduzione a Windows Server 2012 Il sistema operativo Windows Server 2012 include diverse edizioni. Tutte quante supportano i processori multi core. È importante sottolineare che sebbene una edizione possa supportare solo un singolo processore (chiamato anche processore fisico), tale processore potrebbe avere otto core (chiamati anche processori logici). Windows Server 2012 è un sistema operativo solo a 64-bit. In questo libro, faccio riferimento ai sistemi a 64-bit progettati per l'architettura x64 come a sistemi a 64-bit . Dato che le differenti edizioni di Windows Server supportano le medesime funzionalità core e gli stessi strumenti di amministrazione, è possibile utilizzare le tecniche discusse in questo libro indipendentemente dall'edizione di Windows Server utilizzata. Quando si installa un sistema Windows Server 2012, lo si configura secondo il ruolo che svolge nella rete, basandosi sulle seguenti linee guida. ■ ■ ■ I server generalmente fanno parte di un gruppo di lavoro o di un dominio. I gruppo di lavoro sono associazioni libere di computer in cui ogni singolo computer è gestito separatamente. I domini sono raccolte di computer che è possibile gestire collettivamente mediante i controller di dominio, che sono sistemi Windows Server 2012 utili per gestire l'accesso alla rete, al database database delle directory e alle risorse condivise. NOTA In questo libro, Windows Server 2012 e la famiglia Windows Server 2012 fanno riferimento a tutte le versioni di Windows Server 2012. Le diverse versioni server supportano le stesse funzionalità e strumenti di amministrazione di base. A differenza di Windows Server 2008, Windows Server 2012 utilizza la schermata Start. Start è una finestra, non un menu. I programmi possono avere dei riquadri nella schermata Start. Toccando o facendo clic su un riquadro, si avvia il programma. Quando si tiene premuto o si fa clic con il tasto destro del mouse su un riquadro, appare un pannello delle opzioni. La barra degli accessi è un pannello delle opzioni di Start, Desktop e Impostazioni PC. Con l'interfaccia utente touch, la barra degli Accessi si visualizza scorrendo dalla destra dello schermo verso l'interno. Con un mouse e una tastiera, si può visualizzare la barra degli Accessi spostando il puntatore del mouse sopra il pulsante nascosto nell'angolo in alto o in basso a destra di Start, Desktop o premendo il tasto Windows + C. 6 CAPITOLO 1 Panoramica sull'amministrazione di Windows Server 2012 Toccare o fare clic sull'accesso Ricerca per visualizzare il pannello di ricerca. Qualunque testo viene digitato nella schermata Start viene inserito nella casella di ricerca all'interno del pannello di Ricerca. La casella Ricerca può poi focalizzarsi su App, Impostazioni o File. Se focalizzata su App, la ricerca di programmi installati è molto veloce. Se focalizzata su Impostazioni, si possono trovare facilmente impostazioni e opzioni del Pannello di controllo. Se focalizzata su File, la ricerca di file è molto veloce. Un modo veloce per aprire un programma è di premere il tasto Windows, scrivere il nome del file del programma e poi premere Invio. Questa scorciatoia funziona sempre quando la casella Ricerca è selezionata, e di solito lo è per impostazione predefinita. Premendo il tasto Windows si passa dalla schermata Start al desktop, o se si sta lavorando con le Impostazioni PC, si passa da Start a Impostazioni PC. Su Start, c'è un riquadro Desktop che, se toccato o cliccato, visualizza il desktop. È possibile visualizzare il desktop premendo anche il tasto Windows + D. Dalla schermata Start è possibile accedere al Pannello di controllo toccando o cliccando il relativo riquadro. Dal Desktop è possibile accedere al Pannello di controllo aprendo la barra degli accessi, toccando o cliccando Impostazioni e quindi toccando o cliccando Panello di controllo. Inoltre, visto che Esplora file è ancorato alla barra delle applicazioni del desktop come impostazione predefinita è possibile arrivare al Pannello di controllo seguendo questi passaggi: 1. Aprire Esplora file toccando o facendo clic sull'icona nella barra degli strumenti. 2. Toccare o fare clic sulla freccia più a sinistra nella barra degli indirizzi. 3. Toccare o fare clic su Pannello di controllo. La schermata Start e il Desktop hanno innumerevoli menu ai quali è possibile arrivare toccando e tenendo premuto o cliccando con il pulsante destro del mouse l'angolo inferiore sinistro dello schermo o il desktop. Le opzioni disponibili comprendono Prompt dei comandi, Prompt dei comandi (aministratore), Gestione dispositivi, Visualizzatore eventi, Sistema e Gestione attività. Nella schermata Start, il pulsante nascosto nell'angolo inferiore sinistro dello schermo mostra una visualizzazione in miniatura del desktop quando premuto. Toccando o cliccando la miniatura il desktop viene attivato. Nel desktop, il pulsante nascosto nell'angolo inferiore sinistro dello schermo mostra una visualizzazione in miniatura della schermata Start quando premuto. Toccando o cliccando la miniatura la schermata Start viene attivata. Tenere premuto o fare clic con il pulsante destro del mouse sulla miniatura apre il menu di scelta rapida. Arresta il sistema e Riavvia il sistema sono opzioni di Opzioni di risparmio energia. Questo significa che per spegnere o riavviare il server bisogna seguire questa procedura: 1. Visualizzare gli accessi scorrendo dal lato destro dello schermo verso l'interno o muovendo il puntatore del mouse nell'angolo inferiore destro dello schermo. 2. Toccare o fare clic su Impostazioni e poi su Arresta. 3. Toccare o fare clic su Arresta il sistema o Riavvia il sistema a seconda della necessità. In alternativa è anche possibile premere il pulsante di alimentazione sul computer per avviare la procedura di spegnimento. Se si sta utilizzando un sistema di classe desktop, e il computer ha un pulsante di sospensione, come impostazione predefinita questo pulsante è disabilitato, come succede anche con la chiusura del coperchio dei computer portatili. Inoltre, i server sono configurati in modo da spegnere il monitor dopo 10 minuti di inattività. Windows 8 e Windows Server 2012 supportano le specifiche Advanced Configuration and Power Interface (ACPI) 5.0. Windows utilizza ACPI per controllare le transizioni di stato dell'energia del Panoramica sull'amministrazione di Windows Server 2012 CAPITOLO 1 7 sistema e dei dispositivi mettendoli in modalità a basso consumo energetico o spenti per ridurre il consumo di energia. Le impostazioni di risparmio energetico di un computer derivano dalla combinazione di risparmio di energia attiva. È possibile accedere alle combinazioni per il risparmio di energia dal Pannello di controllo toccando o cliccando Sistema e sicurezza e quindi toccando o cliccando Opzioni risparmio energia. L'utilità Power Configuration (Powercfg.exe) di Windows 2012 permette di gestire le combinazioni per il risparmio di energia dalla riga di comando. Al prompt dei comandi è possibile visualizzare le combinazioni per il risparmio di energia configurate digitando il comando powercfg /l. La combinazione attiva è contrassegnata da un asterisco. La combinazione di risparmio di energia attiva predefinita in Windows Server 2012 è denominata Bilanciato. Questa combinazione è configurate per fare quanto segue: ■ ■ ■ ■ ■ ■ Non disattivare mai i dischi rigidi (al contrario di disattiva disco rigido dopo un certo periodo di tempo specificato). Timer di riattivazione disabilitato (al contrario di Consenti timer di riattivazione in presenza di eventi programmati) Impostazione sospensione selettiva USB abilitata (al contrario di Impostazione sospensione selettiva USB disabilitata) Risparmio energia stato collegamento moderato (al contrario di risparmio energia massimo). Aumentare la velocità della ventola di raffreddamento prima di rallentare il processore (al contrario di utilizzare la modalità passiva che diminuisce la velocità del processore prima di aumentare la velocità della ventola di raffreddamento). Utilizzare gli stati del processore minimo e massimo, se supportato (al contrario di utilizzare gli stati fissi) NOTA Il consumo energetico è una problematica importante, specialmente per quelle organizzazioni che stanno cercando di diventare più attente verso la salute del pianeta. Risparmiare energia vuol dire anche risparmiare soldi e, in alcuni casi, permette di installare più server nel datacenter. Per esempio, se si installa Windows Server 2012 su un laptop per eseguire un test, le impostazioni di risparmio energetico saranno leggermente differenti e saranno disponibili anche opzioni per quando il computer è in funzione solo con la batteria. Opzioni risparmio energia Quando si lavora con le impostazioni di risparmio energetico caratteristiche importanti sulle quali concentrarsi includono le seguenti: ■ Modalità di raffreddamento ■ Stati dei dispositivi ■ Stati del processore ACPI definisce modalità di raffreddamento attive e passive. Queste modalità di raffreddamento sono correlate l'un l'altra inversamente. ■ 8 La modalità di raffreddamento passiva riduce le prestazioni del sistema ma è più silenziosa perché le ventole fanno meno rumore. In questa modalità, Windows riduce il consumo di energia per ridurre le temperature di esercizio a scapito delle prestazioni. CAPITOLO 1 Panoramica sull'amministrazione di Windows Server 2012 ■ ■ Qui Windows riduce la velocità del processore per raffreddare il computer prima di aumentare la velocità delle ventole, che aumenterebbe il consumo di energia. La modalità di raffreddamento attiva massimizza le prestazioni del sistema. In questa modalità, Windows aumenta il consumo di energia per ridurre la temperatura della macchina. Qui Windows aumenta la velocità delle ventole per raffreddare il computer prima di provare a ridurre la velocità del processore. Il criterio di risparmio energia comprende un limite alto e uno basso per lo stato del processore definiti rispettivamente Livello massimo prestazioni del processore e Livello minimo prestazioni del processore. Questi stati sono implementati utilizzando una funzionalità di ACPI 3.0 e successive definita processor throttling e determinano la quantità di stati di prestazione del processore che Windows può sfruttare. Impostando il valore minimo e massimo si definiscono i confini per gli stati di prestazioni del sistema permessi oppure è possibile impostare il medesimo valore per ambedue per rimanere in uno specifico stato di prestazioni. Windows riduce il consumo di energia regolando la velocità del processore. Per esempio, se il limite massimo è impostato al 100% e quello minimo al 5%, Windows può regolare il processore all'interno di questo range se il carico di lavoro permette di ridurre il consumo di energia. In un computer con un processore a 3-GHz, Windows potrebbe regolare la frequenza del processore tra i .15 GHz e i 3.0 GHz. Il throttling del processore e i relativi stati del processore sono stati introdotti con Windows XP e non sono una novità, ma sono stati progettati per computer con processore fisico e non per computer con processori logici. Ne consegue che non sono efficaci nel ridurre il consumo di energia nei computer con processore logico. Windows 7 e versioni successive di Windows riducono il consumo di energia con i processori multicore sfruttando una funzionalità di ACPI 4.0 chiamata inattività del processore logico e aggiornando le funzionalità di regolazione della velocità del processore in modo che possano lavorare con i core dei processori. L'inattività del processore logico è progettata per assicurare che Windows impieghi il minor numero possibile di core del processore per un dato carico di lavoro. Windows ottiene questo risultato consolidando i carichi di lavoro all'interno del minor numero possibile di core e sospendendo quelli inattivi. Appena si rende necessario una maggior quantità di potenza di calcolo, Windows attiva i core necessari. Questa funzionalità lavora insieme alla gestione degli stati di prestazione del processore a livello di core. ACPI definisce gli stati di prestazione del processore come p-state, e quelli di inattività del processore come c-state. Gli stati di prestazione del processore comprendono P0 (il processore/core utilizza la sua massima potenza e può consumare il massimo livello di energia), P1 (il processore/core utilizza meno della sua massima potenza e consuma meno energia) e Pn (dove lo stato n è il numero massimo che dipende dal processore e il processore/core lavora alla sua potenza minima e consuma una quantità di energia minima rimanendo in uno stato di attività). Gli stati di inattività del processore comprendono C0 (il processore/core può eseguire istruzioni), C1 (il processore/core ha la latenza più bassa e si trova in uno stato di consumo di energia di non esecuzione), C2 (il processore/core ha una latenza più lunga per migliorare il risparmio energetico rispetto allo stato C1) e C3 (il processore/core ha la latenza massima per migliorare il risparmio energetico rispetto agli stati C1 e C2). Panoramica sull'amministrazione di Windows Server 2012 CAPITOLO 1 9 MAGGIORI INFORMAZIONI ACPI 4.0 fu finalizzata in giugno 2009 e ACPI 5.0 fu finalizzata in dicembre 2011. I computer prodotti prima di questo periodo facilmente non disporranno di un firmware pienamente compatibile e probabilmente sarà necessario aggiornarlo non appena una versione compatibile sarà disponibile. In alcuni casi, soprattutto con hardware datato, potrebbe non essere possibile aggiornare il firmware del computer per renderlo pienamente compatibile con ACPI 4.0 o ACPI 5.0. Per esempio, se si stanno configurando le opzioni per il risparmio di energia e non sono disponibili gli stati minimo e massimo del processore, il firmware del computer non è pienamente compatibile con ACPI 3.0 e facilmente non supporterà anche ACPI 4.0 o ACPI 5.0. In ogni caso, conviene sempre controllare sul sito del produttore dell'hardware per vedere se sono disponibili aggiornamenti per il firmware. Windows modifica lo stato del processore/core tra qualunque stato P e dallo stato C1 a quello C0 in modo praticamente istantaneo (frazioni di millisecondi) e ha la tendenza a non utilizzare stati più bassi in modo che non ci si debba preoccupare dell'impatto sulle prestazioni quando si regolano o si "svegliano" i processori /core. I processori/core sono disponibili quando servono. Detto questo, il modo più semplice per limitare la gestione del risparmio di energia del processore è quello di impostare il limite minimo e massimo dello stato del processore al 100%. L'inattività del processore logico è utilizzata per ridurre il consumo di energia togliendo un processore logico dall'elenco di lavoro senza affinità di processore del sistema operativo. Tuttavia, dato che il lavoro con affinità di processore riduce l'efficienza di questa funzionalità, bisogna pianificare con attenzione prima di impostare affinità di processo per le applicazioni. Gestione risorse di sistema Windows permette di gestire le risorse del processore attraverso obiettivi di percentuale di utilizzo del processore e regole di affinità. Ambedue le tecniche riducono l'efficienza dell'inattività del processore logico. Windows risparmia energia cambiando gli stati P e C in modo appropriato. Su un computer con quattro processori logici, Windows potrebbe usare p-state da 0 a 5, dove P0 permette un utilizzo del 100 percento, P1 permette un utilizzo del 90 percento, P2 permette un utilizzo dell'80 percento, P3 permette un utilizzo del 70 percento, P4 permette un utilizzo del 60 percento e P5 permette un utilizzo del 50 percento. Quano il computer è attivo, il processore logico 0 sarebbe attivo in uno stato p-state da 0 a 5 e gli altri processori probabilmente sarebbero nello stato p-state appropriato o in uno stato di sospensione. La figura 1-1 ne illustra un esempio. Qui il processore logico 1 funziona al 90 percento, il processore logico 2 funziona all'80 percento, il processore logico 3 funziona al 50 percento e il processore logico 4 è in uno stato di sospensione. Processore - core 1 Utilizzo Processore - core 2 Utilizzo Processore - core 3 Utilizzo Processore - core 4 Utilizzo FIGURA 1-1 Comprendere gli stati del processore 10 CAPITOLO 1 Panoramica sull'amministrazione di Windows Server 2012 ESPERIENZA DIRETTA ACPI 4.0 e ACPI 5.0 definiscono quattro stati di risparmio energetico globali. In G0, lo stato in cui il software è in funzione, il consumo di energia è ai livelli massimi e la latenza ai livelli minimi. In G1, lo stato di sospensione, il software non è in funzione, la latenza varia con lo stato di sospensione e il consumo di energia è inferiore rispetto allo stato G0. In G2, (conosciuto anche come stato di sospensione S5), lo stato di spegnimento soft, il sistema operativo non è in funzione, la latenza è lunga e il consumo di energia è praticamente molto vicino allo zero. In G3, lo stato di spegnimento meccanico, il sistema operativo non è in funzione, la latenza è lunga e il consumo di energia è zero. Esiste anche uno speciale stato globale conosciuto come S4, sospensione non volatile, nel quale il sistema operativo scrive tutti i dati di contesto in un file o in un media di archiviazione non volatile, permettendo il salvataggio e il ripristino del contesto di sistema. All'interno dello stato globale G1 si trovano: S1 è uno stato di sospensione dove tutto il contesto di sistema è mantenuto. S2 è uno stato di sospensione simile a S1 con l'eccezione che CPU e i contesti nella cache di sistema sono perduti e il controllo parte da un reset. S3 è uno stato di sospensione dove tutti i contesti di CPU, cache e chipset sono perduti e l'hardware mantiene il contesto della memoria e ripristina alcuni contesti di configurazione di CPU e cache L2. S4 è uno stato di sospensione dove si presume che l'hardware abbia spento tutti i dispositivi per ridurre il consumo di energia al minimo e solo il contesto di piattaforma è mantenuto. S5 è uno stato di sospensione dove si presume che sia in uno stato di spegnimento soft, e non viene mantenuto alcun contesto e quindi è richiesto un riavvio completo del sistema. Anche i dispositivi hanno uno stato di consumo energia. D0, lo stato di completo funzionamento, consuma il più alto livello di energia. D1 e D2 sono stati intermedi che i dispositivi potrebbero non utilizzare. D3hot è uno stato di risparmio energia dove il dispositivo può essere enumerato a livello software e facoltativamente il dispositivo potrebbe preservare il proprio contesto. D3 è uno stato di completo spegnimento dove il contesto del dispositivo è perduto e il sistema operativo deve reinizializzare il dispositivo per riaccenderlo. Strumenti e protocolli di rete Windows Server 2012 ha un pacchetto di strumenti di rete, in cui sono inclusi Esplora rete, Centro connessioni di rete e condivisione e Diagnostica di rete. FIGURA 1-2 Centro connessioni di rete e condivisione fornisce l'accesso rapido a opzioni di condivisione, individuazione e connessioni di rete. Panoramica sull'amministrazione di Windows Server 2012 CAPITOLO 1 11 Informazioni sulle opzioni di rete La configurazione delle impostazioni di condivisione e individuazione di Centro connessioni di rete e condivisione determina le impostazioni di base della rete. Quando le impostazioni di individuazione della rete sono attive e un server è collegato a una rete, il server può vedere altri computer e dispositivi di rete e diviene visibile sulla rete. Attivando o disattivando le impostazioni di condivisione, si consentono o limitano le diverse opzioni di condivisione. Come descritto nel capitolo 12 relativo alla protezione e al controllo della condivisione dei dati, tra le opzioni di condivisione è inclusa la condivisione di file, di cartelle pubbliche, di stampanti e la condivisione protetta da password. Con Windows 8 e Windows Server 2012, le reti possono appartenere a uno dei seguenti tipi: ■ ■ ■ ■ Dominio Una rete di dominio i cui computer sono collegati al dominio aziendale cui appartengono. Privato Una rete privata i cui computer sono configurati come membri di un gruppo di lavoro e non sono collegati direttamente alla rete Internet pubblica. Home Una rete privata i cui computer sono configurati come membri di un gruppo Home e non sono collegati direttamente alla rete Internet pubblica. Pubblico Una rete pubblica i cui computer sono collegati alla rete di un luogo pubblico, come un bar o un aeroporto, invece che a una rete interna. Queste tipologie di rete sono organizzate in tre categorie: Privato, Guest o Pubblico e Dominio. Ogni categoria di rete ha associato un profilo. Poiché un computer salva le impostazioni di condivisione e del firewall separatamente per ogni categoria di rete, è possibile utilizzare blocchi e permettere impostazioni diverse per ogni categoria di rete. Quando ci si collega a una rete, si apre una finestra di dialogo che permette di specificarne la categoria. Se si seleziona privata e il computer determina che è collegata al dominio aziendale cui appartiene, la categoria di rete è impostata a Dominio. Basandosi sulla categoria di rete, Windows Server configura le impostazioni che attivano o disattivano il rilevamento. Lo stato On (abilitato) indica che il computer è in grado di rilevare altri computer e dispositivi di rete e viceversa. Lo stato Off (disabilitato) indica che il computer non è in grado di rilevare altri computer e dispositivi di rete e viceversa. Il rilevamento e la condivisione dei file possono essere abilitate nelle finestre Rete o nelle impostazioni di condivisione avanzate nel Centro connessioni di rete e condivisione. Tuttavia, il rilevamento e la condivisione dei file non sono consentiti su una rete pubblica; ciò comporta un incremento del livello di protezione impedendo ai computer in rete di rilevare gli altri computer e dispositivi collegati. Quando queste funzioni sono disabilitate, i file e le stampanti condivisi da questo computer non sono accessibili dalla rete. Inoltre, alcuni programmi potrebbero non essere in grado di accedere alla rete. Utilizzo dei protocolli di rete Per permettere a un server di accedere a una rete, è necessario installare la connessione TCP/IP e una scheda di rete. Windows Server utilizza TCP/IP come protocollo WAN (Wide Area Network) predefinito. 12 CAPITOLO 1 Panoramica sull'amministrazione di Windows Server 2012 Di norma, la connessione in rete è configurata durante l'installazione del sistema operativo. I protocolli TCP/IP possono anche essere installati tramite le proprietà delle connessioni LAN. I protocolli TCP e IP consentono ai computer di comunicare attraverso reti diverse e reti Internet utilizzando le schede di rete. Windows 7 e versioni successive di Windows si basano su un’architettura a layer IP duale in cui IPv4 (Internet Protocol Version 4) e IPv6 (Internet Protocol Version 6) sono entrambe implementate e condividono layer di rete e trasporto comune. IPv4 ha indirizzi a 32 bit ed è la versione principale di IP utilizzata in molte reti, inclusa Internet. D'altro canto, IPv6 ha un indirizzamento a 128-bit ed è la versione di IP di nuova generazione. NOTA I client DirectAccess mandano solo traffico IPv6 sulla connessione DirectAccess verso il server DirectAccess. Grazie al supporto NAT64/DNS64 su un server DirectAccess Windows Server 2012, i client DirectAccess possono avviare la comunicazioni con gli host solo-IPv4 sulla intranet. NAT64/DNS64 lavorano insieme per tradurre il traffico delle connessione in entrata da un nodo IPv6 in traffico IPv4. NAT64 traduce il traffico IPv6 in traffico IPv4 ed esegue la traduzione inversa del traffico di risposta. Il DNS64 risolve il nome di un host solo-IPv4 in un indirizzo tradotto IPv6. ESPERIENZA DIRETTA La funzionalità TCP Chimney Offload fu introdotta con Windows Vista e Windows Server 2008. Questa funzionalità permette al sottosistema di rete di scaricare l'elaborazione di una connessione TCP/IP dal processore del computer al suo adattatore di rete ammesso che l'adattatore di rete supporti la funzionalità. Sia le connessioni TCP/IPv4 sia quelle TCP/IPv6 possono essere scaricate. Per Windows 7 e versioni successive di Windows, per impostazione predefinita, le connessioni TCP su schede di rete a 10 gigabit sono scaricate; sulle schede a 1 gigabit questo non avviene come impostazione predefinita. Per abilitare la funzionalità sulle schede di rete da 1 o 10 gigabit digitare il seguente comando in un prompt di comandi con privilegi di amministrazione: netsh int tcp set global chimney=enabled. È possibile controllare lo stato digitando netsh int tcp show global. Sebbene questa funzionalità funzioni anche con Windows Firewall, non verrà usata con IPsec, Hyper-V, bilanciamento del carico di rete o il servizio NAT. Per determinare se la funzionalità di offload è attiva, digitare netstat-t e controllare lo Stato offload. Lo Stato offload è elencato come offloaded o inhost. Windows utilizza anche receive-side scaling (RSS) e network direct memory access (NetDMA). È possibile abilitare o disabilitare RSS digitando netsh int tcp set global rss=enabled o netsh int tcp set global rss=disabled rispettivamente. Per verificare lo stato di RSS, digitare netsh int tcp show global. È possibile abilitare o disabilitare NetDMA impostando un valore DWord a 1 o 0 rispettivamente sotto la chiave del registro di configurazione EnableTCPA. Questa voce del registro si trova sotto HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. Gli indirizzi a 32 bit di IPv4 sono solitamente espressi sotto forma di quattro valori decimali separati, per esempio 127.0.0.1 oppure 192.168.10.52. I quattro valori decimali sono definiti ottetti, poiché ognuno rappresenta 8 dei 32 bit dell’indirizzo. Negli indirizzi IPv4 unicast standard, una parte variabile dell'indirizzo IP rappresenta l'ID di rete, mentre una parte variabile rappresenta l’ID host. L’indirizzo IPv4 dell’host e l’indirizzo interno della macchina (MAC) utilizzato dalla scheda di rete dell’host non hanno correlazione. Panoramica sull'amministrazione di Windows Server 2012 CAPITOLO 1 13 Gli indirizzi IPv6 a 128 bit sono suddivisi in otto blocchi di 16 bit delimitati da due punti. Ogni blocco da 16-bit è espresso in notazione esadecimale, come FEC0:0:0:02BC:FF:BECB:FE4F:961D. Negli indirizzi standard unicast IPv6, i primi 64 bit rappresentano l’ID di rete e gli ultimi 64 bit rappresentano l'interfaccia di rete. Poiché molti blocchi di indirizzi IPv6 sono impostati a 0, un insieme contiguo di blocchi 0 può essere espresso come "::", una notazione definita notazione a doppi due punti (double-colon notation). Utilizzando la notazione double-colon, i due blocchi 0 nell'indirizzo precedente possono essere compressi come FEC0::02BC:FF:BECB:FE4F:961D. Tre o più blocchi 0 sono compressi nello stesso modo. Per esempio, FFE8:0:0:0:0:0:0:1 diventa FFE8::1. Quando l'hardware di rete è individuato durante l'installazione del sistema operativo, sia IPv4 sia IPv6 sono abilitati per impostazione predefinita. Non è necessario installare un componente separato per abilitare il supporto di IPv6. L'architettura IP modificata di Windows 7 e versioni successive di Windows è definita stack TCP/IP di ultima generazione e include molte ottimizzazioni che migliorano la modalità di utilizzo di IPv4 e IPv6. Controller di dominio, server membri e servizi di dominio Quando si installa Windows Server 2012 su un nuovo sistema, è possibile configurare il server in modo che sia un server membro, un controller di dominio o un server autonomo. Le differenze fra questi tipi di server sono estremamente importanti. I server membri costituiscono una parte di un dominio, ma non memorizzano informazioni relative alla directory. I controller di dominio si distinguono dai server membri perché essi memorizzano informazioni relative alla directory e forniscono servizi di autenticazione e di directory per il dominio. I server autonomi non costituiscono una parte di un dominio. Poiché i server autonomi hanno i propri database utente, autenticano le richieste di accesso in modo indipendente. Utilizzo di Active Directory Windows Server 2012 supporta un modello di replica multimaster. In questo modello, qualsiasi controller di dominio può elaborare le modifiche alla directory e replicare poi automaticamente tali modifiche in altri controller di dominio. Windows Server distribuisce una intera directory di informazioni chiamata archivio dati. L’archivio dati contiene insiemi di oggetti che rappresentano utenti, gruppi e account di computer, oltre a risorse condivise quali server, file e stampanti. I domini che utilizzano Active Directory sono definiti domini Active Directory. Anche se i domini Active Directory possono funzionare con un solo controller di dominio, è possibile e consigliabile configurare più controller di dominio nel dominio. In tal modo, se un controller di dominio presenta malfunzionamenti, sarà possibile fare affidamento sugli altri controller di dominio per la gestione dell’autenticazione e di altre attività critiche. Microsoft ha modificato Active Directory in diversi e fondamentali modi per la release originale di Windows Server 2008. Ne risulta che Microsoft ha riallineato la funzionalità di directory e ha creato una famiglia di servizi correlati, compresi i seguenti: ■ 14 Servizi certificati Active Directory (AD CS) AD CS fornisce le funzioni necessarie per emettere e revocare i certificati digitali per utenti, computer client e server. AD CS utilizza le Autorità di certificazione (CA) responsabili di confermare l'identità di utenti e CAPITOLO 1 Panoramica sull'amministrazione di Windows Server 2012 computer ed emettere certificati di conferma di queste identità. I domini hanno CA radice dell'organizzazione, che sono i server dei certificati alla radice delle gerarchie di certificato per i domini nonché i server dei certificati più attendibili dell'organizzazione e le CA subordinate, che sono membri di una particolare gerarchia di certificati dell'organizzazione. I gruppi di lavoro hanno CA radice autonome,ovvero server dei certificati alla radice delle gerarchie di certificato esterne all'organizzazione e CA subordinate autonome, che sono membri di una particolare gerarchia di certificati non dell'organizzazione. ■ ■ ■ ■ Servizi di dominio Active Directory (AD DS) AD DS fornisce i servizi di directory essenziali per la definizione di un dominio, compreso l'archivio di dati che memorizza le informazioni sugli oggetti in rete rendendole disponibili agli utenti. AD DS utilizza i controller di dominio per gestire l'accesso alle risorse di rete. Dopo che gli utenti si sono autenticati accedendo a un dominio, le loro credenziali archiviate possono essere utilizzate per accedere alle risorse sulla rete. Poiché AD DS è il cuore di Active Directory ed è indispensabile per le applicazioni e le tecnologie abilitate all'uso delle directory, in questo testo è definito semplicemente Active Directory, piuttosto che Servizi di dominio Active Directory o AD DS. Active Directory Federation Services (AD FS) AD FS completa le funzionalità di autenticazione e di gestione degli accessi di AD DS estendendole al World Wide Web. AD FS utilizza gli agenti Web per fornire agli utenti l'accesso ad applicazioni e proxy Web ospitati internamente per gestire l'accesso ai client. Dopo che AD FS è stato configurato, gli utenti possono utilizzare le proprie identità digitali per autenticarsi sul Web e accedere ad applicazioni Web ospitate internamente utilizzando un browser Web come Internet Explorer. Active Directory Lightweight Directory Services (AD LDS) AD LDS fornisce un archivio di dati per le applicazioni abilitate per le directory che non richiedono AD DS e non devono essere implementate nei controller di dominio. AD LDS non è eseguito come un servizio di sistema operativo e può essere utilizzato negli ambienti di dominio e di gruppo di lavoro. Ogni applicazione eseguita su un server può avere il proprio archivio di dati implementato attraverso AD LDS. Active Directory Rights Management Services (AD RMS) AD RMS fornisce un livello di protezione per le informazioni di un'azienda che possono uscire dall'azienda stessa, permettendo la protezione contro accessi non autorizzati a messaggi di posta elettronica, documenti, pagine Web di intranet e molto altro. AD RMS utilizza un servizio per emettere certificati per account con diritti che identificano utenti, gruppi e servizi autorizzati, un servizio di licenze che fornisce ad utenti, gruppi e servizi autorizzati l'accesso a informazioni protette e un servizio di registrazione per controllare e gestire il servizio di gestione dei diritti. Una volta concessa l'autorizzazione, gli utenti con un certificato per account con diritti possono assegnare i diritti alle informazioni. Questi diritti controllano quali utenti possono accedere alle informazioni e che cosa ne possono fare. Gli utenti con i certificati per account con diritti possono anche accedere al contenuto protetto al quale sono stati autorizzati ad accedere. La crittografia garantisce che l'accesso alle informazioni protette sia controllato sia all'interno che all'esterno dell'azienda. Microsoft ha introdotto degli ulteriori cambiamenti in Windows Server 2012. Questi cambiamenti includono un nuovo livello di funzionalità del dominio chiamato Livello di funzionalità del dominio Panoramica sull'amministrazione di Windows Server 2012 CAPITOLO 1 15 Windows Server 2012 e un nuovo livello di funzionalità della foresta chiamato Livello di funzionalità della foresta Windows Server 2012. Molti di questi cambiamenti sono discussi nel capitolo 6 relativo all'utilizzo di Active Directory. Utilizzo dei controller di dominio di sola lettura Windows Server 2008 e versioni successive supportano i controller di dominio di sola lettura e i Servizi di dominio Active Directory riavviabili. Un controller di dominio di sola lettura (RODC) è un controller di dominio aggiuntivo che ospita una replica di sola lettura dell'archivio di dati Active Directory di un dominio. GIi RODC sono ideali per le filiali in cui la protezione fisica di un controller di dominio non può essere garantita. Gli RODC memorizzano gli stessi oggetti e attributi dei controller di dominio scrivibili, tranne le password. Questi oggetti e questi attributi sono replicati negli RODC utilizzando una replica unidirezionale da un di controller di dominio scrivibile, che agisce quindi da partner di replica. Poiché gli RODC per impostazione predefinita memorizzano solo le password o le credenziali dei propri account di computer e account Kerberos Target (krbtgt), gli RODC ottengono le credenziali di utenti e computer da un controller di dominio scrivibile che esegue Windows Server 2008 o successivo. Se consentito da un criterio di replica delle password applicato sul controller di dominio scrivibile, lo RODC recupera le credenziali e le inserisce nella cache quando necessario fino a che queste cambiano. Il fatto che in un RODC sia memorizzato solo un sottoinsieme di credenziali, limita il numero di credenziali che possono essere potenzialmente compromesse. SUGGERIMENTO Qualsiasi utente di dominio può essere delegato come amministratore locale di un RODC senza avere altri diritti nel dominio. Un RODC non può agire da catalogo globale né può avere il ruolo di master delle operazioni. Benché gli RODC possano ottenere le informazioni dai controller di dominio che eseguono Windows Server 2003, essi possono recuperare gli aggiornamenti della partizione di dominio solo da un controller di dominio Windows Server 2008 o successivo scrivibile nello stesso dominio. Utilizzo dei Servizi di dominio Active Directory riavviabili I Servizi di dominio Active Directory riavviabili sono una funzionalità che permette a un amministratore di avviare e interrompere AD DS. Nella console Servizi, Servizi di dominio Active Directory è disponibile sui controller di dominio e permette di interrompere e riavviare facilmente ADDS, come qualsiasi altro servizio eseguito localmente sul server. Mentre AD DS non è attivo, è possibile eseguire le attività di manutenzione che altrimenti richiederebbero il riavvio del server, come per esempio eseguire la deframmentazione non in linea del database Active Directory, applicare gli aggiornamenti al sistema operativo oppure avviare un ripristino autorevole. Mentre AD DS non è attivo su un server, altri controller di dominio possono gestire le attività di autenticazione e di accesso. Le credenziali memorizzate nella cache, le smart card e i metodi di accesso biometrico continuano a essere supportati. Se nessun altro controller di dominio è disponibile e nessuno di questi metodi di accesso è utilizzato, è possibile comunque accedere al server utilizzando l'account e la password della modalità di ripristino dei servizi directory. Tutti i controller di dominio che eseguono Windows Server 2008 o successivo supportano i Servizi di dominio Active Directory riavviabili, persino RODC. In qualità di amministratore, è possibile avviare 16 CAPITOLO 1 Panoramica sull'amministrazione di Windows Server 2012 o interrompere AD DS utilizzando la voce Controller di dominio nell'utilità Servizi. Grazie ai Servizi di dominio Active Directory riavviabili, i controller di dominio che eseguono Windows Server 2008 o successivo possono assumere tre stati: ■ ■ ■ Active Directory Avviato In questo stato, Active Directory è avviato e il controller di dominio ha lo stesso stato di esecuzione di un controller di dominio che esegue Windows 2000 Server o Windows Server 2003. Questo permette al controller di dominio di fornire l'autenticazione e i servizi di accesso per un dominio. Active Directory Arrestato In questo stato, Active Directory è arrestato e il controller di dominio non può più fornire i servizi di autenticazione e accesso per un dominio. Questa modalità condivide alcune caratteristiche di un server membro e di controller di dominio in modalità ripristino servizi directory. Come nel caso di un server membro, il server è unito al dominio. Gli utenti possono accedere interattivamente utilizzando credenziali memorizzate nella cache, smart card e metodi di accesso biometrico. Gli utenti possono anche accedere dalla rete utilizzando un altro controller di dominio per l'accesso al dominio. Come nella modalità ripristino servizi directory (DSRM), il database Active Directory (Ntds.dit) sul controller di dominio locale non è in linea. Ciò significa che è possibile eseguire le operazioni AD DS non in linea, come la deframmentazione del database e gli aggiornamenti di protezione delle applicazioni senza dovere riavviare il controller di dominio. Modalità ripristino servizi directory In questo stato, Active Directory è nella modalità di ripristino. Il controller di dominio si trova nello stato di ripristino come un controller di dominio che esegue Windows Server 2003. Questa modalità permette di eseguire un ripristino autorevole o non autorevole del database Active Directory. Quando si utilizza AD DS nello stato Interrotto, è importante ricordare che anche i servizi dipendenti si interrompono quando si ferma AD DS. Ciò significa che i servizi Replica file (FRS), Centro di distribuzione chiave Kerberos (KDC) e di messaggistica tra siti si interrompono prima dell'interruzione di Active Directory e che, anche se rimangono in esecuzione, questi servizi dipendenti vengono riavviati al riavvio di Active Directory. Inoltre, sebbene sia possibile riavviare un controller di dominio in modalità ripristino servizi directory, ma è impossibile avviare un controller di dominio nello stato Active Directory Interrotto. Per impostare lo stato Interrotto, è necessario prima avviare il controller di dominio normalmente e quindi interrompere AD DS. Servizi di risoluzione dei nomi I sistemi operativi Windows utilizzano la risoluzione dei nomi per agevolare le comunicazioni con altri computer su una rete. La risoluzione dei nomi associa i nomi di computer agli indirizzi IP numerici utilizzati per le comunicazioni di rete. In tal modo, invece di utilizzare lunghe stringhe di cifre, gli utenti possono accedere a un computer sulla rete utilizzando un nome. I sistemi operativi Windows attuali, offrono il supporto nativo di tre sistemi di risoluzione dei nomi ■ Domain Name System (DNS) ■ Windows Internet Name Service (WINS) ■ Link-Local Multicast Name Resolution (LLMNR) Questi servizi sono descritti nelle sezioni successive. Panoramica sull'amministrazione di Windows Server 2012 CAPITOLO 1 17 Utilizzo di Domain Name System DNS è un servizio di risoluzione dei nomi che risolve i nomi del computer in indirizzi IP. Utilizzando DNS, il nome host completo computer84.cpandl.com, per esempio, potrebbe essere risolto in un indirizzo IP che permette ai computer di individuarsi reciprocamente. DNS funziona sullo stack di protocolli TCP/IP e può essere integrato in WINS, DHCP (Dynamic Host Configuration Protocol) e Servizi di dominio Active Directory. Come descritto nel capitolo 15 relativo all'esecuzione di client e server DHCP, DHCP è utilizzato per l'indirizzamento dinamico IP e la configurazione TCP/IP. DNS organizza i gruppi di computer in domini. Questi domini sono organizzati in una struttura gerarchica che può essere definita su scala Internet per reti pubbliche o a livello di azienda per le reti private (anche dette intranet ed extranet). I diversi livelli all'interno della gerarchia identificano i singoli computer, domini organizzativi e domini di primo livello. Nel nome host completo computer84.cpandl.com, computer84 rappresenta il nome host di un singolo computer, cpandl è il dominio organizzativo e com è il dominio di primo livello. I domini di primo livello sono alla radice della gerarchia DNS e sono quindi anche detti domini radice. Questi domini sono ripartiti geograficamente, per tipo di azienda e per funzione. I domini normali, come cpandl.com, sono anche definiti domini padre. Essi sono chiamati domini padre perché sono i padri di una struttura organizzativa. I domini padre possono essere divisi in sottodomini, che potrebbero essere utilizzati per gruppi o reparti all'interno di un'azienda. I sottodomini sono spesso chiamati domini figlio. Per esempio, il nome di dominio completo (FQDN) per un computer all'interno di un gruppo del reparto Risorse Umane potrebbe essere jacob. hr.cpandl.com. In questo caso jacob è il nome host, hr è il dominio figlio e cpandl.com è il dominio padre. I domini Active Directory utilizzano DNS per implementare la propria struttura e gerarchia dei nomi. Active Directory e DNS sono completamente integrati, tanto che sulla rete sarebbe necessario installare DNS prima di poter installare i controller di dominio utilizzando Active Directory. Durante l'installazione del primo controller di dominio su una rete Active Directory, si ha l'opportunità di decidere se installare DNS automaticamente, quando un server DNS non viene trovato nella rete. Si può anche specificare se DNS e Active Directory devono essere integrati completamente. Nella maggior parte dei casi, si risponde affermativamente a entrambe le richieste. Con l'integrazione completa, le informazioni DNS sono archiviate direttamente in Active Directory. Ciò permette di sfruttare le funzionalità di Active Directory. La differenza tra l’integrazione parziale e quella completa è di importanza fondamentale: ■ 18 Integrazione parziale Con l’integrazione parziale, il dominio utilizza un metodo standard di memorizzazione dei file. Le informazioni DNS sono archiviate in file basati su testo che terminano con l'estensione .dns e l'ubicazione predefinita di questi file è %SystemRoot%System32Dns. Gli aggiornamenti a DNS sono gestiti attraverso un singolo server autorevole DNS. Tale server è designato, come il server primario DNS, per un dominio particolare o un’area compresa all’interno di un dominio, definito zona. I client che usano gli aggiornamenti DNS dinamici attraverso DHCP devono essere configurati per utilizzare il server DNS primario nella zona. Se questa configurazione non è eseguita, le loro informazioni DNS non saranno aggiornate. Allo stesso modo, non è possibile effettuare aggiornamenti dinamici mediante DHCP se il server primario DNS non è in linea. CAPITOLO 1 Panoramica sull'amministrazione di Windows Server 2012 ■ Integrazione completa Con l’integrazione completa, il dominio utilizza un metodo di memorizzazione integrato con la directory. Le informazioni DNS sono memorizzate direttamente in Active Directory e sono disponibili attraverso il contenitore per l'oggetto dnsZone. Poiché le informazioni fanno parte di Active Directory, qualsiasi controller di dominio può accedere ai dati ed è possibile utilizzare un approccio multimaster per gli aggiornamenti dinamici attraverso DHCP. In questo modo qualsiasi controller di dominio può eseguire il servizio DNS Server per gestire gli aggiornamenti dinamici. Inoltre, i client che utilizzano gli aggiornamenti DNS dinamici attraverso DHCP possono utilizzare qualsiasi server DNS all'interno della zona. Un ulteriore vantaggio dell’integrazione della directory consiste nella capacità di utilizzare la protezione della directory per controllare l’accesso alle informazioni DNS. Osservare le modalità con cui le informazioni DNS vengono replicate in tutta la rete, permette di cogliere i vantaggi dell’integrazione completa con Active Directory. Con l'integrazione parziale, le informazioni DNS sono archiviate e replicate separatamente da Active Directory. Con due strutture separate, si riduce l'efficacia di DNS e di Active Directory complicando le attività amministrative. Poiché DNS è meno efficiente di Active Directory nel replicare le modifiche, anche il traffico di rete e la durata della replica delle modifiche DNS nell'intera rete potrebbero aumentare. Per attivare DNS nella rete, è necessario configurare i client e i server DNS. Quando si configurano i client DNS, si comunica ai client gli indirizzi IP dei server DNS sulla rete. Utilizzando questi indirizzi, i client possono comunicare con i server DNS dovunque sulla rete, anche se questi ultimi sono in subnet diverse. Quando la rete utilizza DHCP, occorre configurare DHCP in modo che combini la sua attività con quella di DNS. A tale scopo, occorre impostare le opzioni di ambito DHCP, 006 dei server DNS e 015 del nome dominio DNS, come illustrato nella sezione del capitolo 15, “Esecuzione di client e di server DHCP”, dedicata alle impostazioni delle opzioni di ambito. Inoltre, se i computer di rete devono essere accessibili da altri domini Active Directory, è necessario creare per loro dei record in DNS. I record DNS sono organizzati in zone. Una zona è semplicemente un'area all'interno di un dominio. La procedura per configurare un server DNS è illustrata nel capitolo 16. Quando si installa il servizio DNS Server su un RODC, quest'ultimo è in grado di ottenere una replica in sola lettura di tutte le partizioni directory dell'applicazione utilizzate da DNS, tra cui ForestDNSZones e DomainDNSZones. I client possono interrogare il RODC sulla risoluzione dei nomi nello stesso modo in cui interrogano qualsiasi altro server DNS. Tuttavia, come con gli aggiornamenti della directory, il server DNS su un RODC non supporta gli aggiornamenti diretti. Ciò significa che il RODC non registra i record risorsa del server dei nomi (NS) per nessuna zona ospitata e integrata in Active Directory. Quando un client tenta di aggiornare i propri record DNS in un RODC, il server restituisce un riferimento a un server DNS che il client può utilizzare per l'aggiornamento. Il server DNS sul RODC dovrebbe ottenere il record aggiornato dal server DNS che riceve i dettagli sull'aggiornamento utilizzando una speciale richiesta oggetto singolo di replica eseguita come processo in background. Windows 7 e versioni successive supportano DNS Security Extensions (DNSSEC). Il client DNS in esecuzione su questi sistemi operativi può inviare query che indicano il supporto per DNSSEC, elaborare i relativi record e stabilire se un server DNS ha convalidato dei record a suo nome. Panoramica sull'amministrazione di Windows Server 2012 CAPITOLO 1 19 Sui server Windows questo permette di firmare zone e ospitare zone firmate DNSSEC. Permette anche ai server DNS di elaborare i relativi record ed eseguire sia la convalida sia l'autenticazione. Utilizzo di WINS (Windows Internet Name Service WINS è un servizio di risoluzione dei nomi che risolve i nomi del computer in indirizzi IP. Utilizzando WINS, il nome di computer COMPUTER84, per esempio, può essere risolto in un indirizzo IP che permetta ai computer su una rete Microsoft di individuarsi reciprocamente e scambiarsi informazioni. WINS è necessario per supportare i sistemi precedenti a Windows 2000 e le applicazioni più obsolete che utilizzano NetBIOS sui protocolli TCP/IP, come le utilità dalla riga di comando NET. Se non si utilizzano applicazioni o sistemi precedenti a Windows 2000 in rete, WINS non è necessario. WINS funziona la meglio negli ambienti client/server in cui i client WINS inviano query a etichetta unica (host) a server WINS per la risoluzione dei nomi e i server WINS risolvono le query e rispondono. Quando tutti i server DNS eseguono Windows Server 2008 o successive, la distribuzione di una zona Global Names crea record globali statici con nomi a etichetta unica, senza basarsi su WINS. Ciò consente agli utenti di accedere agli host utilizzando nomi a etichetta unica invece di nomi di dominio completi (FQDN, Fully Qualified Domain Name) eliminando la dipendenza da WINS. Per trasmettere le query e altre informazioni WINS, i computer utilizzano NetBIOS. NetBIOS fornisce un'API (Application Programming Interface) con cui i computer possono comunicare su una rete. Le applicazioni NetBIOS si basano su WINS o sul file LMHOSTS locale per risolvere i nomi dei computer in indirizzi IP. Nelle reti precedenti a Windows 2000, WINS è il servizio di risoluzione dei nomi primario disponibile. Sulle reti Windows 2000 o successive, DNS è il servizio di risoluzione dei nomi principale e WINS ha una funzione diversa. WINS infatti permette ai sistemi precedenti a Windows 2000 di esaminare gli elenchi di risorse sulla rete e consentire ai sistemi Windows 2000 e successivi di individuare le risorse NetBIOS. Per attivare la risoluzione dei nomi WINS su una rete, è necessario configurare i client e i server WINS. Quando si configurano i client WINS, si comunicano ai client gli indirizzi IP per i server WINS sulla rete. Utilizzando l'indirizzo IP, i client possono comunicare con i server WINS dovunque sulla rete, anche se i server si trovano in subnet diverse. I client WINS possono anche comunicare utilizzando un metodo di trasmissione broadcast nel quale trasmettono i messaggi verso altri computer sul segmento della rete locale richiedendo i loro indirizzi IP. Poiché i messaggi sono trasmessi tramite broadcast, il server WINS non è utilizzato. Tutti i client non WINS che supportano questo tipo di trasmissione dei messaggi possono utilizzare anche questo metodo per risolvere i nomi dei computer in indirizzi IP. Quando i client comunicano con i server WINS, essi stabiliscono delle sessioni costituite da tre fasi principali: ■ 20 Registrazione del nome Durante la registrazione del nome, il client fornisce al server il proprio nome computer e indirizzo IP e chiede di essere aggiunto al database WINS. Se il nome computer e l'indirizzo IP specificati non sono già in uso sulla rete, il server WINS accetta la richiesta e registra il client nel database WINS. CAPITOLO 1 Panoramica sull'amministrazione di Windows Server 2012 ■ ■ Rinnovo del nome La registrazione del nome non è permanente. Anzi, il client può utilizzare il nome per un periodo specificato, definito lease. Al client è anche indicato un periodo di tempo durante il quale il lease deve essere rinnovato, detto intervallo di rinnovo. Durante l'intervallo di rinnovo è necessario ripetere la registrazione del client presso il server WINS. Rilascio del nome Se il client non può rinnovare il lease, la registrazione del nome viene rilasciata, a questo punto un altro sistema sulla rete può utilizzare il nome computer o l'indirizzo IP oppure entrambi. I nomi sono rilasciati anche quando si spegne un client WINS. Dopo che un client ha avviato una sessione con un server WINS, può richiedere i servizi di risoluzione dei nomi. Il metodo utilizzato per risolvere i nomi computer in indirizzi IP dipende dalla configurazione della rete. Sono disponibili i seguenti quattro metodi di risoluzione dei nomi: ■ ■ ■ ■ Nodo B (trasmissione broadcast) Questo metodo consente l’utilizzo di messaggi broadcast per risolvere i nomi dei computer in indirizzi IP. I computer che devono risolvere un nome trasmettono un messaggio broadcast a ogni host della rete locale, richiedendo l'indirizzo IP per un nome computer. Nel caso di una rete molto estesa comprendente centinaia o migliaia di computer, questi messaggi broadcast possono occupare una quantità significativa di larghezza di banda di rete. Nodo P (peer-to-peer) Questo metodo consente l’utilizzo dei server WINS per la risoluzione dei nomi di computer in indirizzi IP. Come descritto in precedenza, le sessioni client sono suddivise in tre fasi: registrazione, rinnovo e rilascio del nome. Se si utilizza questo metodo, quando un client deve risolvere un nome di computer in un indirizzo IP, invia un messaggio di query al server e il server gli fornisce la risposta. Nodo M (misto) Anche questo metodo è dato dalla combinazione del nodo B con il nodo P. Con nodo M, un client WINS tenta prima di utilizzare nodo B per la risoluzione dei nomi. Se il tentativo fallisce, il client tenta di utilizzare nodo P. Poiché nodo B è utilizzato per primo, questo metodo presenta i problemi di consumo della larghezza di banda di rete citati. Nodo H (ibrido) Anche questo metodo è dato dalla combinazione del nodo B con il nodo P. Con il metodo nodo H, un client WINS tenta prima di utilizzare nodo P per la risoluzione dei nomi peer-to-peer. Se il tentativo fallisce, il client prova a utilizzare i messaggi broadcast con nodo B. Poiché peer-to-peer è il metodo usato per primo, nodo H offre le prestazioni migliori nella maggior parte delle reti. Nodo H è anche il metodo predefinito per la risoluzione dei nomi WINS. Se sulla rete sono disponibili dei server WINS, i client Windows utilizzano il metodo del nodo P per la risoluzione dei nomi. Se nessun server WINS è disponibile sulla rete, i client Windows utilizzano il metodo nodo B per la risoluzione dei nomi. I computer Windows possono anche utilizzare DNS e i file locali LMHOSTS e HOSTS per risolvere i nomi di rete. L'utilizzo di DNS è trattato dettagliatamente nel capitolo 16. Quando si utilizza DHCP per assegnare gli indirizzi IP dinamicamente, si dovrebbe impostare il metodo di risoluzione dei nomi per i client DHCP. A tale scopo, occorre definire le opzioni di ambito DHCP per l'opzione 046, WINS/NBT Node Type (Tipo di nodo WINS/NBT), come descritto nella sezione intitolata “Impostazione delle opzioni di ambito” del capitolo 15. Il migliore tra i metodi utilizzabili è nodo H. Questo infatti permette di ottenere le prestazioni migliori e di ridurre il traffico di rete. Panoramica sull'amministrazione di Windows Server 2012 CAPITOLO 1 21 Utilizzo di LLMNR (Link-Local Multicast Name Resolution) LLMNR copre la necessità di servizi per la risoluzione di nomi peer-to-peer per dispositivi con indirizzo IPv4 o IPv6 o entrambi, consentendo ai dispositivi IPv4 e IPv6 su una singola subnet senza un server WINS o DNS di risolvere tutti gli altri nomi. Un servizio che non può fornire né WINS né DNS. Benché WINS possa fornire sia i servizi di risoluzione dei nomi client/server che peer-to-peer, non supporta gli indirizzi IPv6. DNS, d'altra parte, supporta gli indirizzi IPv4 e IPv6, ma dipende da server designati per la fornitura di servizi di risoluzione dei nomi. Windows 7 e versioni successive supportano LLMNR. LLMNR è progettato appositamente per i client IPv4 e IPv6, nei casi in cui non sono disponibili altri sistemi di risoluzione dei nomi, come nelle: ■ Reti domestiche o piccole reti di ufficio ■ Reti ad hoc ■ Reti aziendali in cui non sono disponibili i servizi DNS LLMNR è studiato come complemento di DNS, consentendo la risoluzione dei nomi in scenari in cui non è possibile la normale risoluzione dei nomi DNS. Benché LLMNR possa sostituire WINS nei casi in cui NetBIOS non è richiesto, non è in grado di sostituire DNS in quanto opera solo sulla subnet locale. Dal momento che il traffico LLMNR non può propagarsi attraverso i router, non può intasare accidentalmente la rete. Come con WINS, LLMNR si utilizza per risolvere un nome host, per esempio COMPUTER84, in un indirizzo IP. Per impostazione predefinita, LLMNR è abilitato su tutti i computer che eseguono Windows 7 e versioni successive e questi computer lo utilizzano solo dopo che tutti i tentativi di ricerca di un nome host attraverso DNS sono falliti. Di conseguenza, la risoluzione dei nomi per Windows 7 e versioni successive funziona come descritto di seguito: 1. Un computer host invia una query al server DNS configurato come server primario. Se il computer host non riceve una risposta o riceve un errore, esegue lo stesso tentativo con ogni server DNS configurato in alternativa. Se per l'host non sono stati configurati server DNS o se la connessione al server DNS non riesce, la risoluzione dei nomi viene eseguita con LLMNR. 2. Il computer host invia una query multicast tramite l’UDP (User Datagram Protocol) richiedendo l’indirizzo IP per il nome ricercato. Questa query è limitata alla subnet locale (anche definita collegamento locale). 3. Ogni computer sul collegamento locale che supporta LLMNR ed è configurato per rispondere a query in entrata, riceve la query e confronta il nome con il proprio nome host. Se il nome host non corrisponde, il computer elimina la query. Se il nome host corrisponde, il computer trasmette un messaggio unicast con il proprio indirizzo IP all'host mittente. È possibile utilizzare LLMNR anche per il mapping inverso. In un mapping inverso, un computer invia una query unicast a un indirizzo IP specifico, richiedendo il nome host del computer di destinazione. Un computer che supporta LLMNR e riceve la richiesta manda una risposta unicast contenente il suo nome host all'host mittente. I computer abilitati per LLMNR devono assicurare che i propri nomi siano unici sulla subnet locale. Nella maggior parte dei casi, un computer controlla la propria univocità all'avvio, quando si riprende 22 CAPITOLO 1 Panoramica sull'amministrazione di Windows Server 2012 da uno stato di sospensione e quando se ne modificano le impostazioni dell'interfaccia di rete. Se un computer non ha ancora determinato l'univocità del proprio nome, deve precisare questa condizione quando risponde a una query sul nome. ESPERIENZA DIRETTA Per impostazione predefinita, LLMNR è abilitato automaticamente sui computer che eseguono Windows 7 e versioni successive. È possibile disabilitare LLMNR attraverso le impostazioni del registro di sistema. Per disabilitare LLMNR in tutte le interfacce di rete, creare e impostare il seguente valore del registro di sistema a 0 (zero): HKLM/SYSTEM/CurrentControlSet/ Services/Dnscache/Parameters/EnableMulticast. Per disabilitare LLMNR per un'interfaccia di rete specifica, creare e impostare il seguente valore del registro di sistema a 0 (zero): HKLM/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/ AdapterGUID/EnableMulticast. Qui AdapterGUID è il GUID (identificativo univoco globale) della scheda di interfaccia di rete per la quale si desidera disabilitare LLMNR. È possibile ri-abilitare LLMNR in qualsiasi momento, impostando questi stessi valori del registro di sistema a 1. È possibile anche gestire LLMNR attraverso i Criteri di gruppo. Strumenti utilizzati frequentemente Per gestire i sistemi Windows Server 2012 sono disponibili molte utilità. Tra gli strumenti che si utilizzeranno più spesso sono inclusi: ■ ■ ■ ■ Pannello di controllo Un insieme di strumenti per gestire la configurazione del sistema. Esso può essere strutturato in diversi modi a seconda del tipo di visualizzazione scelto. Una visualizzazione non è altro che un modo con cui disporre e presentare le opzioni. È possibile cambiare la visualizzazione utilizzando l'elenco Visualizza per: La visualizzazione per Categoria è la visualizzazione predefinita e fornisce l'accesso agli strumenti per categoria, strumento e attività chiave. La visualizzazione per Icone grandi o Icone piccole sono delle visualizzazioni alternative che elencano ogni strumento separatamente ordinato per nome. Strumenti di amministrazione grafici Gli strumenti fondamentali per la gestione dei computer di una rete e delle relative risorse. È possibile accedere a questi strumenti selezionandoli singolarmente dal gruppo Strumenti di amministrazione. Procedure guidate di amministrazione Gli strumenti progettati per automatizzare le attività amministrative principali. È possibile accedere a diverse procedure amministrative guidate in Server Manager, la console di amministrazione centrale per Windows Server 2012. Utilità della riga di comando La maggior parte delle utilità di amministrazione possono essere avviate dalla riga di comando. Oltre a queste utilità, Windows Server 2012 ne fornisce altre che sono importanti per l'uso dei sistemi Windows Server 2012. Per apprendere come utilizzare uno degli strumenti dalla riga di comando NET, in un prompt di comandi immettere NET HELP seguito dal nome del comando , per esempio NET HELP SHARE. Windows Server 2012 fornisce a questo punto una panoramica sull'uso del comando. Panoramica sull'amministrazione di Windows Server 2012 CAPITOLO 1 23 Windows PowerShell 3.0 Per ottenere maggiore flessibilità di scripting della riga di comando, è possibile usare Windows PowerShell 3.0. PowerShell 3.0 è una shell di comandi completa in grado di utilizzare i comandi predefiniti, detti cmdlet, e le funzionalità di programmazione incorporate come pure le utilità dalla riga di comando standard. Sono disponibili anche una console di comando e un ambiente grafico. Sebbene la console di PowerShell e l'ambiente di scripting grafico siano installati per impostazione predefinita, diverse altre opzioni di PowerShell non vengono installate. Tra queste abbiamo il motore di PowerShell 2.0, che viene fornito per una compatibilità con le versioni precedenti di applicazioni host PowerShell, Accesso Web Windows PowerShell che consente di utilizzare un server come Gateway Web, tramite il quale gli utenti di un'organizzazione possono gestire computer remoti tramite l'esecuzione di sessioni Windows PowerShell in un Web browser. ESPERIENZA DIRETTA È possibile installare queste funzionalità aggiuntive di Windows PowerShell attraverso la porcedura guidata Aggiunta guidata ruoli e funzionalità. Sul desktop, toccare o fare clic sul pulsante Server manager nella barra delle applicazioni Questa opzione è installata per impostazione predefinita. In Server Manager, toccare o fare clic su Gestione e quindi toccare o fare clic su Aggiungi Ruoli e funzionalità Si avvia Aggiunta guidata ruoli e funzionalità, che viene utilizzata per aggiungere queste funzionalità. Va notato che in Windows Server 2012 non solo è possibile disabilitare un ruolo o una funzionalità, ma è anche possibile rimuovere i binari necessari per tale ruolo o funzionalità. I binari che servono per installare i ruoli e le funzionalità sono definiti payload. La console Windows PowerShell (Powershell.exe) è un ambiente a 32-bit o 64-bit per lavorare con Windows PowerShell dalla riga di comando. Sui computer a 32 bit, l'eseguibile a 32 bit si trova nella cartella %SystemRoot%\System32\WindowsPowerShell\v1.0. Sulle versioni di Windows a 64bit, l'eseguibile a 32-bit si trova nella cartella %SystemRoot%\SysWow64\WindowsPowerShell\v1.0 directory e quello a 64-bit si trova nella cartella %SystemRoot%\System32\WindowsPowerShell\v1.0. Dal desktop è possibile aprire la console di PowerShell toccando o cliccando il pulsante PowerShell nella barra delle applicazioni. Questa opzione è installata per impostazione predefinita. Per impostazione predefinita, sui sistemi a 64-bit, viene avviatala versione a 64-bit di PowerShell. Se si desidera utilizzare la versione a 32-bit della console di PowerShell su un sistema a 64-bit, va selezionata l'opzione Windows PowerShell (x86). È anche possibile avviare Powershell da un prompt dei comandi di Windows (Cmd.exe) digitando: powershell NOTA Per impostazione predefinita il percorso della directory per Windows PowerShell dovrebbe essere nel percorso dei comandi. Ciò assicura che sia possibile avviare PowerShell da un prompt di comandi senza dover prima passare alla relativa directory. Dopo aver avviato PowerShell, al prompt è possibile immettere il nome di un cmdlet ed eseguirlo come avviene dalla riga di comando. I cmdlets possono essere eseguiti anche all'interno di script. Ai comandi cmdlets sono assegnati dei nomi costituiti da coppie di tipo verbo-nome. Il verbo indica l'attività generale del comando cmdlet. Il sostantivo indica ciò su cui agisce il comando cmdlet. Per esempio, la cmdlet Get-Variable ottiene tutte le variabili di ambiente di Windows PowerShell e 24 CAPITOLO 1 Panoramica sull'amministrazione di Windows Server 2012 restituisce i loro valori oppure ottiene direttamente il valore di una specifica variabile d'ambiente. I verbi comuni associati ai comandi cmdlets sono i seguenti: ■ Get- Interroga un oggetto specifico o un sottoggetto di un tipo di oggetto, come un contatore delle prestazioni o tutti i contatori delle prestazioni. ■ Set- ■ Enable- Abilita un'opzione o una funzionalità ■ Enable- Disabilita un'opzione o una funzionalità ■ New- Crea una nuova istanza di un elemento, per esempio un nuovo evento o servizio. ■ Modifica le impostazioni specifiche di un oggetto. Removeeventi. Rimuove un’istanza di un elemento, per esempio un evento o un registro degli Al prompt di Windows PowerShell, digitando get-help *-*, è possibile ottenere un elenco completo delle cmdlet disponibili. Per ottenere la documentazione di guida su una cmdlet specifica, digitare get-help seguito dal nome della cmdlet, per esempio get-help get-variable. Tutte le cmdleth anno degli alias configurabili che fungono da collegamenti rapidi per l'esecuzione di una cmdlet. Per elencare tutti gli alias disponibili, digitare get-item -path alias: nel prompt di PowerShell È possibile creare un alias che richiama qualsiasi comando utilizzando la seguente sintassi: new-item –path alias:NomeAlias –value:PercorsoCompletoComando. Qui NomeAlias è il nome dell’alias da creare e PercorsoCompletoComando è il percorso completo del comando da eseguire, per esempio: new-item –path alias:sm –value:c:\windows\system32\compmgmtlauncher.exe Questo esempio crea l’alias sm per l’avvio di Server Manager. Per usarlo, è sufficiente digitare sm e premere Invio quando si utilizza PowerShell. ESPERIENZA DIRETTA Tutto quello che si scrive nel prompt dei comandi può essere scritto nel prompt di Windows PowerShell. Questo è possibile grazie al fatto che Windows PowerShell cerca i comandi e utilità esterni come parte normale del suo modo di elaborare. Fino a quando i comandi o le utilità esterne vengono trovate in una cartella specificata dalla variabile d'ambiente PERCORSO, il comando o l'utilità vengono eseguiti in modo appropriato. Si ricordi , comunque, che l'ordine di esecuzione di Windows PowerShell può influenzare l'esecuzione del comando stesso. Per PowerShell, l'ordine di esecuzione è (1) alias alternativi inclusi o definiti dal profilo; (2) funzioni incluse o definite dal profilo; (3) cmdlet o parole chiave; (4) script con estensione .ps1 e (5) comandi esterni, utilità e file. Quindi, se un qualunque elemento incluso tra 1 e 4 dell'ordine di esecuzione ha lo stesso nome del comando, quell'elemento viene eseguito al posto del comando che ci si aspetta. Gestione remota Windows Le funzionalità di gestione remota di Windows PowerShell sono supportate dal protocollo WSManagement e dal servizio WinRM che implementa WS-Management in Windows. I computer che eseguono Windows 7 e versioni successive oppure Windows Server 2008 R2 e versioni successive includono WinRM 2.0 o successivi. Se si desidera gestire Windows server da una workstation bisogna accertarsi che WinRM 2.0 e Windows PowerShell 3.0 siano installati e che il server abbia WinRM Panoramica sull'amministrazione di Windows Server 2012 CAPITOLO 1 25 listener abilitato. Una estensione di IIS, installabile come funzionalità denominata Estensione IIS di Gestione remota Windows, permette al server di agire come un gateway per la gestione remota del server utilizzando WinRM e un client web. Abilitazione e utilizzo di WinRM È possibile verificare la disponibilità di WinRM 2.0 e configurare Windows PowerShell per la gestione remota seguendo i seguenti passaggi: 1. Toccare o fare clic su Start e puntare su Windows PowerShell. Avviare Windows PowerShell tenendo premuto o facendo clic con il pulsante destro del mouse sull'icona di Windows PowerShell e quindi selezionando Esegui come amministratore. 2. Per impostazione predefinita, il servizio WinRM è configurato per l'avvio manuale. È necessario modificare il tipo di avvio in automatico su ogni computer con il quale si desidera lavorare. Al prompt di Windows PowerShell è possibile verificare se il servizio WinRM è in esecuzione usando il seguente comando: get-service winrm Come mostrato nel seguente esempio, il valore della proprietà Status dovrebbe essere Running: Status -----Running Name ---WinRM DisplayName ----------Gestione remota Windows (WS-Managem... Se il servizio è stoppato, digitare il seguente comando per avviarlo e configurarlo in modo che sia eseguito automaticamente: set-service –name winrm –startuptype automatic –status running 3. Per configurare PowerShell per la gestione remota, digitare il seguente comando: Enable-PSRemoting –force È possibile abilitare la gestione remota solo quando il computer è collegato a una rete di dominio o privata. Se il computer dovesse essere collegato a una rete pubblica, è necessario disconnetterlo, collegarlo a una rete di dominio o privata e quindi ripere questo passaggio. Se una o più delle connessioni del computer sono impostate come rete pubbliche ma si è connessi a un dominio o a una rete privata, è necessario cambiare il tipo di connessione nel Centro connessioni di rete e condivisione e quindi ripetere questo passaggio. In molti casi sarà possibile lavorare con computer remoti in altri domini. Tuttavia, se il computer remoto non è parte di un dominio trusted, il computer remoto potrebbe non essere in grado di autenticare le credenziali di accesso. Per abilitare l'autenticazione, è necessario aggiungere il computer remoto all'elenco degli host trusted del computer locale in WinRM. Per fare ciò, digitare il seguente comando: winrm set winrm/config/client '@{TrustedHosts"ComputerRemoto"}' Qui ComputerRemoto è il nome del computer remoto, per esempio: winrm set winrm/config/client '@{TrustedHosts="CorpServer56"}' 26 CAPITOLO 1 Panoramica sull'amministrazione di Windows Server 2012 Quando si sta lavorando con computer in gruppi di lavoro o gruppi home, è necessario usare HTTPS come trasporto o aggiungere la macchina remota alle impostazioni di configurazione di TrustedHosts. Se non è possibile connettersi all'host remoto, verificare che il servizio sull'host remoto sia in esecuzione e accetti le richieste tramite l'esecuzione del seguente comando: winrm quickconfig Questo comando analizza e configura il servizio WinRM. Se il servizio è impostato correttamente l'output del comando sarà simile a quello mostrato di seguito: Servizio Gestione remota Windows già in esecuzione in questo computer. Gestione remota Windows già impostato per la gestione remota in questo computer. Se il servizio WinRM non è impostato correttamente, vengono visualizzati una serie di errori e sarà necessario rispondere affermativamente a una serie prompt in modo da configurare automaticamente la gestione remota. Al termine di questa procedura, il servizio WinRM dovrebbe essere impostato correttamente. Qunado si utilizzano le funzionalità di connessione remota di Windows PowerShell, è necessario avviare Windows PowerShell tenendo premuto o facendo clic con il pulsante destro del mouse sull'icona di Windows PowerShell e quindi selezionando Esegui come amministratore. Quando si avvia Windows PowerShell da un altro programma, come per esempio un prompt dei comandi, è necessario avviare tale programma come amministratore. Configurazione di WinRM Quando si utilizza il prompt dei comandi come amministratore, è possibile utilizzare l'utilità dalla riga di comando di WinRM per visualizzare e gestire la configurazione della gestione remota. Digitare winrm get winrm/config per visualizzare informazioni dettagliate sulla configuarazione della gestione remota. Se si osserva l'output del comando, si noterà che esiste una gerarchia nelle informazioni. La base di questa gerarchia, il livello Config, fa riferimento al percorso winrm/config. Ci sono dei sottolivelli per client, service e WinRS, che fanno riferimento a winrm/config/client, winrm/config/service e winrm/ config/winrs. È possibile modificare il valore della maggior parte dei parametri di configurazione usando il seguente comando: winrm set Percorsodiconfigurazione @{NomeParametro="Valore"} Qui Percorsodiconfigurazione è il Percorso di configurazione, NomeParametro è il nome del parametro con il quale si desidera lavorare e Valore imposta il valore del parametro, come per esempio winrm set winrm/config/winrs @{MaxShellsPerUser="10"} Qui si imposta il parametro MaxShellsPerUser in winrm/config/winrs. Questo parametro controlla il numero massimo di connessioni a un computer remoto che possono essere attive per utente. Per impostazione predefinita ogni utente può avere solo cinque connessioni attive. Va ricordato che alcuni parametri sono in sola lettura e non possono essere impostati in questo modo. Panoramica sull'amministrazione di Windows Server 2012 CAPITOLO 1 27 WinRM richiede almeno un listener per indicare il trasporto e l'indirizzo IP sui quali le richieste di gestione possono essere accettate. I trasporti possono essere HTTP, HTTPS o entrambi. Con HTTP i messaggi possono essere crittografati utilizzando NTLM o la crittografia Kerberos. Con HTTPS per la crittografia viene utilizzato Secure Sockets Layer (SSL). È possibile esaminare i listener digitando winrm enumerate winrm/config/listener. Come mostrato nel Listato 1-1, questo comando visualizza i dettagli della configurazione dei listener configurati. LISTATO 1-1 Configurazione di esempio per i Listener Listener Address = * Transport = HTTP Port = 80 Hostname Enabled = true URLPrefix = wsman CertificateThumbprint ListeningOn = 127.0.0.1, 192.168.1.225 Come impostazione predefinita, probabilmente, il computer è configurato per rimanere in ascolto su qualunque indirizzo IP. Nel caso, non si vedrà alcun output. Per limitare WinRM su determinati indirizzi IP, l'indirizzo di loopback locale (127.0.0.1) e gli indirizzi IPv4 e IPv6 assegnati possono essere configurati esplicitamente per l'ascolto. Per configurare il computer per rimanere in ascolto per le richieste su HTTP su tutti gli indirizzi IP configurati, digitare: winrm create winrm/config/listener?Address=*+Transport=HTTP È possibile rimanere in ascolto per richieste su HTTPS su tutti gli IP configurati sul computer digitando: winrm create winrm/config/listener?Address=*+Transport=HTTPS In questo caso l'asterisco (*) indica tutti gli indirizzi IP configurati. Notare che la proprietà CertificateThumbprint deve essere vuota per condividere la configurazione SSL con un altro servizio. È possibile abilitare o dissabilitare un listener per uno specifico indirizzo IP digitando: winrm set winrm/config/listener?Address=IP:192.168.1.225+Transport=HTTP @{Enabled="true"} oppure winrm set winrm/config/listener?Address=IP:192.168.1.225+Transport=HTTP @{Enabled="false"} È possibile abilitare o disabilitare l'autenticazione di base su un client digitando: winrm set winrm/config/client/auth @{Basic="true"} oppure winrm set winrm/config/client/auth @{Basic="false"} 28 CAPITOLO 1 Panoramica sull'amministrazione di Windows Server 2012 È possibile abilitare o disabilitare l'autenticazione Windows utilizzando sia NTLM o Kerberos, digitando: winrm set winrm/config/client @{TrustedHosts="<local>"} oppure winrm set winrm/config/client @{TrustedHosts=""} Oltre alla gestione di WinRM dalla riga di comando, è possibile gestire il servizio utilizzando i criteri di gruppo. Conseguentemente le impostazioni dei Criteri di gruppo possono prevalere sulle impostazioni inserire. Panoramica sull'amministrazione di Windows Server 2012 CAPITOLO 1 29