Introduzione a Windows Server 2012 R2

Il 2012 è un anno di molteplici cambiamenti e in casa Microsoft uno dei più importanti è certamente
quello che riguarda il mondo dei Server.
Windows Server 2012 R2, di cui si può scaricare gratuitamente una versione completa di prova,
introduce tantissime novità negli scenari legati all’infrastruttura aziendale: da anni si parla di cloud
in tutte le sue possibili accezioni, ma sicuramente dando più enfasi al supporto che esso offre per
soluzioni applicative, piuttosto che a come il cloud stesso è anche pensato per la nostra
infrastruttura.

Cloud o non Cloud?

Perché pensare ad una nuova soluzione server se tutto sta andando verso il Cloud? La risposta non è
scontata; tutti i servizi e le applicazioni sono pensati attualmente per il cloud. Molte applicazioni al
momento sono in fase di migrazione e molte altre ancora non prendono nemmeno in considerazione
di spostarsi “tra le nuvole”.
Altra cosa fondamentale da considerare in un’infrastruttura di rete è che, in termini di efficacia e di
efficienza del servizio, è preferibile, se non auspicabile, mantenere alcune risorse
nell’infrastruttura interna.
Tra esse potremmo pensare ai servizi legati all’infrastruttura nel senso stretto del termine come
DNS e DHCP, oppure ai servizi alla gestione della condivisione dei file e delle stampanti, dei
servizi di accesso alla rete in termini di autorizzazione e autenticazione, gestione aggiornamenti,
deploy di applicazioni e altro.
Comprendere le necessità specifiche di ogni organizzazione è uno dei punti fondamentali per
coloro che si occupano di networking e infrastrutture server.
Windows Server 2012 R2 è pronto per il Cloud, ed in particolare per quella specifica
declinazione di questa tecnologia che è chiamata Private Cloud, ma è anche una major release
ricchissima di novità, alcune delle quali verranno analizzate in questa guida.
Lo faremo seguendo un percorso pratico e affrontando la realtà di una PMI che abbia la necessità
di progettare un’infrastruttura basata su WS2012 R2.

Scegliere il giusto Windows Server

Prima di entrare nel vivo della progettazione è doveroso capire quali sono le diverse soluzioni della
famiglia Windows Server 2012 R2 al fine di effettuare la giusta scelta.
Possiamo considerare due grandi famiglie di interesse in cui racchiudere le diverse licenze e
soluzioni:
• I server tradizionali, ovvero piattaforme server personalizzabili in tutte le loro parti e di
qualsiasi dimensione; è richiesta una conoscenza di base su alcune delle componenti da
configurare
• I server di soluzione, ovvero server con integrazioni al loro interno e orientati alle piccole e
medie imprese
Per quanto riguarda la famiglia dei server tradizionali le edizioni attualmente disponibili di
Windows Server 2012 R2 sono:
Edizione Descrizione

Windows Server 2012 R2 Datacenter per ambienti cloud altamente virtualizzati

Windows Server 2012 R2 Standard per ambienti poco virtualizzati o non virtualizzati

Da notare che, a differenza del passato, non esistono differenze dal punto di vista tecnico fra le due
edizioni. L’edizione Datacenter differisce da quella Standard non per le funzionalità, ma per il
numero di istanze virtuali che possono essere eseguite: due nell’edizione Standard, illimitate
nell’edizione Datacenter. Per questo motivo, acquistando l’edizione Datacenter si ottiene dunque
una sostanziale riduzione dei costi in ambienti ad alta virtualizzazione.
Per quanto concerne invece i server di soluzioni o Small Business troviamo:
Edizione Descrizione

Windows Server R2 2012per piccole imprese con un massimo di 25 utenti che utilizzano server
Essentials dotati di due processori al massimo

Windows Server R2 2012per piccole imprese con un massimo di 15 utenti che utilizzano server a
Foundation processore unico

Nella versione R2 inoltre Windows Server 2012 R2 Essentials è diventato anche un ruolo. Questo
vuol dire che se si acquista una licenza Windows Server 2012 R2 Standard e si installa il ruolo
Windows Server 2012 R2 Essentials, il server diventa in tutto e per tutto un sistema operativo di
tipo Essentials con tutte le sue caratteristiche e in più si passa da 25 utenti a 100 utenti gestibili. In
qualsiasi momento si può passare dalla versione Essential alla Standard rimuovendo il ruolo.
Per scegliere la versione più adeguata è indispensabile sapere quali ruoli del server possiamo
abilitare e quali sono abilitati per default; per questo riportiamo un breve riepilogo tratto dal
Windows Server 2012 R2 licensing Data Sheet:
Server role Datacenter Standard Essentials Foundation

Automaticamente
AD Certificate Services Supporto Completo Supporto Limitato
Configurato e Installato
 Automaticamente
AD Domain Services Supporto Completo Supporto Completo
Configurato e Installato

AD Federation Services Supporto Completo Supporto Completo Supporto Completo

AD Lightweight
Supporto Completo Supporto Completo Supporto Completo
Directory Services

AD RMS Supporto Completo Supporto Completo Supporto Completo

Application Server Supporto Completo Supporto Completo Supporto Completo

DHCP Server Supporto Completo Supporto Completo Supporto Completo

Automaticamente
DNS Server Supporto Completo Supporto Completo
Configurato e Installato

Fax Server Supporto Completo Supporto Completo Supporto Completo

Automaticamente
File Services Supporto Completo Supporto Limitato
Configurato e Installato

Hyper-V Supporto Completo Supporto Completo Non supportato

Network Policy & Automaticamente

Supporto Completo Supporto Limitato
Access Services Configurato e Installato

Print & Doc Services Supporto Completo Supporto Completo Supporto Completo

Remote Desktop Automaticamente

Supporto Completo Supporto Limitato
Services Configurato e Installato

UDDI Services Supporto Completo Supporto Completo Supporto Completo

Automaticamente
Web Services Supporto Completo Supporto Completo
Configurato e Installato

Windows Deploy
Supporto Completo Supporto Completo Supporto Completo
Services

Windows Server
Update ServicesSupporto Completo Non supportato Non supportato
(WSUS)

Per quanto riguarda il Licensing e altre informazioni sulle edizioni possiamo rifarci alla
documentazione ufficiale rilasciata da Microsoft.
A questo punto, considerando anche il numero di processori, memoria, macchine virtuali con cui
dovremo lavorare, siamo in grado di scegliere la licenza giusta per noi. E proseguire nella nostra
guida.
Progettare un’infrastruttura di rete per le PMI
Per partire con una buona progettazione dell’infrastruttura di rete è indispensabile capire:
• Cosa conosciamo della realtà attuale: dobbiamo non solo conoscere come è fatta la rete
ma capire quali sono i job operativi al fine di offrire la miglior soluzione alle esigenze che si
presentano
• Quali sono gli obiettivi che vogliamo soddisfare: un elenco di obiettivi chiari e ben definiti
è un punto di partenza necessario nel caso di un nuovo deploy o di una ristrutturazione
architetturale. Come ogni architetto anche quello di rete ha un disegno che vuole compiere e
questo non può prescindere dal capire quali saranno i servizi di cui dovremmo usufruire o
offrire all’interno della nostra infrastruttura di rete
• Quali sono le esigenze collaterali del cliente: spesso il cliente non sa di cosa può aver
bisogno e solo da un’intervista approfondita che tenga conto di ogni attività svolta dallo
stesso e dalla nostra esperienza possiamo capire e suggerire soluzioni idonee ai problemi.
Questo punto spesso è tralasciato da molti professionisti che in qualche modo cercano di
offrire una soluzione a “scatola chiusa”; bisogna però considerare che solo da un’attenta
analisi riusciremo a costruire la giusta soluzione per i problemi del cliente così da evitare un
ulteriore rifacimento della rete a breve termine e soprattutto lo scontento del cliente stesso
• Quali sono gli sviluppi a breve/medio termine: anche questo punto è spesso sottovalutato
da molti tralasciando così tutte quelle opportunità ed esigenze che potrebbero presentarsi in
seguito. Se da subito il nostro sistema è flessibile e pronto al futuro il cliente sarà certamente
più soddisfatto del nostro operato.

Il caso pratico: migrare un gruppo su un dominio

Per affrontare in maniera esaustiva le parti fondamentali di un’infrastruttura basata su Windows
Server 2012 (ricorda: puoi scaricare gratuitamente una versione completa di prova), ci
concentreremo sul caso di una PMI che ha necessità di migrare da un semplice gruppo di lavoro
ad una rete basata su un dominio, beneficiando così di tutta una serie di funzionalità che
scopriremo strada facendo.
Nel nostro caso d’uso ricordiamo anzitutto che stiamo migrando da un gruppo di lavoro a una rete
con dominio. La prima cosa che dobbiamo considerare è quindi l’installazione di un Domain
Controller e in particolar modo di un servizio che prende il nome di Servizi di dominio Active
Directory (in inglese Active Directory Domain Services).
I servizi di dominio consentono di memorizzare e gestire informazioni relative a utenti, computer e
altri dispositivi presenti sulla rete.
Un controller di dominio permette di definire in sicurezza la gestione dell’informazione all’interno
della nostra rete. Basti solo pensare al processo di autenticazione degli utenti che è reso possibile
proprio dal nostro Domain Controller, piuttosto che alla gestione delle condivisioni, Group Policy e
quant’altro.
Il Domain Controller è così il vero cuore della rete e il suo catalogo è necessario al funzionamento
di innumerevoli applicazioni.

Active Directory: prima installazione

Finalmente procediamo all’installazione dei servizi Active Directory sulla nostra macchina
Windows Server 2012.
Per semplicità il primo approccio a Windows Server 2012 sarà tramite interfaccia grafica. Windows
Server 2012 permette infatti di passare facilmente da un’ambiente ad interfaccia grafica (server
with a GUI) ad un ambiente a riga di comando (server core): dopo aver usato i comodi wizard
offerti dalla versione “with a GUI”, potremmo passare alla versione a riga di comando, allegerendo
il server ed eliminanto possibili punti di aggiornamento o errrore. Su queste modalità, rimandiamo
alla lezione Installare Windows Server 2012 della nostra guida di base.
Dopo l’avvio del sistema, ci troviamo davanti l’interfaccia del Server Manager (per un dettaglio
delle funzioni, si veda La gestione dei server della nostra guida base).
Dal Server Manager possiamo eseguire operazioni quali:
• configurazione del server locale;
• aggiunta di ruoli e funzionalità;
• nuove funzionalità di gestione remota dei server;
• gestione di più server tramite gruppi;

e diverse altre operazioni che, al momento, non ci interessano.

Iniziamo la configurazione del nostro server impostando anzitutto un nome. Nel nostro esempio la
piccola società “PARADISO ” avrà il suo server configurato con il nome “Paradiso-DC”. Per ora
tralasciamo tutti gli altri campi ma possiamo già vedere come ci siano un certo numero di
funzionalità che possono essere configurate.
Procediamo ora con l’aggiunta di un nuovo ruolo selezionando dal menu Gestione la voce Aggiungi
ruoli e funzionalità.

Notiamo importanti novità del wizard: si possono installare ruoli anche su ambienti remoti o
addirittura su supporti offline come VHD.
Selezioniamo dunque il nostro server dalla lista di server disponibili e procediamo con la scelta dei
ruoli. In automatico, al momento della scelta “Servizi di dominio Active Directory” il wizard ci
informerà della necessità di installare alcune funzionalità aggiuntive necessarie alla corretta
esecuzione del ruolo.

Proseguiamo nel wizard confermando le funzionalità aggiuntive suggerite ed eventualmente

scegliendone altre necessarie a nostro piacimento.
Il wizard ci spiega a cosa serve un controller di dominio e, soprattutto, ci ricorda che per il corretto
funzionamento del dominio abbiamo bisogno di un DNS configurato adeguatamente. Se nella
nostra installazione selezioniamo anche il server DNS, dobbiamo ricordare di configurare
manualmente l’indirizzo IP del server: questa operazione è molto importante affinché tutte le query
DNS giungano a destinazione correttamente.
Confermiamo i dati immessi e il processo di installazione partirà automaticamente.
Al termine dell’installazione un ulteriore passo è da compiere: promuovere il nostro server a
controller di dominio (in inglese Domain Controller). Nella stessa schermata di installazione
facciamo clic su Alza il di livello il server a controller di dominio.
Abbiamo come sempre la possibilità di scegliere dove andare a installare il nuovo domain
controller:
• se dobbiamo aggiungere un nuovo domain controller ad un dominio esistente;
• se si tratta di un nuovo domain controller in una foresta esistente;
• oppure, come nel nostro caso, se dobbiamo creare una nuova foresta.
Nel nostro caso chiamiamo il dominio PARADISO.local. Nel nostro esempio l’utilizzo del suffisso
.local per la nostra rete locale garantisce semplicità di configurazione. Quando dovremmo
configurare i servizi in un contesto reale dovremmo tuttavia fare molta attenzione a scegliere con
cura il namespace della nostra organizzazione. La sezione Support for DNS Namespace planning
in Microsoft server products del supporto tecnico Microsoft raccoglie risorse utili a tale compito,
dalle basi della pianificazione alla risoluzione dei principali problemi.
Ci verrà richiesto il livello di configurazione della foresta che indica il livello di compatibilità delle
funzionalità con le versioni precedenti di Windows Server presenti sulla rete (per maggiori
delucidazioni possiamo rifarci al seguente articolo). Nel nostro caso, poiché abbiamo ancora un solo
server a disposizione, lasciamo il livello preconfigurato, ossia “Windows Server 2012″. Scegliamo
in ultimo una password per Directory Services Restore Mode (DSRM) necessaria in casi di
ripristino in cui si richiede l’accesso al server in modalità DSRM.
Poiché non avevamo precedentemente installato il ruolo “server DNS” il wizard ci comunica
l’impossibilità di configurare la delegation relativa. Non ci preoccupiamo però di questo messaggio
perché nei passaggi successivi lo stesso wizard si occuperà di installare ciò che manca al nostro
dominio. Facciamo clic su Avanti, scegliamo un nome di dominio NetBios (nel nostro caso
“PARADISO”) e verifichiamo la configurazione scelta.
Tutti i wizard di Windows Server 2012 permettono di esportare le operazioni scelte in uno script
Power Shell. Ciò è molto utile soprattutto per coloro che ancora devono prendere confidenza con
tale ambiente. Nel nostro caso la promozione del nostro server a controller di dominio si
trasformerebbe in:
#
# Windows PowerShell script for AD DS Deployment
#

Import-Module ADDSDeployment
Install-ADDSForest '
-CreateDnsDelegation:$false '
-DatabasePath "C:\Windows\NTDS" '
-DomainMode "Win2012" '
-DomainName "PARADISO.local" '
-DomainNetbiosName "PARADISO" '
-ForestMode "Win2012" '
-InstallDns:$true '
-LogPath "C:\Windows\NTDS" '
-NoRebootOnCompletion:$false '
-SysvolPath "C:\Windows\SYSVOL" '
-Force:$true
L’ultimo step prima dell’installazione e del riavvio ci informa su quali sono eventuali errori da
risolvere. Possiamo ovviamente ignorare ciò che riguarda la delega DNS: il ruolo DNS server verrà
installato durante il processo successivo come possiamo notare alla voce “Server DNS: Sì”.
Facciamo clic su Installa per terminare la configurazione.

Una volta riavviato il server troveremo nel menu Strumenti del Server Manager i nuovi snap-in
relativi ad Active Directory e al ruolo DNS.
Ora che abbiamo configurato il nostro dominio di rete è buona prassi configurare i servizi di
gestione remota e desktop remoto in modo che con qualche clic possiamo a distanza controllare e
gestire il nostro server. Sempre dal nostro Server Manager gestiamo il nostro server locale e
abilitiamo i servizi richiesti.
Lavorare con un Domain Controller
Nel nostro esempio abbiamo, nella precedente lezione, installato un unico domain controller (che
chiameremo da qui in avanti, per comodità, DC). Potremmo pensare, soprattutto in configurazioni
ad alta affidabilità, di installare un secondo domain controller come replica del primo. In questo
modo il database di Active Directory Domain Services (AD DS) contenuto in NTDS.DIT e una
copia della cartella System Volume, SYSVOL, saranno sempre replicate nel nuovo nodo.
Le strategie in questo caso possono essere molteplici:
• Possiamo installare un DC Replica.
• Possiamo installare un DC come Read Only Domain Controller (RODC) per porre in sola
lettura sia NTDS.DIT che SYSVOL.
La replica di queste risorse può essere affidata direttamente ad AD DS replication service e, per
quanto riguarda la cartella SYSVOL, si sfruttano invece le potenzialità del Distribuited File System
DFS.
Facciamo un breve esempio per capire meglio di cosa stiamo parlando. Sempre dall’interfaccia del
Server Manager, sul nuovo server che vogliamo promuovere come replica, andiamo ad installare il
ruolo di Domain Controller come visto nella lezione precedente.
Dopo i primi step di installazione passiamo alla promozione del server come domain controller:

Dal nuovo pannello scegliamo di installare il nuovo server all’interno di un dominio esistente
Selezioniamo l’opzione Controller di dominio di sola lettura, che consente migliori garanzie in
termini di sicurezza per quei nodi che sono difficilmente controllabili, inseriamo una password per
il DSRM e proseguiamo nel processo di installazione.
Scegliamo con attenzione quali sono le funzionalità che devono essere attive nel nostro server di
replica:

Nelle schermate successive ci verranno richieste informazioni relative alla replica e al server di
partenza da replicare e ci sarà chiesto se è necessario usare supporti diversi all’installazione IFM
(Installa da supporto).
Seguiamo il wizard che ci invita a scegliere le cartelle dove memorizzare database, SYSVOL e log:

Seguiamo gli ultimi passaggi che ci informano, in una sorta di riepilogo, i dati scelti, verificano i
prerequisiti e ci invitano ad effettuare l’installazione di tutto ciò che è stato precedentemente
selezionato. Al termine del processo di installazione ci verrà chiesto di riavviare il server. Al
termine del riavvio avremo il nostro dominio RODC (read only domain controller) a disposizione.

Il global catalog
Un componente importante di Active Directory che merita una sua descrizione a parte, e che avrete
sicuramente notato durante tutti i processi di installazione, è il global catalog: un database nel quale
sono presenti tutti gli oggetti dei diversi domini presenti all’interno della nostra foresta.
Nello scenario descritto fino ad ora il global catalog non è espresso a pieno. Pensiamo però a
scenari in cui siano presenti un dominio A e un dominio B all’interno della stessa foresta. Se
avessimo bisogno di conoscere gli oggetti di entrambi i domini dovremmo, appunto, utilizzare il
global catalog.
Questo archivio, attraverso una rappresentazione sintetica– non vengono collezionati tutti gli
attributi di ogni singolo oggetto –, offre una visione globale di ogni oggetto presente in ogni
dominio di ogni foresta.
Gli oggetti sono un insieme di attributi di una risorsa presente in rete: un utente, una stampante, un
computer e così via. Per poterli ben gestire, è necessario organizzarli in modo coerente. Nel
momento in cui si approccia al mondo delle reti e di Active Directory, sono due i livelli
fondamentali che ci consentono di organizzare la nostra rete: logico e fisico.
A livello logico troviamo:
• Organizational Unit: una serie di oggetti del dominio raggruppati tra loro per affinità di
interesse (es. stampanti, reparto vendite, etc..).
• Domini: un gruppo di oggetti che condividono un database.
• Alberi di dominio: uno o più domini che condividono un namespace contiguo .
• Foreste di dominio: uno o più alberi di dominio.

A livello fisico invece troviamo:

• Subnet: uno specifico indirizzamento IP con una specifica Subnet Mask.
• Siti: una o più subnet che coesistono tra loro.

Nel nostro caso non siamo interessati a far comunicare diversi domini tra loro, ma potremmo
considerare che la nostra PMI ha una sede a Roma e una a Milano, la comunicazione tra queste sedi
è possibile proprio tramite la specifica di subnet e siti.
Creare e configurare utenti, gruppi e computer
Uno dei motivi fondamentali per cui si sceglie un’architettura server basata su Active Directory è la
necessità di autenticare utenti verso le nostre risorse. Prendiamo quindi subito confidenza con i
nostri utenti e cerchiamo di capire al meglio come gestirli.
Sempre dalla nostro preziosissimo Server Manager possiamo individuare i vari Snap-In associati ad
Active Directory:
• Active Directory Users and Computers: come suggerisce il nome permette di gestire
utenti, computer, gruppi e organizational unit.
• Active Directory Sites and Services: lo snap-in usato per la gestione della replica, il
networking dell’intera rete e i servizi ad esso relativi.
• Active Directory Domains and Trust: gestisce le possibili relazioni tra alberi di foreste.
• Active Directory Administrative Center: un’interfaccia basata su PowerShell per la
gestione di tutto il mondo AD.
Nel nostro caso dal menu Strumenti del Server Manager scegliamo Utenti e computer di Active
Directory per iniziare la configurazione dei nostri utenti.

Per quanto concerne la creazione di utenti bisogna sottolineare che, in una rete basata su Windows
Server 2012, possiamo avere sostanzialmente due tipi di utenze:
• Utenti locali: sono definiti sul singolo computer e possono operare, limitatamente ai
permessi accordati, solo su quella macchina.
• Utenti di dominio: sono definiti nel pannello di Active Directory e generalmente, a meno di
policy applicate, possono operare su qualsiasi risorsa del dominio.
Per creare un nuovo utente, dal pannello Utenti e computer di Active Directory, esploriamo l’albero
del nostro dominio PARADISO.local, selezioniamo la voce Users e, dopo un clic con il tasto destro
del mouse, scegliamo di creare un nuovo utente.

Compiliamo i moduli proposti inserendo nome, iniziali, cognome dell’utente e scegliamo

successivamente un nome utente (ad esempio: Adamo) con il quale il nostro utente eseguirà
l’accesso. Il campo Nome Completo è autogenerato a seconda dei dati precedentemente immessi e,
insieme al campo Nome accesso utente, deve essere univoco all’interno di tutta la rete.

Scegliamo nella schermata successiva una password da consegnare all’utente per il primo login e
lasciamo spuntata l’opzione Cambiamento obbligatorio password all’accesso successivo, in
maniera da consentire agli utenti piena autonomia e confidenzialità nella scelta della propria
password.
Una finestra ci informerà poi di tutti i dati scelti e cliccando su Fine abbiamo terminato la creazione
del nostro primo utente.
Gli attributi dell’utente
Cliccando due volte sull’utente appena creato, visibile sempre dal pannello Utenti e computer di
Active Directory, possiamo prendere visione di tutta una serie di attributi che possono aiutare nella
gestione dell’utente stesso.
Certamente una delle schede più importanti e degne di nota è quella associata al profilo utente:

Da questa schermata sostanzialmente possono essere configurate tre proprietà:

• Percorso profilo: generalmente le proprietà “desktop” dell’utente possono essere o solo
salvate localmente nel PC in uso o salvate in un percorso di rete. Se si sceglie questa
seconda forma scegliamo di lavorare con i cosiddetti Roaming Profile.
• Script di accesso: ci permettono di indicare il percorso del file da eseguire all’avvio.
• Home directory / Percorso locale: qui viene indicato un percorso di una risorsa che
funzioni come storage personale dell’utente.
Un modo molto comune per lavorare su questi attributi, al fine di indicare i giusti percorsi, è quello
di usare la variabile %username%. In questa maniera ogni utente avrà una sua sotto cartella
partendo da una risorsa condivisa comune. Potremmo per esempio considerare una configurazione
del tipo:
• Profile Path: \\PARADISO-DC\Profile\%username%
• Home Folder configurata come Connect con “Z:” per l’unità specificata e \\PARADISO-
DC\Home\%username% per il percorso

Eseguire il login dell’utente

Mostriamo di seguito qual è la percezione lato utente di queste modifiche. Prima di tutto dobbiamo
legare un computer al nostro dominio, questa operazione è normalmente chiamata Join di un
dominio ed è molto semplice da effettuare.
Andiamo nel pannello Proprietà di Sistema del computer che vogliamo legare al dominio (nel
nostro caso un computer con Windows 7) e nella scheda Nome computer clicchiamo sul pulsante
Cambia associato al gruppo di lavoro o nome a dominio.

Scegliamo l’opzione Dominio e inseriamo il nostro nome di dominio precedentemente configurato

(PARADISO.local). Ci verranno successivamente richieste le credenziali di un utente abilitato alle
operazioni di join a dominio (come l’utente Administrator).
A questo punto il join a dominio è effettuato con successo ed un riavvio della macchina ci
consentirà di loggarci con il nostro utente precedentemente creato.
Effettuato il login con l’utente Adamo (che avremo avuto cura prima di aggiungere al dominio)
notiamo che, in Risorse del computer, è stata aggiunta una nuova Unità di rete come da noi
specificato.
Contestualmente, nella cartella Profile condivisa, è stata creata una cartella specifica per l’utente
Adamo dove possiamo trovare tutte le cartelle proprie dell’utente.

Possiamo inoltre osservare come, nel momento del join, nella schermata Computer del pannello
Utenti e computer di Active Directory troveremo il nuovo oggetto appena creato.
Gestione degli utenti
Per gestire ogni utente possiamo accedere con il destro del mouse al menu ad esso associato e
scoprire le varie operazioni disponibili come:
• Cancellare uno user account.
• Disabilitare uno user account.
• Reimpostare la password.
• Modificare le proprietà dell’utente.
• Spostare uno user Account.
• Creare un nuovo Template Account (utile nel processo di creazione di molteplici utenti con
proprietà simili).
• Creare uno user account partendo da un template creato (Copy).

Gli utenti possono essere inoltre organizzati in gruppi. In scenari medio piccoli la gestione degli
utenti può essere effettuata anche a mano ma, pensando alla scalabilità, la soluzione più versatile ed
efficace è quella di usare i Group Account.
In Windows Server esistono sostanzialmente due tipi di gruppi:
• Sicurezza: usato principalmente per l’applicazione di policy.
• Distribuzione: usato principalmente per applicazioni di tipo mail: invio di messaggi a tutti
gli utenti facenti parte del gruppo.
Oltre alla tipologia, un gruppo ha anche un suo Ambito (o scope):
• Locale al dominio: applicabile a tutti gli oggetti del dominio.
• Globale: applicabile a tutti gli oggetti del dominio e dei domini trusted.
• Universale: applicabile a tutti gli oggetti della foresta.

Per creare un nuovo gruppo possiamo usare lo stesso meccanismo applicato alla creazione di un
nuovo utente e scegliere l’opzione Gruppo. Attribuiamo al gruppo un nome, scegliamo un ambito e
un tipo a seconda della nostra esigenza e confermiamo la creazione.
Possiamo ora aggiungere nuovi membri al gruppo creato. Per fare ciò possiamo o fare clic sugli
utenti che vogliamo legare al gruppo con il tasto destro e scegliere l’opzione Aggiungi a un gruppo
o aprire ogni singolo oggetto e, dal pannello Membro di, possiamo aggiungere un nuovo gruppo
indicandone il nome.
Configurare un DHCP Server
All’interno di una rete, anche se medio-piccola, è impensabile gestire manualmente gli indirizzi IP
dei server. Anche i router meno raffinati possono abilitare un server in grado di gestire il Dynamic
Host Configuration Protocol (DHCP) ma, quello che forse molti di voi non sanno, è che il DHCP
può fare molto di più.
La tecnologia che è alla base del DHCP ci consente di distribuire sulla rete non solo indirizzi IP, ma
anche altre informazioni di configurazione. Su una rete in cui abbiamo, ad esempio, dei telefoni
VOIP possiamo indicare, per dirne una, dov’è il file del provisioning del telefono stesso attraverso
delle semplici regole DHCP.
In questa lezione vedremo come configurare un Server DHP sulla nostra macchina Windows Server
2012. Ricordiamo che possiamo scaricare gratuitamente una versione di prova di Windows Server
2012 da usare come base per le nostre prove.

Windows Server 2012 e DHCP

Tra le novità, ricordiamo che in Windows Server 2012 sono disponibili le funzionalità di failover
anche per il ruolo DHCP, consentendo così l’abilitazione di scenari di alta affidabilità anche per
quanto concerne il puro networking. In questa configurazione, è possibile utilizzare più server
DHCP all’interno della rete che si scambiano informazioni al fine di mantenersi allineati sui lease
assegnati. Per lease si intende l’assegnazione dinamica di un indirizzo IP da parte del server ad uno
specifico client. Un lease è anche identificato da una durata che può essere estesa o meglio
rinnovata durante la vita del client con una nuova richiesta DHCP verso lo stesso server
assegnatario.
Vediamo nel dettaglio come si installa il ruolo di server DHCP e quali sono le funzionalità che
dobbiamo conoscere.
Bisogna ricordare che un Server DHCP in uno scenario con Active Directory deve essere
autorizzato nello stesso dominio. Ciò è reso possibile già nel processo di installazione del ruolo
DHCP
Come sempre, dall’interfaccia del Server Manager clicchiamo su Add Roles and features e
seguiamo il processo di installazione decidendo su quale server andiamo ad installare il nuovo
ruolo. Per comodità e flessibilità della rete, nella nostra configurazione abbiamo aggiunto un
secondo nuovo server che avrà il compito di gestire sia il DHCP sia il DNS (che analizzeremo nella
lezione successiva).
Per ora selezioniamo solo DHCP Server dalla lista dei ruoli e prendiamo visione di quanto ci viene
detto nella finestra di aggiunta del ruolo, ossia che dovremmo installare su un altro server la
funzionalità “Role Administration Tools / DHCP Server Tools”.
Una piccola nota è da aggiungere riguardo questo avviso: normalmente le installazioni dei server
DHCP vengono eseguite in ambienti Server Core (ossia senza interfaccia grafica) al fine di
utilizzare il servizio su un’installazione del server leggera e meno soggetta a interruzioni di servizio
per errori, aggiornamenti o altro. Nel nostro caso, ma solo per semplicità, abbiamo preferito gestire
tutto da interfaccia grafica e possiamo così aggiungere questa funzionalità direttamente in locale
allo stesso server. Per maggiori informazioni, rimandiamo comunque all’ampia sezione del la
documentazione Microsoft dedicata al Dynamic Host Configuration Protocol.
Andiamo avanti nell’installazione confermando l’aggiunta di tale funzionalità. Se il nostro
computer non ha un indirizzo statico dovrebbe comparire un avviso riguardante, appunto, un
problema annesso all’indirizzo IP del server.

Dal Pannello Network and Sharing Center visioniamo le proprietà della scheda di rete e
modifichiamo le proprietà IPv4 della scheda con i seguenti parametri (da adattare in caso di range
IP diversi da quelli suggeriti):

Torniamo al processo di installazione e proseguiamo nel wizard. Al punto seguente riguardante le

Features troveremo selezionati anche i Remote Server Administration Tools riguardanti il DHCP.
Installiamo quanto ci viene proposto dal wizard e concludiamo così il processo di installazione.
Al termine dell’installazione clicchiamo su Complete DHCP Configuration per ultimare
l’installazione il nostro server DHCP.

Prendiamo visione del nuovo wizard e seguiamo le istruzioni riportate:

Nelle schermate successive ci verranno richieste le credenziali necessarie all’autorizzazione del
nostro server nel dominio Active Directory.

Ultimiamo il processo con un clic sul pulsante Commit e prendiamo visione dell’ultimo riepilogo:
Dopo avere installato un il ruolo DHCP, cliccando su Strumenti all’interno del Server Manager,
troveremo lo snap-in che ci consente di gestire il nostro Server DHCP.

Una delle prime cose che ci troviamo di fronte da gestire sono i DHCP scope. Uno scope è un
metodo secondo il quale possiamo configurare un gruppo di indirizzi IP. Possiamo pensare ad un
scope come ad un macro insieme con particolari regole: subnet, hardware, gruppo di client e così
via.
Al fine di configurare uno scope dobbiamo fornire alcune informazioni importanti:
• Nome e descrizione dello scope.
• Range degli indirizzi IP che vogliamo assegnare.
 • Subnet Mask di appartenenza.
• Una lista di singoli indirizzi IP che vogliamo escludere dal lease (per esempio i server
allocati staticamente).
• Il tempo massimo (delay) prima che il server offra un indirizzo IP (DHCPOFFER).
• Il tempo massimo (lease duration) prima che scada l’indirizzo IP assegnato al client.
• Option: servono per ulteriori informazioni aggiuntive come:
• 003 – Default Gateway
• 006 – Server DNS

Possiamo anche configurare uno scope per indirizzi IPv6 al fine di permettere tale indirizzamento
nella rete.
Per configurare un nuovo scope nella console DHCP facciamo clic con il pulsante destro del mouse
su IPv4 e selezioniamo New Scope.

Nella schermata successiva inseriamo le informazioni sul range degli indirizzi IP che vogliamo
assegnare allo scope.
Indichiamo gli indirizzi IP che devono essere esclusi dal lease:

Scegliamo la durata massima del lease:

Nella schermata successiva decidiamo di configurare anche le opzioni DHCP da comunicare ai
client insieme all’indirizzo.

Configuriamo l’indirizzo del gateway:

Inseriamo le informazioni riguardanti i DNS:

Inseriamo le informazioni sul server WINS, se necessario, e attiviamo lo scope appena creato:
I nuovi client che effettueranno richieste di indirizzamento saranno ora serviti dal nostro server
DHCP.

E questo è ciò che troviamo nel client configurato per ricevere gli indirizzi automaticamente.
In alcuni scenari abbiamo la necessità di riservare alcuni indirizzi IP per macchine specifiche.
Possiamo, ad esempio, pensare che la stampante di rete venga configurata con un particolare
indirizzo IP. Per fare ciò prendiamo nota del MAC Address della macchina che vogliamo
configurare e torniamo sulla console DHCP per configurare la reservation.

Compiliamo tutti i campi e confermiamo. D’ora in avanti ogni volta che la macchina con scheda di
rete il cui indirizzo MAC è 001122334455 effettuerà una DHCP REQUEST, verrà ad essa assegnato
l’indirizzo IP 192.168.181.33.
Configurare un DNS Server
La risoluzione dei nomi di dominio è uno dei principi alla base del buon funzionamento di una rete.
Sulla rete vengono inoltrate continuamente richieste per la risoluzione di servizi internet o per la
risoluzione di indirizzi cui sono associate risorse interne. Per questo motivo i servizi Active
Directory sono in strettissima collaborazione con tutto ciò che concerne i DNS.
Il DNS dal nostro punto di vista è un servizio che utilizza un database distribuito al fine di
risolvere le richieste (o query) FQDN (Fully Qualified Domain Name) e altre richieste da
hostname a indirizzo IP. In questa lezione non ci dilungheremo nello spiegare il funzionamento
intrinseco del DNS, ma ci focalizzeremo piuttosto su come viene installato un server DNS
all’interno della nostra rete e su come questo venga gestito. Per maggiori informazioni sul servizio
rimandiamo alla documentazione ufficiale su Microsoft Technet.
Per quanto concerne l’installazione del server DNS, ricordiamo che durante il processo di
promozione del controller di dominio esaminato nella lezione 2, abbiamo spuntato l’opzione di
installazione del ruolo DNS Server direttamente sul controller di dominio.

Per cui, sullo stesso controller possiamo, dal Server Manager, lanciare il tool di gestione del server
DNS. In alternativa possiamo decidere di installare un nuovo server DNS all’interno della nostra
rete, così da avere un secondo nodo che svolga questa funzione.
Lanciamo come sempre l’installazione di nuovi ruoli dalla schermata principale del nostro Server
Manager (Gestione / Aggiungi ruoli e funzionalità) e installiamo sul server DHCP-DNS-
PARADISO il ruolo di DNS Server.
Accettiamo il suggerimento nella schermata che ci informa di installare contemporaneamente anche
i tool di gestione:

Procediamo nel processo di installazione confermando le caratteristiche selezionate

automaticamente:
Prendiamo come sempre visione del riepilogo e installiamo il nostro server DNS.
Al termine del processo di installazione sotto la voce Tools del Server Manager troviamo il
collegamento al tool di gestione DNS:
Nella finestra che si apre configuriamo il nuovo server DNS cliccando sulla voce Configure DNS
Server contenuta nel menu Action.

Dovremmo dunque decidere il tipo di zona da configurare. Nel nostro sceglieremo la prima opzione
(Forward lookup) poiché tutte le query DNS che non possono essere risolte internamente, saranno
rindirizzate verso un altro server DNS presente al di furi della nostra rete, verosimilmente quello del
nostro provider di connettività.
Forniamo informazioni su eventuali altri server che dovranno gestire la zona del nostro DNS:

Definiamo la porzione dello spazio dei nomi cui questo server è autorevole (ossia su quale parte del
Namespace DNS questo server ha il permesso di risolvere le query):
Confermiamo la creazione del database dei nomi:

Scegliamo la tipologia di aggiornamenti permessi su questo server in termini di nuovi record

all’interno dello spazio dei nomi:
Inseriamo nella schermata successiva le informazioni riguardanti le DNS forward query: tutte le
query cui il server non sa rispondere verranno indirizzate a quest’altro indirizzo che nel nostro caso
è il Domain Controller dove avevamo precedentemente configurato il servizio DNS (si veda la
lezione 2).

A questo punto abbiamo la nostra nuova zona configurata. Per analizzare un database più “corposo”
possiamo andare sul Domain Controller e verificare i dati presenti aprendo lo snap-in DNS dal
Server Manager.
Quello che vediamo nella schermata è la Zona DNS: una porzione dell’intero namespace DNS nella
quale vengono registrati i diversi record.
Possiamo notare come vengono differenziate le zone a seconda del tipo di query da gestire:
• Forward Lookup Zone: risolve gli host name in indirizzi IP partendo da nomi di host (A),
alias (CNAME), servizi (SRV), mail exchange (MX), start of autority (SOA) e name server
(NS).
• Reverse Lookup Zone: risolve gli indirizzi IP in nomi a dominio.
Configurare il server per lo storage
In Windows Server 2012 sono state introdotte importanti novità per quanto concerne lo storage. Per
le finalità di questa guida non è necessario una descrizione puntuale di ognuna di queste nuove
caratteristiche. Per tale motivo rimandiamo alla lezione dedicata allo storage della guida di
introduzione a Windows Server 2012. Qui ci occuperemo invece degli aspetti più pratici di gestione
dei sistemi di archiviazione seguendo passo per passo la creazione di uno storage space in Windows
Server 2012.

Lo spazio in una rete

Quando progettiamo un’infrastruttura di rete dobbiamo considerare attentamente la problematica
dello spazio e l’utilizzo delle risorse disponibili. Alcune domande possibili in fase di progettazione
possono essere:
• Il nostro sistema di storage deve essere veloce?
• Deve prevedere soluzioni di alta affidabilità?
• Di quanto spazio abbiamo realmente bisogno? Quanto spazio è attualmente utilizzato dalle
nostre soluzioni?
• Quanta flessibilità deve avere la nostra soluzione al fine di adattarsi a scenari futuri?

Senza dilungarci molto sulle differenti soluzioni di storage, possiamo generalizzare distinguendo
tra:
• Direct Attached Storage o DAS : comprende tutti quei dischi che sono fisicamente
collocati dentro un server o collegati direttamente al server con un sistema in fibra o
alternativo.
• Network Attached Storage o NAS : vogliono risolvere la problematica dei DAS rispetto al
punto di fallimento del sistema a cui sono attaccati. Per fare ciò sono stati progettati storage
server con sistemi operativi dedicati ed array di dischi direttamente attaccati al server stesso;
• Storage Area Network o SAN : sono i sistemi più sofisticati che prevedono il collegamento
attraverso canali dedicati e con protocolli ad-hoc. Possono anche esser considerati come dei
NAS di livello enterprise e sono di solito implementati a mezzo di tecnologie come Fibre
Channel e iSCSI.
L’implementazione di uno spazio di storage per la rete non è cosa banale, anzi gestire molte risorse,
etichettarle e renderle disponibili sulla rete risulta spesso oneroso e tedioso. Per questo molte
soluzioni di rete fino ad oggi sono state implementate a mezzo di SAN che permettevano la
centralizzazione dei dischi e della gestione. Configurare una SAN è, altresì, una procedura delicata
e ricca di passaggi. Per questo motivo una delle novità del nuovo Windows Server è l’introduzione
della nuova funzionalità Storage Spaces.
Storage Spaces consente di raggruppare tutti i dischi presenti come se fossero un unico disco al
fine di semplificare la gestione e la condivisione dello spazio.
Storage Spaces è, dunque, un sistema di virtualizzazione studiato e progettato appositamente per lo
storage. Questa funzionalità permette di aggiungere allo storage pool numerose risorse variegate tra
loro in termini di spazio, disponibilità, tipologia e quant’altro. Le risorse una volta aggiunte al pool
possono essere aggregate sotto dei virtual disk.

Configurare Storage Spaces

Dalla Dashboard del Server Manager (o dal menu Gestione), se precedentemente non l’abbiamo
ancora fatto, creiamo un gruppo di Server che vogliamo amministrare al fine di gestirne i dischi ad
essi collegati.
Scegliamo di Creare un Server Group e aggiungiamone i Server disponibili dal pannello Active
Directory

Dalla Dashboard dello stesso Server Manager passiamo ora al pannello di gestione dello storage con
un clic su Servizi file e archiviazione.
Attualmente nel pannello Storage Pools non abbiamo ancora nessun pool configurato (lo capiamo
poiché avremo etichettati gli Storage Spaces con la voce primordial). Creiamo perciò prima di tutto
i Pool per ciascuna risorsa.
Selezioniamo i dischi fisici che abbiamo a disposizione e dal pulsante Attività scegliamo di creare
un nuovo Storage Pool.
Seguiamo il Wizard proposto dando, al primo passaggio, un nome al pool come, ad esempio,
“ARCA-POOL”:

Scegliamo successivamente gli hard disk da inserire (nel nostro caso un solo disco):
Dopo aver confermato quanto scelto e abbiamo terminato la creazione del nostro Storage pool.
Facciamo la stessa cosa per le altre risorse disponibili e, nella tabella di riepilogo, avremo
visualizzati i nostri Storage Pool appena creati.
Ora possiamo procedere con la creazione dei Virtual Hard Disk che useremo per astrarre le risorse
fisiche di cui siamo in possesso da ciò che vogliamo presentare sulla nostra infrastruttura.
Scegliamo, dal pulsante Attività della sezione Dischi virtuali, la voce per creare un nuovo Virtual
Disk:

Lo stesso wizard ci informa di cosa stiamo per andare a fare: creeremo una collezione di uno o più
dischi fisici precedentemente aggregati in un particolare storage pool.
Selezioniamo il Pool sul quale lavorare:
Diamo un nome identificativo della risorsa che andiamo a creare:

Scegliamo uno dei profili disponibili (semplice, mirror, parity) al fine di adattare il proprio spazio di
archiviazione alle problematiche annesse all’alta affidabilità.
• Semplice è il profilo dedicato a configurare spazi ad alte prestazioni ma senza abilitare
servizi di alta affidabilità.
• Mirror è il profilo dedicato a spazi dall’alte performance e dalla media affidabilità. I dati
vengono replicati su più dischi in modo da rendere tollerabile il sistema al danneggiamento
 di un elemento dello spazio.
• Parity è il profilo dedicato a chi ha necessità di ottimizzare la capacità del proprio pool e,
allo stesso tempo, mantenere un profilo ad alta affidabilità.
Bisogna notare che chiaramente i profili dedicati all’alta affidabilità (mirror e parity) necessitano
rispettivamente di almeno due o tre dischi fisici sottostanti al fine di procedere con il setup.
Nel nostro caso seguiamo con il creare un disco “Semplice”:

Scegliamo il metodo di approvvigionamento dello spazio tra quelli proposti dal wizard:
Se creiamo un disco virtuale di tipo Thin possiamo definire una dimensione più grande di quella
disponibile al fine di pre-allocare risorse che, nel caso fossero richieste dal sistema, dovremo
provvedere successivamente a compensare.

Confermiamo quanto abbiamo disposto e ultimiamo la creazione.

Al termine di questo wizard ci viene proposto di creare un volume, lasciamo la spunta sull’opzione
e proseguiamo nell’ulteriore processo.
Il wizard seguente ci consente semplicemente di creare un volume per il VHD precedentemente
creato. Per fare ciò scegliamo il server di riferimento, il disco su cui vogliamo creare il volume e
procediamo al passo successivo:

Decidiamo la dimensione da allocare:

Assegniamo una lettera all’unità creata o una cartella di riferimento:

Scegliamo tipo di file system e l’etichetta (il nome) da assegnare:

Ultimiamo il processo di creazione:

E finalmente
nel nostro server possiamo lavorare sul nuovo volume creato.
Configurare la condivisione dei file e
stampanti
La necessità di accedere a risorse condivise come file e stampanti è uno degli aspetti più importanti
nella configurazione di una rete dedicata ad una piccola, o anche grande, azienda. Importanti
specifiche annesse alla sicurezza degli accessi e alla riservatezza di alcune risorse sono nozioni
importanti da considerare al fine di evitare comportamenti inaspettati e non voluti.
In questo capitolo vedremo come gestire la condivisione dei documenti e delle stampanti del nostro
server, istruzioni che valgono sia per Windows Server 2012 R2 sia per Windows Server 2012.
Partiamo dai file.

Condividere documenti
In via preliminare, esaminiamo i permessi che possono essere assegnati a file o cartelle. I “permessi
NTFS” possono essere:
• Assegnati a file, cartelle o insieme di questi due elementi
• Assegnati a oggetti come utenti, gruppi e computer
• Sono definiti in termine di capacità o meno a leggere o scrivere sulle risorse in questione
• Ereditano i permessi dalla cartella genitore

Nella versione standard i tipi di permesso NTFS che possiamo dare sono:

Controllo Permette il controllo completo della risorsa incluso la gestione

completo stessa dei permessi

Modifica Permette la lettura, scrittura, eliminazione dei file e delle cartelle e

anche la creazione degli stessi

Lettura ed Permette la lettura dei file e l’esecuzione dei programmi

esecuzione

Lettura Permette di vedere file e cartelle e di eseguire i programmi

Scrittura Permette la scrittura di un file

Visualizzazione Permette di vedere il contenuto di una singola cartella.

contenuto
cartella

In generale se da una cartella genitore si ereditano dei permessi e ne specifichiamo di nuovi in

maniera esplicita su una cartella figlia, i permessi espliciti hanno sempre la precedenza su quelli
ereditati. Sono anche da specificare le regole di applicazione in caso di Consenso o Negazione
concorrenti su di una stessa risorsa. In questi casi la sequenza di priorità dei permessi è:
1. Consenti esplicito
 2. Nega esplicito
3. Consenti ereditato
4. Nega ereditato
Possiamo prendere visione ed impostare i permessi dal pannello security delle proprietà di una
risorsa specifica.

Per quanto concerne la condivisione delle risorse la prima cosa da sapere è che possiamo
condividere solo cartelle e non singoli file.
Dalla sezione Condivisioni del pannello Servizi file e archiviazione del Server Manager possiamo
scegliere monitorare e gestire le diverse condivisioni:
Una nuova condivisione si può attivare dal pulsante Attività:

Nel nostro caso scegliamo la condivisione SMB rapida e, nella schermata successiva, scegliamo la
risorsa da condividere.
Diamo un nome alla risorsa condivisa e prendiamo visione di quanto ricapitolato dal wizard stesso

Nella schermata successiva possiamo scegliere tra le diverse opzioni da abilitare o meno per la
condivisione:
• Abilita enumerazione basata sull’accesso: consente agli utenti di vedere le sole risorse di
cui possiedono almeno il permesso in lettura, in questo modo vengono nascoste tutte le
risorse non pertinenti.
• Consenti memorizzazione nella cache della condivisione: permette di gestire sui client
 una copia della condivisione chiamata copia offline. I file vengono sincronizzati tra le copie
locali e non nel momento che il client si connette nuovamente alla rete. Da notare che se sul
server è installato il ruolo BranchCache, si potrà sfruttare questa tecnologia per rendere più
efficiente lo scambio di file fra reti appartenenti a succursali diverse (maggiori informazioni
nella lezione Le tecnologie di accesso remoto della nostra guida di presentazione di
Windows Server 2012).
• Crittografa accesso dati: permette di gestire un accesso sicuro alle risorse condivise

Nella schermata successiva possiamo scegliere i permessi associate alla risorsa da condividere
Ed infine il riepilogo del wizard prima della creazione della risorsa condivisa

Possiamo ora trovare la nuova risorsa condivisa direttamente dal nostro pannello di condivisione o
dalle cartelle di rete:

Condividere stampanti
Un’altra importante risorsa da condividere e gestire sulla rete sono le stampanti. In generale
possiamo permettere a Windows Server 2012 R2 di gestire le diverse stampanti e fungere dai client
sulla rete come print server in modo da ottimizzarne la gestione.
Basti pensare alla distribuzione dei driver: nel nuovo sistema operativo sono stati introdotti i V4
Printer Driver che consentono di astrarre la risorsa indipendentemente dalla piattaforma del client,
sia esso un sistema a 32 o 64 bit o dalla stessa risorsa che si vuole condividere.
Nel momento che condividiamo una stampante possiamo gestirne i seguenti permessi:
• Stampa: di default è abilitato per tutti gli utenti e consente di stampare documenti sulla
risorsa specificata.
• Gestione della stampante: consente di impostare settaggi particolari della stampante.
• Gestione dei documenti: consente di gestire la coda di stampa, di default è impostata a
Creator Owner, ossia chi invia i documenti ne gestisce anche la coda associata.
Una volta installato il ruolo Servizi di stampa e digitalizzazione dal Server Manager

Possiamo aprire lo snap-in relativo (Gestione stampa dal menu Strumenti), e procedere alla
condivisione di una o più stampanti.
Da questo pannello possiamo gestire le diverse stampanti, aggiungerne di nuove e distribuirle ai
diversi oggetti del dominio.
Gestire le Group Policy
Gestire una rete non è sempre un’operazione così banale. Abbiamo già visto diversi strumenti a
supporto dei diversi ruoli o funzionalità ma, dal punto di vista di un amministratore di rete,
dobbiamo capire come si possono gestire i diversi utenti e computer all’interno della stessa rete.
Le Group Policy o criteri di gruppo rappresentano esattamente lo strumento che consente di gestire
in maniera centralizzata la configurazione relativa a utenti e computer in quegli ambienti di rete
basati su Active Directory.
Il concetto di criteri di gruppo può essere applicato anche a quei client che non appartengono al
dominio, ma chiaramente questo comporta la perdita dei vantaggi annessi alla centralizzazione della
gestione e configurazione degli stessi.
Ci sono due aree principali di applicazione dei criteri di gruppo: user setting e computer setting.
Ambedue influenzano delle sezioni del registro di sistema sul sistema operativo dove vengono
applicate. Tutti gli aspetti delle Group Policy possono essere gestiti tramite la relativa console: la
Group Policy Management Console (GPMC). Possiamo richiamare la console direttamente dal
Server Manager del server Domain Controller cliccando sullo snap-in Gestione dei Criteri di
Gruppo sotto il menu Strumenti.

Lo strumento che ci troviamo innanzi ci consentirà di andare a gestire e configurare tutte le policy
di interesse per i nostri utenti e i nostri computer presenti sulla rete.
L’oggetto a grana più fine che possiamo trovare all’interno di questo strumento è il singolo Criterio,
un “documento” nel quale sono espletate tutte le singole configurazioni da applicare agli altri
oggetti del dominio, quali computer e utenti. Nella console di Gestione Criteri di Gruppo possiamo
creare oggetti, cancellarli, spostarli ed esplorare i diversi insiemi esattamente come facciamo con
Esplora Risorse.
Nel momento della creazione di un singolo criterio possiamo, sia nel caso degli utenti sia nel caso
dei computer, andare ad agire su specifiche aree:
• Impostazioni del software
• Impostazioni di Windows
• Modelli Amministrativi

In ognuna di queste aree possiamo andare a gestire migliaia di configurazioni diverse, la maggior
parte di questi si possono trovare in tre stati distinti e mutuamente esclusivi:
• Non configurato (stato di default)
• Attivata
• Disattivata
Un concetto importante da definire nella gestione dei criteri di gruppo è l’ereditarietà. La
creazione di un oggetto ad un particolare livello dell’albero del dominio implica che le policy da
esso specificate siano applicate a tutti gli oggetti compresi o discendenti da quel livello.
Se per esempio una policy è creata a livello del dominio, tutti gli oggetti ivi contenuti saranno affetti
da quella policy.
Una nota importante e doverosa è dovuta all’applicazione di policy che possono essere in contrasto
tra di loro a diversi livelli dell’albero del dominio. In questi casi bisogna rifarsi al motore di
applicazione delle group policy secondo il quale l’ordine di precedenza nell’applicazione delle
stesse è:
• Sito
• Dominio
• Unità Organizzativa
• Sotto unità organizzative figlie

In altre parole a parità di impostazione la regola che “vince” è quella più stringente: le unità
organizzative figlie hanno una precedenza rispetto al genitore.
Per comprendere meglio questo possiamo pensare al seguente scenario. A livello di dominio nessun
utente può accedere al pannello di controllo e alle sue impostazioni. Esiste una unità organizzativa,
che chiameremo ITStaff, nella quale sono presenti tutti gli utenti che dovranno avere il potere di
bypassare questa regola. Per questa unità organizzativa verrà creata una regola che esplicitamente
autorizza gli utenti a vedere il contenuto del pannello di controllo.

Come creare una policy di gruppo

Fin qui abbiamo appreso che esistono degli oggetti criteri di gruppo amministrabili dalla console
Gestione Criteri di Gruppo e che tra essi esiste una gerarchia secondo cui vengono stabilite delle
precedenze di applicazione delle policy.
Dobbiamo ora capire come si crea una policy e qual è lo strumento da usare in questo processo.
Per capire fino a fondo questo processo andiamo ad aprire una policy già esistente e cerchiamo
anzitutto di capire cosa fa e come si modifica.
Scegliamo e clicchiamo, dalla console Gestione Criteri di Gruppo, la policy Default Domain Policy
che viene creata contestualmente alla creazione di un dominio. Dalla scheda Impostazioni possiamo
andare a vedere i singoli criteri che sono attivati o meno in questa policy, come le policy sulle
password, sul blocco account e così via.

Tutte queste
operazioni sono fatte sempre dalla stessa console, ma qualora dovessimo creare una nuova policy, o
modificarne una esistente, dobbiamo usare l’Editor Gestione Criteri di Gruppo richiamabile, per
esempio, cliccando con il destro del mouse su una policy e scegliendo dal menu la voce Modifica.
Come accennato precedentemente in questa console possiamo prendere visione di due livelli
principali:
• Configurazione Computer : contiene tutte le impostazioni che vengono applicate a livello
del computer
• Configurazione Utente : contiene le impostazioni che vengono applicate a livello utente.

In ognuna di queste due macro aree possiamo andare sui diversi Criteri o Policy o Preferenze. Nei
primi, come avevamo poc’anzi detto, le impostazioni saranno applicate con dei criteri di gruppo su
tre aree di interesse:
• Impostazioni del software
• Impostazioni di Windows
• Modelli Amministrativi

Per quanto concerne invece le Preferenze, in queste cartelle troviamo tutte le impostazioni che
possono essere applicate al registro di sistema. Queste preferenze ci consentono di espandere le
potenzialità introdotte dalle group policy con delle impostazioni più granulari e mirate a specifiche
esigenze. Potremmo pensare, ad esempio, di creare un oggetto policy nel quale andiamo ad
impostare le impostazioni di risparmio energetico.
Per fare ciò creiamo dal menu Azione della console Gestione Criteri di Gruppo un oggetto Criteri
di gruppo in questo dominio …
Diamo il nome al GPO (Group Policy Object) che vogliamo creare:

E cliccando con il destro del mouse sulla policy appena creata andiamo a modificarne le
impostazioni.
Focalizziamo bene quanto vogliamo fare: vogliamo impostare la preferenza a livello di tutti i
computer appartenenti al dominio per quanto concerne il risparmio energetico. Scegliamo quindi
dalle varie cartelle l’opzione di Opzioni risparmio energia sotto Configurazione Computer /
Preferenze / Impostazioni del Pannello di Controllo:

Creiamo una nuova combinazione di risparmio energia dedicata a Windows 7 che influenzerà tutti i
nostri client il cui sistema operativo è superiore o uguale a Windows 7.
Impostiamo le opzioni desiderate, nel nostro caso abbiamo impostato le prestazioni elevate e la
disattivazione del monitor dopo 5 minuti sia che il pc sia alimentato a batteria che rete elettrica e
salviamo tutto.

A questo punto, tornando alla schermata della gestione dei criteri di gruppo troviamo la nostra
preferenza impostata per la policy creata.
A questo è legittimo chiedersi: quando verranno applicati i criteri che abbiamo creato?. La risposta
dipende soprattutto dalla natura del criterio stesso, se le impostazioni sono legate al computer
allora questi criteri vengono applicati all’avio di Windows altrimenti, nel caso di impostazioni a
livello utente, le impostazioni vengono applicate non appena questi effettua l’accesso.
Bisogna anche specificare che, per garantire l’applicazione dei nuovi criteri, anche in ambienti già
in esercizio, esistono degli aggiornamenti automatici secondo i quali, nel caso standard, ogni 90
minuti vengono aggiornati tutti i client del dominio; per cui se facciamo delle modifiche ai nostri
criteri possiamo esser sicuri che entro 90 minuti queste vengano applicate indipendentemente che
venga ri-effettuato l’accesso al pc o il riavvio dello stesso.
Altri due aspetti da considerare nella gestione dei criteri di gruppo:
• Collegamento di un criterio di gruppo
• Aggiornamento dei client

Per quanto concerne il primo punto in generale, come abbiamo visto, un criterio di gruppo ha un
ambito di applicazione all’interno dell’albero del dominio. Un criterio può trovare la sua
applicazione rispetto ad un sito, un dominio, un unità organizzativa o un figlio di questa.
Dall’albero presente in Gestione Criteri di Gruppo possiamo così scegliere uno dei livelli interessati
e, cliccando con il destro del mouse, scegliere di collegare un oggetto criteri di gruppo esistente.

Dalla finestra che compare scegliamo quale GPO vogliamo applicare e collegare all’unità in
interesse.
A questo punto, sotto l’unità organizzativa scelta, troveremo collegata anche la GPO
precedetemente selezionata.
L’ultima nota riguarda la forzatura di applicazione delle policy sui computer client. Non sempre
è possibile aspettare i 90 minuti di applicazione automatica delle policy pertanto possiamo usare un
sistema di aggiornamento manuale che obbliga i client ad aggiornare i criteri di gruppo.
Andando sul client possiamo aprire una console a riga di comando e successivamente forzare
l’aggiornamento digitando gpupdate /force obbligando così il sistema a prendere tutte le policy
comprese quelle non aggiornate di recente.
Lavorare con la virtualizzazione: Hyper-V
Sin da Windows Server 2008, Microsoft ha stato dato un importante focus agli ambienti di
virtualizzazione grazie all’introduzione del ruolo Hyper-V. Sicuramente non devo spiegare in questo
articoli i benefici della virtualizzazione e la necessità del consolidamento dei server ma cerchiamo,
piuttosto, di fornire una panoramica significativa sull’utilizzo di Hyper-V e sulla sua gestione.
Hyper-V è legato a quella che normalmente viene definita come Server Virtualization: la capacità di
creare su un singolo server più macchine virtuali che vengono eseguite in contemporanea e che
condividono le risorse della stessa macchina fisica. Il server che esegue Hyper-V viene definito host
e tutte le macchine virtuali sono ovviamente i guest di tale sistema.
In ambito di virtualizzazione gli strumenti messi a punto da Microsoft sono molteplici e possiamo
elencare i principali qui a seguito:
• Server Virtualization con Hyper-V
• Iaas e Paas attraverso Windows Azure
• Desktop virtualization con Hyper-V nei nuovi Windows 8 Pro ed Enterprise
• Virtual Desktop Infrastructure (VDI)
• Presentation Virtualization
• Application Virtualization (App-V)

Ognuno di questi ambiti di virtualizzazione è un mondo a sé stante e perciò non verrà trattato in
questa guida. Analizziamo invece cosa dobbiamo conoscere al fine di progettare la nostra server
virtualization.

Installazione del ruolo Hyper-V

Prima di tutto Hyper-V è considerato, all’interno di Windows Server 2012 R2, un ruolo dello stesso
server e come tale è installabile dal nostro Server Manager.
Quando decidiamo di installare Hyper-V dobbiamo tenere in considerazione che il server host dovrà
avere alcune caratteristiche: il processore x64 dovrà supportare SLAT (chiamata anche “Rapid
Virtualization Indexing (RVI)” oppure Extended Page Tables (EPT) per Intel e Nested Page Tables
(NPT) per AMD) e Data Execution Prevention. Una nota sulla RAM, il server deve avere almeno
4GB di RAM e, poiché la magia non esiste, il totale della RAM deve essere almeno pari alla somma
della memoria minima richiesta dalle singole macchine guest più quella necessaria alla macchina
host con Windows Server 2012 R2.
Continuiamo nel processo di installazione fino a completarlo scegliendo le schede di rete da usare
per le macchine virtuali:
E scegliendo l’ubicazione predefinita per i file di configurazione delle macchine guest e dei loro
virtual hard disk (VHD).

Confermiamo il riepilogo così da installare quanto scelto e concludere così il processo di

installazione.
Al termine dell’installazione il Server richiederà il riavvio, ultimato il quale saremmo pronti ad
entrare nel vivo della virtualizzazione.
Come sempre dal nostro Server Manager possiamo scegliere di amministrare il nostro ambiente
virtualizzato richiamando la Console di gestione di Hyper-V.

In questa console possiamo prender visione di tutti quei nodi, all’interno della rete, sui quali è
installato il ruolo di Hyper-V. In caso questi non venissero installati possiamo sempre connetterci ad
uno specifico server utilizzando l’apposita funzione nel pannello di destra.
Creazione della macchina virtuale
Andiamo ora a creare nel nostro ambiente una nuova macchina virtuale così da capire a pieno quali
sono i passi da effettuare e cosa considerare.
Durante il processo di creazione di una macchina virtuale ci sono alcuni aspetti da tenere in
considerazione. Il primo è inerente alla memoria, nella nuova versione di Hyper-V possiamo
dinamicamente assegnare un quantitativo di memoria alla macchina virtuale, il che vuol dire che, a
seconda della vera necessità richiesta, verrà allocata al guest la RAM necessaria. Possiamo
ovviamente scegliere un valore minimo della memoria così da garantire sempre il necessario e
corretto funzionamento (soprattutto in fase di avvio del sistema). In Windows Server 2012 R2
questi valori possono essere modificati anche mentre la macchina è in stato di running.
Dal menu di Hyper-V possiamo scegliere di creare un Nuovo / Macchina Virtuale ed entrare così nel
wizard che ci consentirà la creazione del nostro primo guest.

Scegliamo un nome per la nostra macchina ed eventualmente scegliamo un percorso diverso per la
memorizzazione dei file di configurazione relativi.
Scegliamo di usare la memoria dinamica, come precedentemente illustrato così da impostarne
successivamente i minimi e i massimi.

Scegliamo la scheda di rete da usare per la nostra macchina

Creiamo un disco virtuale ed indichiamone il percorso di archiviazione

Scegliamo se dobbiamo installare subito un sistema operativo da un supporto fisico o da

un’immagine ISO:
Prendiamo nota del riepilogo ed ultimiamo il processo di creazione della nostra prima macchina
virtuale.
Indipendentemente dal sistema operativo che andremmo ad installare sulla nostra macchina guest,
esistono una serie di opzioni e impostazioni che possono essere configurate.
Cliccando con il tasto destro sulla macchina possiamo prenderne visione scegliendo dal menu a
discesa la voce Impostazioni.
Una prima nota va sicuramente alla gestione della memoria che come avevamo predetto è una
memoria allocata dinamicamente all’interno di un range da noi prefissato.
In questa finestra possiamo andare ad impostare anche il numero di processori, il numero di VHD e
il tipo collegati alla macchina virtuale, le eventuali schede LAN necessarie con le relative
impostazioni e altre due impostazioni che necessitano di una piccola spiegazione: l’avvio e l’arresto
automatico della macchina virtuale.
Di default, ogni volta che viene creata una nuova macchina, Hyper-V ne imposta l’avvio
automatico; cosicché ogni volta che il nodo host parte si avvia anche la macchina virtuale su di
esso ospitata. In questo pannello possiamo quindi andare a configurare tutte le opzioni relative al
comportamento della macchina virtuale connesse all’avvio o allo spegnimento dell’host.
Possiamo per esempio ritardare l’avvio della macchina così da evitare la sovrapposizione
dell’avvio di altri nodi o in caso di arresto possiamo salvare lo stato della macchina virtuale. Tutti
questi parametri sono indispensabili al fine di prevenire comportamenti
inopportuni nell’ambiente virtualizzato.
Al fine di migliorare ulteriormente le performance tra host e guest, si possono installare una serie di
funzionalità aggiuntive che prendono il nome di Virtual Machine Integration Services.
Per l’installazione di questi dopo aver installato il sistema operativo guest, dal menu Azione della
macchina guest possiamo scegliere di inserire il disco di installazione dei servizi di integrazione e
lanciarne l’installazione dal sistema operativo stesso.
Hard disk virtuali e networking
Altre due note doverose riguardano i virtual hard disk e il networking. Con la nuova versione di
Windows Server 2012 abbiamo importanti novità che riguardano i supporti virtuali annessi alle
macchine guest. La prima da tenere in considerazione, soprattutto in ambienti di piccole dimensioni,
è la possibilità di memorizzare i VHD in una semplice share di rete SMBv3 anziché in unità
LUN, SAN o altri sistemi dedicati di storage. Questa novità è chiaramente un beneficio per tutte
quelle “semplici” realtà dove il costo di un sistema di storage dedicato non è facilmente sostenibile
o per esempio in ambienti di test dove non sempre si hanno enormi risorse a disposizione.
Un’altra importante novità riguarda l’introduzione del nuovo formato VHDX che consente di
aumentare sensibilmente la capacità di ogni singolo virtual hard disk, da 2TB a 64TB, e di
migliorare le performance e la stabilità dello stesso supporto al fine di creare ambienti sempre più
affidabili e performanti. In una lezione della guida Windows Server 2012 abbiamo indicato tutte le
novità introdotte nel nuovo Hyper-V. Le novità di Hyper-V in Windows Server 2012 R2 le abbiamo
invece indicate in uno degli articoli della nostra serie dedicata al Cloud OS.
L’ultima doverosa nota, come precedentemente detto, riguarda le cosiddette Virtual Network.
Hyper-V introduce molteplici modi di comunicazione tra le macchine guest. Negli scenari più
semplici si può pensare solamente alla necessità di far comunicare le macchini virtuali con il mondo
esterno ma in scenari un po’ più complessi o che richiedono un minimo in più di progettazione
potremmo pensare alla necessità di introdurre dei sistemi di comunicazione
peculiari all’interno delle virtual machine stesse.
In tale senso Hyper-V nativamente ci offre un supporto su quelle che sono le interfacce di rete che
possono esser configurate a livello globale dell’ambiente di virtualizzazione. Dal pannello di
gestione di Hyper-V scegliamo di configurare gli Switch Virtuali.

Questi switch sono essenzialmente di tre tipi:

• Esterni: usati per mappare una rete con una scheda di rete, o un team di schede
• Interni: usati per creare una comunicazione tra le diverse macchine virtuali compresa la
comunicazione verso l’host stesso
• Privati: usati solo per la comunicazione tra le macchine virtuali

Quando configuriamo una rete virtuale possiamo anche configurarne un VLAN ID da associare
successivamente per la comunicazione con VLAN già presenti sulla rete.