Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Il 2012 è un anno di molteplici cambiamenti e in casa Microsoft uno dei più importanti è certamente
quello che riguarda il mondo dei Server.
Windows Server 2012 R2, di cui si può scaricare gratuitamente una versione completa di prova,
introduce tantissime novità negli scenari legati all’infrastruttura aziendale: da anni si parla di cloud
in tutte le sue possibili accezioni, ma sicuramente dando più enfasi al supporto che esso offre per
soluzioni applicative, piuttosto che a come il cloud stesso è anche pensato per la nostra
infrastruttura.
Windows Server 2012 R2 Standard per ambienti poco virtualizzati o non virtualizzati
Da notare che, a differenza del passato, non esistono differenze dal punto di vista tecnico fra le due
edizioni. L’edizione Datacenter differisce da quella Standard non per le funzionalità, ma per il
numero di istanze virtuali che possono essere eseguite: due nell’edizione Standard, illimitate
nell’edizione Datacenter. Per questo motivo, acquistando l’edizione Datacenter si ottiene dunque
una sostanziale riduzione dei costi in ambienti ad alta virtualizzazione.
Per quanto concerne invece i server di soluzioni o Small Business troviamo:
Edizione Descrizione
Windows Server R2 2012per piccole imprese con un massimo di 25 utenti che utilizzano server
Essentials dotati di due processori al massimo
Windows Server R2 2012per piccole imprese con un massimo di 15 utenti che utilizzano server a
Foundation processore unico
Nella versione R2 inoltre Windows Server 2012 R2 Essentials è diventato anche un ruolo. Questo
vuol dire che se si acquista una licenza Windows Server 2012 R2 Standard e si installa il ruolo
Windows Server 2012 R2 Essentials, il server diventa in tutto e per tutto un sistema operativo di
tipo Essentials con tutte le sue caratteristiche e in più si passa da 25 utenti a 100 utenti gestibili. In
qualsiasi momento si può passare dalla versione Essential alla Standard rimuovendo il ruolo.
Per scegliere la versione più adeguata è indispensabile sapere quali ruoli del server possiamo
abilitare e quali sono abilitati per default; per questo riportiamo un breve riepilogo tratto dal
Windows Server 2012 R2 licensing Data Sheet:
Server role Datacenter Standard Essentials Foundation
Automaticamente
AD Certificate Services Supporto Completo Supporto Limitato
Configurato e Installato
Automaticamente
AD Domain Services Supporto Completo Supporto Completo
Configurato e Installato
AD Lightweight
Supporto Completo Supporto Completo Supporto Completo
Directory Services
Automaticamente
DNS Server Supporto Completo Supporto Completo
Configurato e Installato
Automaticamente
File Services Supporto Completo Supporto Limitato
Configurato e Installato
Print & Doc Services Supporto Completo Supporto Completo Supporto Completo
Automaticamente
Web Services Supporto Completo Supporto Completo
Configurato e Installato
Windows Deploy
Supporto Completo Supporto Completo Supporto Completo
Services
Windows Server
Update ServicesSupporto Completo Non supportato Non supportato
(WSUS)
Per quanto riguarda il Licensing e altre informazioni sulle edizioni possiamo rifarci alla
documentazione ufficiale rilasciata da Microsoft.
A questo punto, considerando anche il numero di processori, memoria, macchine virtuali con cui
dovremo lavorare, siamo in grado di scegliere la licenza giusta per noi. E proseguire nella nostra
guida.
Progettare un’infrastruttura di rete per le PMI
Per partire con una buona progettazione dell’infrastruttura di rete è indispensabile capire:
• Cosa conosciamo della realtà attuale: dobbiamo non solo conoscere come è fatta la rete
ma capire quali sono i job operativi al fine di offrire la miglior soluzione alle esigenze che si
presentano
• Quali sono gli obiettivi che vogliamo soddisfare: un elenco di obiettivi chiari e ben definiti
è un punto di partenza necessario nel caso di un nuovo deploy o di una ristrutturazione
architetturale. Come ogni architetto anche quello di rete ha un disegno che vuole compiere e
questo non può prescindere dal capire quali saranno i servizi di cui dovremmo usufruire o
offrire all’interno della nostra infrastruttura di rete
• Quali sono le esigenze collaterali del cliente: spesso il cliente non sa di cosa può aver
bisogno e solo da un’intervista approfondita che tenga conto di ogni attività svolta dallo
stesso e dalla nostra esperienza possiamo capire e suggerire soluzioni idonee ai problemi.
Questo punto spesso è tralasciato da molti professionisti che in qualche modo cercano di
offrire una soluzione a “scatola chiusa”; bisogna però considerare che solo da un’attenta
analisi riusciremo a costruire la giusta soluzione per i problemi del cliente così da evitare un
ulteriore rifacimento della rete a breve termine e soprattutto lo scontento del cliente stesso
• Quali sono gli sviluppi a breve/medio termine: anche questo punto è spesso sottovalutato
da molti tralasciando così tutte quelle opportunità ed esigenze che potrebbero presentarsi in
seguito. Se da subito il nostro sistema è flessibile e pronto al futuro il cliente sarà certamente
più soddisfatto del nostro operato.
Notiamo importanti novità del wizard: si possono installare ruoli anche su ambienti remoti o
addirittura su supporti offline come VHD.
Selezioniamo dunque il nostro server dalla lista di server disponibili e procediamo con la scelta dei
ruoli. In automatico, al momento della scelta “Servizi di dominio Active Directory” il wizard ci
informerà della necessità di installare alcune funzionalità aggiuntive necessarie alla corretta
esecuzione del ruolo.
Import-Module ADDSDeployment
Install-ADDSForest '
-CreateDnsDelegation:$false '
-DatabasePath "C:\Windows\NTDS" '
-DomainMode "Win2012" '
-DomainName "PARADISO.local" '
-DomainNetbiosName "PARADISO" '
-ForestMode "Win2012" '
-InstallDns:$true '
-LogPath "C:\Windows\NTDS" '
-NoRebootOnCompletion:$false '
-SysvolPath "C:\Windows\SYSVOL" '
-Force:$true
L’ultimo step prima dell’installazione e del riavvio ci informa su quali sono eventuali errori da
risolvere. Possiamo ovviamente ignorare ciò che riguarda la delega DNS: il ruolo DNS server verrà
installato durante il processo successivo come possiamo notare alla voce “Server DNS: Sì”.
Facciamo clic su Installa per terminare la configurazione.
Una volta riavviato il server troveremo nel menu Strumenti del Server Manager i nuovi snap-in
relativi ad Active Directory e al ruolo DNS.
Ora che abbiamo configurato il nostro dominio di rete è buona prassi configurare i servizi di
gestione remota e desktop remoto in modo che con qualche clic possiamo a distanza controllare e
gestire il nostro server. Sempre dal nostro Server Manager gestiamo il nostro server locale e
abilitiamo i servizi richiesti.
Lavorare con un Domain Controller
Nel nostro esempio abbiamo, nella precedente lezione, installato un unico domain controller (che
chiameremo da qui in avanti, per comodità, DC). Potremmo pensare, soprattutto in configurazioni
ad alta affidabilità, di installare un secondo domain controller come replica del primo. In questo
modo il database di Active Directory Domain Services (AD DS) contenuto in NTDS.DIT e una
copia della cartella System Volume, SYSVOL, saranno sempre replicate nel nuovo nodo.
Le strategie in questo caso possono essere molteplici:
• Possiamo installare un DC Replica.
• Possiamo installare un DC come Read Only Domain Controller (RODC) per porre in sola
lettura sia NTDS.DIT che SYSVOL.
La replica di queste risorse può essere affidata direttamente ad AD DS replication service e, per
quanto riguarda la cartella SYSVOL, si sfruttano invece le potenzialità del Distribuited File System
DFS.
Facciamo un breve esempio per capire meglio di cosa stiamo parlando. Sempre dall’interfaccia del
Server Manager, sul nuovo server che vogliamo promuovere come replica, andiamo ad installare il
ruolo di Domain Controller come visto nella lezione precedente.
Dopo i primi step di installazione passiamo alla promozione del server come domain controller:
Dal nuovo pannello scegliamo di installare il nuovo server all’interno di un dominio esistente
Selezioniamo l’opzione Controller di dominio di sola lettura, che consente migliori garanzie in
termini di sicurezza per quei nodi che sono difficilmente controllabili, inseriamo una password per
il DSRM e proseguiamo nel processo di installazione.
Scegliamo con attenzione quali sono le funzionalità che devono essere attive nel nostro server di
replica:
Nelle schermate successive ci verranno richieste informazioni relative alla replica e al server di
partenza da replicare e ci sarà chiesto se è necessario usare supporti diversi all’installazione IFM
(Installa da supporto).
Seguiamo il wizard che ci invita a scegliere le cartelle dove memorizzare database, SYSVOL e log:
Seguiamo gli ultimi passaggi che ci informano, in una sorta di riepilogo, i dati scelti, verificano i
prerequisiti e ci invitano ad effettuare l’installazione di tutto ciò che è stato precedentemente
selezionato. Al termine del processo di installazione ci verrà chiesto di riavviare il server. Al
termine del riavvio avremo il nostro dominio RODC (read only domain controller) a disposizione.
Il global catalog
Un componente importante di Active Directory che merita una sua descrizione a parte, e che avrete
sicuramente notato durante tutti i processi di installazione, è il global catalog: un database nel quale
sono presenti tutti gli oggetti dei diversi domini presenti all’interno della nostra foresta.
Nello scenario descritto fino ad ora il global catalog non è espresso a pieno. Pensiamo però a
scenari in cui siano presenti un dominio A e un dominio B all’interno della stessa foresta. Se
avessimo bisogno di conoscere gli oggetti di entrambi i domini dovremmo, appunto, utilizzare il
global catalog.
Questo archivio, attraverso una rappresentazione sintetica– non vengono collezionati tutti gli
attributi di ogni singolo oggetto –, offre una visione globale di ogni oggetto presente in ogni
dominio di ogni foresta.
Gli oggetti sono un insieme di attributi di una risorsa presente in rete: un utente, una stampante, un
computer e così via. Per poterli ben gestire, è necessario organizzarli in modo coerente. Nel
momento in cui si approccia al mondo delle reti e di Active Directory, sono due i livelli
fondamentali che ci consentono di organizzare la nostra rete: logico e fisico.
A livello logico troviamo:
• Organizational Unit: una serie di oggetti del dominio raggruppati tra loro per affinità di
interesse (es. stampanti, reparto vendite, etc..).
• Domini: un gruppo di oggetti che condividono un database.
• Alberi di dominio: uno o più domini che condividono un namespace contiguo .
• Foreste di dominio: uno o più alberi di dominio.
Nel nostro caso non siamo interessati a far comunicare diversi domini tra loro, ma potremmo
considerare che la nostra PMI ha una sede a Roma e una a Milano, la comunicazione tra queste sedi
è possibile proprio tramite la specifica di subnet e siti.
Creare e configurare utenti, gruppi e computer
Uno dei motivi fondamentali per cui si sceglie un’architettura server basata su Active Directory è la
necessità di autenticare utenti verso le nostre risorse. Prendiamo quindi subito confidenza con i
nostri utenti e cerchiamo di capire al meglio come gestirli.
Sempre dalla nostro preziosissimo Server Manager possiamo individuare i vari Snap-In associati ad
Active Directory:
• Active Directory Users and Computers: come suggerisce il nome permette di gestire
utenti, computer, gruppi e organizational unit.
• Active Directory Sites and Services: lo snap-in usato per la gestione della replica, il
networking dell’intera rete e i servizi ad esso relativi.
• Active Directory Domains and Trust: gestisce le possibili relazioni tra alberi di foreste.
• Active Directory Administrative Center: un’interfaccia basata su PowerShell per la
gestione di tutto il mondo AD.
Nel nostro caso dal menu Strumenti del Server Manager scegliamo Utenti e computer di Active
Directory per iniziare la configurazione dei nostri utenti.
Per quanto concerne la creazione di utenti bisogna sottolineare che, in una rete basata su Windows
Server 2012, possiamo avere sostanzialmente due tipi di utenze:
• Utenti locali: sono definiti sul singolo computer e possono operare, limitatamente ai
permessi accordati, solo su quella macchina.
• Utenti di dominio: sono definiti nel pannello di Active Directory e generalmente, a meno di
policy applicate, possono operare su qualsiasi risorsa del dominio.
Per creare un nuovo utente, dal pannello Utenti e computer di Active Directory, esploriamo l’albero
del nostro dominio PARADISO.local, selezioniamo la voce Users e, dopo un clic con il tasto destro
del mouse, scegliamo di creare un nuovo utente.
Scegliamo nella schermata successiva una password da consegnare all’utente per il primo login e
lasciamo spuntata l’opzione Cambiamento obbligatorio password all’accesso successivo, in
maniera da consentire agli utenti piena autonomia e confidenzialità nella scelta della propria
password.
Una finestra ci informerà poi di tutti i dati scelti e cliccando su Fine abbiamo terminato la creazione
del nostro primo utente.
Gli attributi dell’utente
Cliccando due volte sull’utente appena creato, visibile sempre dal pannello Utenti e computer di
Active Directory, possiamo prendere visione di tutta una serie di attributi che possono aiutare nella
gestione dell’utente stesso.
Certamente una delle schede più importanti e degne di nota è quella associata al profilo utente:
Possiamo inoltre osservare come, nel momento del join, nella schermata Computer del pannello
Utenti e computer di Active Directory troveremo il nuovo oggetto appena creato.
Gestione degli utenti
Per gestire ogni utente possiamo accedere con il destro del mouse al menu ad esso associato e
scoprire le varie operazioni disponibili come:
• Cancellare uno user account.
• Disabilitare uno user account.
• Reimpostare la password.
• Modificare le proprietà dell’utente.
• Spostare uno user Account.
• Creare un nuovo Template Account (utile nel processo di creazione di molteplici utenti con
proprietà simili).
• Creare uno user account partendo da un template creato (Copy).
Gli utenti possono essere inoltre organizzati in gruppi. In scenari medio piccoli la gestione degli
utenti può essere effettuata anche a mano ma, pensando alla scalabilità, la soluzione più versatile ed
efficace è quella di usare i Group Account.
In Windows Server esistono sostanzialmente due tipi di gruppi:
• Sicurezza: usato principalmente per l’applicazione di policy.
• Distribuzione: usato principalmente per applicazioni di tipo mail: invio di messaggi a tutti
gli utenti facenti parte del gruppo.
Oltre alla tipologia, un gruppo ha anche un suo Ambito (o scope):
• Locale al dominio: applicabile a tutti gli oggetti del dominio.
• Globale: applicabile a tutti gli oggetti del dominio e dei domini trusted.
• Universale: applicabile a tutti gli oggetti della foresta.
Per creare un nuovo gruppo possiamo usare lo stesso meccanismo applicato alla creazione di un
nuovo utente e scegliere l’opzione Gruppo. Attribuiamo al gruppo un nome, scegliamo un ambito e
un tipo a seconda della nostra esigenza e confermiamo la creazione.
Possiamo ora aggiungere nuovi membri al gruppo creato. Per fare ciò possiamo o fare clic sugli
utenti che vogliamo legare al gruppo con il tasto destro e scegliere l’opzione Aggiungi a un gruppo
o aprire ogni singolo oggetto e, dal pannello Membro di, possiamo aggiungere un nuovo gruppo
indicandone il nome.
Configurare un DHCP Server
All’interno di una rete, anche se medio-piccola, è impensabile gestire manualmente gli indirizzi IP
dei server. Anche i router meno raffinati possono abilitare un server in grado di gestire il Dynamic
Host Configuration Protocol (DHCP) ma, quello che forse molti di voi non sanno, è che il DHCP
può fare molto di più.
La tecnologia che è alla base del DHCP ci consente di distribuire sulla rete non solo indirizzi IP, ma
anche altre informazioni di configurazione. Su una rete in cui abbiamo, ad esempio, dei telefoni
VOIP possiamo indicare, per dirne una, dov’è il file del provisioning del telefono stesso attraverso
delle semplici regole DHCP.
In questa lezione vedremo come configurare un Server DHP sulla nostra macchina Windows Server
2012. Ricordiamo che possiamo scaricare gratuitamente una versione di prova di Windows Server
2012 da usare come base per le nostre prove.
Dal Pannello Network and Sharing Center visioniamo le proprietà della scheda di rete e
modifichiamo le proprietà IPv4 della scheda con i seguenti parametri (da adattare in caso di range
IP diversi da quelli suggeriti):
Ultimiamo il processo con un clic sul pulsante Commit e prendiamo visione dell’ultimo riepilogo:
Dopo avere installato un il ruolo DHCP, cliccando su Strumenti all’interno del Server Manager,
troveremo lo snap-in che ci consente di gestire il nostro Server DHCP.
Una delle prime cose che ci troviamo di fronte da gestire sono i DHCP scope. Uno scope è un
metodo secondo il quale possiamo configurare un gruppo di indirizzi IP. Possiamo pensare ad un
scope come ad un macro insieme con particolari regole: subnet, hardware, gruppo di client e così
via.
Al fine di configurare uno scope dobbiamo fornire alcune informazioni importanti:
• Nome e descrizione dello scope.
• Range degli indirizzi IP che vogliamo assegnare.
• Subnet Mask di appartenenza.
• Una lista di singoli indirizzi IP che vogliamo escludere dal lease (per esempio i server
allocati staticamente).
• Il tempo massimo (delay) prima che il server offra un indirizzo IP (DHCPOFFER).
• Il tempo massimo (lease duration) prima che scada l’indirizzo IP assegnato al client.
• Option: servono per ulteriori informazioni aggiuntive come:
• 003 – Default Gateway
• 006 – Server DNS
Possiamo anche configurare uno scope per indirizzi IPv6 al fine di permettere tale indirizzamento
nella rete.
Per configurare un nuovo scope nella console DHCP facciamo clic con il pulsante destro del mouse
su IPv4 e selezioniamo New Scope.
Nella schermata successiva inseriamo le informazioni sul range degli indirizzi IP che vogliamo
assegnare allo scope.
Indichiamo gli indirizzi IP che devono essere esclusi dal lease:
Inseriamo le informazioni sul server WINS, se necessario, e attiviamo lo scope appena creato:
I nuovi client che effettueranno richieste di indirizzamento saranno ora serviti dal nostro server
DHCP.
E questo è ciò che troviamo nel client configurato per ricevere gli indirizzi automaticamente.
In alcuni scenari abbiamo la necessità di riservare alcuni indirizzi IP per macchine specifiche.
Possiamo, ad esempio, pensare che la stampante di rete venga configurata con un particolare
indirizzo IP. Per fare ciò prendiamo nota del MAC Address della macchina che vogliamo
configurare e torniamo sulla console DHCP per configurare la reservation.
Compiliamo tutti i campi e confermiamo. D’ora in avanti ogni volta che la macchina con scheda di
rete il cui indirizzo MAC è 001122334455 effettuerà una DHCP REQUEST, verrà ad essa assegnato
l’indirizzo IP 192.168.181.33.
Configurare un DNS Server
La risoluzione dei nomi di dominio è uno dei principi alla base del buon funzionamento di una rete.
Sulla rete vengono inoltrate continuamente richieste per la risoluzione di servizi internet o per la
risoluzione di indirizzi cui sono associate risorse interne. Per questo motivo i servizi Active
Directory sono in strettissima collaborazione con tutto ciò che concerne i DNS.
Il DNS dal nostro punto di vista è un servizio che utilizza un database distribuito al fine di
risolvere le richieste (o query) FQDN (Fully Qualified Domain Name) e altre richieste da
hostname a indirizzo IP. In questa lezione non ci dilungheremo nello spiegare il funzionamento
intrinseco del DNS, ma ci focalizzeremo piuttosto su come viene installato un server DNS
all’interno della nostra rete e su come questo venga gestito. Per maggiori informazioni sul servizio
rimandiamo alla documentazione ufficiale su Microsoft Technet.
Per quanto concerne l’installazione del server DNS, ricordiamo che durante il processo di
promozione del controller di dominio esaminato nella lezione 2, abbiamo spuntato l’opzione di
installazione del ruolo DNS Server direttamente sul controller di dominio.
Per cui, sullo stesso controller possiamo, dal Server Manager, lanciare il tool di gestione del server
DNS. In alternativa possiamo decidere di installare un nuovo server DNS all’interno della nostra
rete, così da avere un secondo nodo che svolga questa funzione.
Lanciamo come sempre l’installazione di nuovi ruoli dalla schermata principale del nostro Server
Manager (Gestione / Aggiungi ruoli e funzionalità) e installiamo sul server DHCP-DNS-
PARADISO il ruolo di DNS Server.
Accettiamo il suggerimento nella schermata che ci informa di installare contemporaneamente anche
i tool di gestione:
Dovremmo dunque decidere il tipo di zona da configurare. Nel nostro sceglieremo la prima opzione
(Forward lookup) poiché tutte le query DNS che non possono essere risolte internamente, saranno
rindirizzate verso un altro server DNS presente al di furi della nostra rete, verosimilmente quello del
nostro provider di connettività.
Forniamo informazioni su eventuali altri server che dovranno gestire la zona del nostro DNS:
Definiamo la porzione dello spazio dei nomi cui questo server è autorevole (ossia su quale parte del
Namespace DNS questo server ha il permesso di risolvere le query):
Confermiamo la creazione del database dei nomi:
A questo punto abbiamo la nostra nuova zona configurata. Per analizzare un database più “corposo”
possiamo andare sul Domain Controller e verificare i dati presenti aprendo lo snap-in DNS dal
Server Manager.
Quello che vediamo nella schermata è la Zona DNS: una porzione dell’intero namespace DNS nella
quale vengono registrati i diversi record.
Possiamo notare come vengono differenziate le zone a seconda del tipo di query da gestire:
• Forward Lookup Zone: risolve gli host name in indirizzi IP partendo da nomi di host (A),
alias (CNAME), servizi (SRV), mail exchange (MX), start of autority (SOA) e name server
(NS).
• Reverse Lookup Zone: risolve gli indirizzi IP in nomi a dominio.
Configurare il server per lo storage
In Windows Server 2012 sono state introdotte importanti novità per quanto concerne lo storage. Per
le finalità di questa guida non è necessario una descrizione puntuale di ognuna di queste nuove
caratteristiche. Per tale motivo rimandiamo alla lezione dedicata allo storage della guida di
introduzione a Windows Server 2012. Qui ci occuperemo invece degli aspetti più pratici di gestione
dei sistemi di archiviazione seguendo passo per passo la creazione di uno storage space in Windows
Server 2012.
Senza dilungarci molto sulle differenti soluzioni di storage, possiamo generalizzare distinguendo
tra:
• Direct Attached Storage o DAS : comprende tutti quei dischi che sono fisicamente
collocati dentro un server o collegati direttamente al server con un sistema in fibra o
alternativo.
• Network Attached Storage o NAS : vogliono risolvere la problematica dei DAS rispetto al
punto di fallimento del sistema a cui sono attaccati. Per fare ciò sono stati progettati storage
server con sistemi operativi dedicati ed array di dischi direttamente attaccati al server stesso;
• Storage Area Network o SAN : sono i sistemi più sofisticati che prevedono il collegamento
attraverso canali dedicati e con protocolli ad-hoc. Possono anche esser considerati come dei
NAS di livello enterprise e sono di solito implementati a mezzo di tecnologie come Fibre
Channel e iSCSI.
L’implementazione di uno spazio di storage per la rete non è cosa banale, anzi gestire molte risorse,
etichettarle e renderle disponibili sulla rete risulta spesso oneroso e tedioso. Per questo molte
soluzioni di rete fino ad oggi sono state implementate a mezzo di SAN che permettevano la
centralizzazione dei dischi e della gestione. Configurare una SAN è, altresì, una procedura delicata
e ricca di passaggi. Per questo motivo una delle novità del nuovo Windows Server è l’introduzione
della nuova funzionalità Storage Spaces.
Storage Spaces consente di raggruppare tutti i dischi presenti come se fossero un unico disco al
fine di semplificare la gestione e la condivisione dello spazio.
Storage Spaces è, dunque, un sistema di virtualizzazione studiato e progettato appositamente per lo
storage. Questa funzionalità permette di aggiungere allo storage pool numerose risorse variegate tra
loro in termini di spazio, disponibilità, tipologia e quant’altro. Le risorse una volta aggiunte al pool
possono essere aggregate sotto dei virtual disk.
Dalla Dashboard dello stesso Server Manager passiamo ora al pannello di gestione dello storage con
un clic su Servizi file e archiviazione.
Attualmente nel pannello Storage Pools non abbiamo ancora nessun pool configurato (lo capiamo
poiché avremo etichettati gli Storage Spaces con la voce primordial). Creiamo perciò prima di tutto
i Pool per ciascuna risorsa.
Selezioniamo i dischi fisici che abbiamo a disposizione e dal pulsante Attività scegliamo di creare
un nuovo Storage Pool.
Seguiamo il Wizard proposto dando, al primo passaggio, un nome al pool come, ad esempio,
“ARCA-POOL”:
Scegliamo successivamente gli hard disk da inserire (nel nostro caso un solo disco):
Dopo aver confermato quanto scelto e abbiamo terminato la creazione del nostro Storage pool.
Facciamo la stessa cosa per le altre risorse disponibili e, nella tabella di riepilogo, avremo
visualizzati i nostri Storage Pool appena creati.
Ora possiamo procedere con la creazione dei Virtual Hard Disk che useremo per astrarre le risorse
fisiche di cui siamo in possesso da ciò che vogliamo presentare sulla nostra infrastruttura.
Scegliamo, dal pulsante Attività della sezione Dischi virtuali, la voce per creare un nuovo Virtual
Disk:
Lo stesso wizard ci informa di cosa stiamo per andare a fare: creeremo una collezione di uno o più
dischi fisici precedentemente aggregati in un particolare storage pool.
Selezioniamo il Pool sul quale lavorare:
Diamo un nome identificativo della risorsa che andiamo a creare:
Scegliamo uno dei profili disponibili (semplice, mirror, parity) al fine di adattare il proprio spazio di
archiviazione alle problematiche annesse all’alta affidabilità.
• Semplice è il profilo dedicato a configurare spazi ad alte prestazioni ma senza abilitare
servizi di alta affidabilità.
• Mirror è il profilo dedicato a spazi dall’alte performance e dalla media affidabilità. I dati
vengono replicati su più dischi in modo da rendere tollerabile il sistema al danneggiamento
di un elemento dello spazio.
• Parity è il profilo dedicato a chi ha necessità di ottimizzare la capacità del proprio pool e,
allo stesso tempo, mantenere un profilo ad alta affidabilità.
Bisogna notare che chiaramente i profili dedicati all’alta affidabilità (mirror e parity) necessitano
rispettivamente di almeno due o tre dischi fisici sottostanti al fine di procedere con il setup.
Nel nostro caso seguiamo con il creare un disco “Semplice”:
Scegliamo il metodo di approvvigionamento dello spazio tra quelli proposti dal wizard:
Se creiamo un disco virtuale di tipo Thin possiamo definire una dimensione più grande di quella
disponibile al fine di pre-allocare risorse che, nel caso fossero richieste dal sistema, dovremo
provvedere successivamente a compensare.
Al termine di questo wizard ci viene proposto di creare un volume, lasciamo la spunta sull’opzione
e proseguiamo nell’ulteriore processo.
Il wizard seguente ci consente semplicemente di creare un volume per il VHD precedentemente
creato. Per fare ciò scegliamo il server di riferimento, il disco su cui vogliamo creare il volume e
procediamo al passo successivo:
E finalmente
nel nostro server possiamo lavorare sul nuovo volume creato.
Configurare la condivisione dei file e
stampanti
La necessità di accedere a risorse condivise come file e stampanti è uno degli aspetti più importanti
nella configurazione di una rete dedicata ad una piccola, o anche grande, azienda. Importanti
specifiche annesse alla sicurezza degli accessi e alla riservatezza di alcune risorse sono nozioni
importanti da considerare al fine di evitare comportamenti inaspettati e non voluti.
In questo capitolo vedremo come gestire la condivisione dei documenti e delle stampanti del nostro
server, istruzioni che valgono sia per Windows Server 2012 R2 sia per Windows Server 2012.
Partiamo dai file.
Condividere documenti
In via preliminare, esaminiamo i permessi che possono essere assegnati a file o cartelle. I “permessi
NTFS” possono essere:
• Assegnati a file, cartelle o insieme di questi due elementi
• Assegnati a oggetti come utenti, gruppi e computer
• Sono definiti in termine di capacità o meno a leggere o scrivere sulle risorse in questione
• Ereditano i permessi dalla cartella genitore
Nella versione standard i tipi di permesso NTFS che possiamo dare sono:
Per quanto concerne la condivisione delle risorse la prima cosa da sapere è che possiamo
condividere solo cartelle e non singoli file.
Dalla sezione Condivisioni del pannello Servizi file e archiviazione del Server Manager possiamo
scegliere monitorare e gestire le diverse condivisioni:
Una nuova condivisione si può attivare dal pulsante Attività:
Nel nostro caso scegliamo la condivisione SMB rapida e, nella schermata successiva, scegliamo la
risorsa da condividere.
Diamo un nome alla risorsa condivisa e prendiamo visione di quanto ricapitolato dal wizard stesso
Nella schermata successiva possiamo scegliere tra le diverse opzioni da abilitare o meno per la
condivisione:
• Abilita enumerazione basata sull’accesso: consente agli utenti di vedere le sole risorse di
cui possiedono almeno il permesso in lettura, in questo modo vengono nascoste tutte le
risorse non pertinenti.
• Consenti memorizzazione nella cache della condivisione: permette di gestire sui client
una copia della condivisione chiamata copia offline. I file vengono sincronizzati tra le copie
locali e non nel momento che il client si connette nuovamente alla rete. Da notare che se sul
server è installato il ruolo BranchCache, si potrà sfruttare questa tecnologia per rendere più
efficiente lo scambio di file fra reti appartenenti a succursali diverse (maggiori informazioni
nella lezione Le tecnologie di accesso remoto della nostra guida di presentazione di
Windows Server 2012).
• Crittografa accesso dati: permette di gestire un accesso sicuro alle risorse condivise
Nella schermata successiva possiamo scegliere i permessi associate alla risorsa da condividere
Ed infine il riepilogo del wizard prima della creazione della risorsa condivisa
Possiamo ora trovare la nuova risorsa condivisa direttamente dal nostro pannello di condivisione o
dalle cartelle di rete:
Condividere stampanti
Un’altra importante risorsa da condividere e gestire sulla rete sono le stampanti. In generale
possiamo permettere a Windows Server 2012 R2 di gestire le diverse stampanti e fungere dai client
sulla rete come print server in modo da ottimizzarne la gestione.
Basti pensare alla distribuzione dei driver: nel nuovo sistema operativo sono stati introdotti i V4
Printer Driver che consentono di astrarre la risorsa indipendentemente dalla piattaforma del client,
sia esso un sistema a 32 o 64 bit o dalla stessa risorsa che si vuole condividere.
Nel momento che condividiamo una stampante possiamo gestirne i seguenti permessi:
• Stampa: di default è abilitato per tutti gli utenti e consente di stampare documenti sulla
risorsa specificata.
• Gestione della stampante: consente di impostare settaggi particolari della stampante.
• Gestione dei documenti: consente di gestire la coda di stampa, di default è impostata a
Creator Owner, ossia chi invia i documenti ne gestisce anche la coda associata.
Una volta installato il ruolo Servizi di stampa e digitalizzazione dal Server Manager
Possiamo aprire lo snap-in relativo (Gestione stampa dal menu Strumenti), e procedere alla
condivisione di una o più stampanti.
Da questo pannello possiamo gestire le diverse stampanti, aggiungerne di nuove e distribuirle ai
diversi oggetti del dominio.
Gestire le Group Policy
Gestire una rete non è sempre un’operazione così banale. Abbiamo già visto diversi strumenti a
supporto dei diversi ruoli o funzionalità ma, dal punto di vista di un amministratore di rete,
dobbiamo capire come si possono gestire i diversi utenti e computer all’interno della stessa rete.
Le Group Policy o criteri di gruppo rappresentano esattamente lo strumento che consente di gestire
in maniera centralizzata la configurazione relativa a utenti e computer in quegli ambienti di rete
basati su Active Directory.
Il concetto di criteri di gruppo può essere applicato anche a quei client che non appartengono al
dominio, ma chiaramente questo comporta la perdita dei vantaggi annessi alla centralizzazione della
gestione e configurazione degli stessi.
Ci sono due aree principali di applicazione dei criteri di gruppo: user setting e computer setting.
Ambedue influenzano delle sezioni del registro di sistema sul sistema operativo dove vengono
applicate. Tutti gli aspetti delle Group Policy possono essere gestiti tramite la relativa console: la
Group Policy Management Console (GPMC). Possiamo richiamare la console direttamente dal
Server Manager del server Domain Controller cliccando sullo snap-in Gestione dei Criteri di
Gruppo sotto il menu Strumenti.
Lo strumento che ci troviamo innanzi ci consentirà di andare a gestire e configurare tutte le policy
di interesse per i nostri utenti e i nostri computer presenti sulla rete.
L’oggetto a grana più fine che possiamo trovare all’interno di questo strumento è il singolo Criterio,
un “documento” nel quale sono espletate tutte le singole configurazioni da applicare agli altri
oggetti del dominio, quali computer e utenti. Nella console di Gestione Criteri di Gruppo possiamo
creare oggetti, cancellarli, spostarli ed esplorare i diversi insiemi esattamente come facciamo con
Esplora Risorse.
Nel momento della creazione di un singolo criterio possiamo, sia nel caso degli utenti sia nel caso
dei computer, andare ad agire su specifiche aree:
• Impostazioni del software
• Impostazioni di Windows
• Modelli Amministrativi
In ognuna di queste aree possiamo andare a gestire migliaia di configurazioni diverse, la maggior
parte di questi si possono trovare in tre stati distinti e mutuamente esclusivi:
• Non configurato (stato di default)
• Attivata
• Disattivata
Un concetto importante da definire nella gestione dei criteri di gruppo è l’ereditarietà. La
creazione di un oggetto ad un particolare livello dell’albero del dominio implica che le policy da
esso specificate siano applicate a tutti gli oggetti compresi o discendenti da quel livello.
Se per esempio una policy è creata a livello del dominio, tutti gli oggetti ivi contenuti saranno affetti
da quella policy.
Una nota importante e doverosa è dovuta all’applicazione di policy che possono essere in contrasto
tra di loro a diversi livelli dell’albero del dominio. In questi casi bisogna rifarsi al motore di
applicazione delle group policy secondo il quale l’ordine di precedenza nell’applicazione delle
stesse è:
• Sito
• Dominio
• Unità Organizzativa
• Sotto unità organizzative figlie
In altre parole a parità di impostazione la regola che “vince” è quella più stringente: le unità
organizzative figlie hanno una precedenza rispetto al genitore.
Per comprendere meglio questo possiamo pensare al seguente scenario. A livello di dominio nessun
utente può accedere al pannello di controllo e alle sue impostazioni. Esiste una unità organizzativa,
che chiameremo ITStaff, nella quale sono presenti tutti gli utenti che dovranno avere il potere di
bypassare questa regola. Per questa unità organizzativa verrà creata una regola che esplicitamente
autorizza gli utenti a vedere il contenuto del pannello di controllo.
Tutte queste
operazioni sono fatte sempre dalla stessa console, ma qualora dovessimo creare una nuova policy, o
modificarne una esistente, dobbiamo usare l’Editor Gestione Criteri di Gruppo richiamabile, per
esempio, cliccando con il destro del mouse su una policy e scegliendo dal menu la voce Modifica.
Come accennato precedentemente in questa console possiamo prendere visione di due livelli
principali:
• Configurazione Computer : contiene tutte le impostazioni che vengono applicate a livello
del computer
• Configurazione Utente : contiene le impostazioni che vengono applicate a livello utente.
In ognuna di queste due macro aree possiamo andare sui diversi Criteri o Policy o Preferenze. Nei
primi, come avevamo poc’anzi detto, le impostazioni saranno applicate con dei criteri di gruppo su
tre aree di interesse:
• Impostazioni del software
• Impostazioni di Windows
• Modelli Amministrativi
Per quanto concerne invece le Preferenze, in queste cartelle troviamo tutte le impostazioni che
possono essere applicate al registro di sistema. Queste preferenze ci consentono di espandere le
potenzialità introdotte dalle group policy con delle impostazioni più granulari e mirate a specifiche
esigenze. Potremmo pensare, ad esempio, di creare un oggetto policy nel quale andiamo ad
impostare le impostazioni di risparmio energetico.
Per fare ciò creiamo dal menu Azione della console Gestione Criteri di Gruppo un oggetto Criteri
di gruppo in questo dominio …
Diamo il nome al GPO (Group Policy Object) che vogliamo creare:
E cliccando con il destro del mouse sulla policy appena creata andiamo a modificarne le
impostazioni.
Focalizziamo bene quanto vogliamo fare: vogliamo impostare la preferenza a livello di tutti i
computer appartenenti al dominio per quanto concerne il risparmio energetico. Scegliamo quindi
dalle varie cartelle l’opzione di Opzioni risparmio energia sotto Configurazione Computer /
Preferenze / Impostazioni del Pannello di Controllo:
Creiamo una nuova combinazione di risparmio energia dedicata a Windows 7 che influenzerà tutti i
nostri client il cui sistema operativo è superiore o uguale a Windows 7.
Impostiamo le opzioni desiderate, nel nostro caso abbiamo impostato le prestazioni elevate e la
disattivazione del monitor dopo 5 minuti sia che il pc sia alimentato a batteria che rete elettrica e
salviamo tutto.
A questo punto, tornando alla schermata della gestione dei criteri di gruppo troviamo la nostra
preferenza impostata per la policy creata.
A questo è legittimo chiedersi: quando verranno applicati i criteri che abbiamo creato?. La risposta
dipende soprattutto dalla natura del criterio stesso, se le impostazioni sono legate al computer
allora questi criteri vengono applicati all’avio di Windows altrimenti, nel caso di impostazioni a
livello utente, le impostazioni vengono applicate non appena questi effettua l’accesso.
Bisogna anche specificare che, per garantire l’applicazione dei nuovi criteri, anche in ambienti già
in esercizio, esistono degli aggiornamenti automatici secondo i quali, nel caso standard, ogni 90
minuti vengono aggiornati tutti i client del dominio; per cui se facciamo delle modifiche ai nostri
criteri possiamo esser sicuri che entro 90 minuti queste vengano applicate indipendentemente che
venga ri-effettuato l’accesso al pc o il riavvio dello stesso.
Altri due aspetti da considerare nella gestione dei criteri di gruppo:
• Collegamento di un criterio di gruppo
• Aggiornamento dei client
Per quanto concerne il primo punto in generale, come abbiamo visto, un criterio di gruppo ha un
ambito di applicazione all’interno dell’albero del dominio. Un criterio può trovare la sua
applicazione rispetto ad un sito, un dominio, un unità organizzativa o un figlio di questa.
Dall’albero presente in Gestione Criteri di Gruppo possiamo così scegliere uno dei livelli interessati
e, cliccando con il destro del mouse, scegliere di collegare un oggetto criteri di gruppo esistente.
Dalla finestra che compare scegliamo quale GPO vogliamo applicare e collegare all’unità in
interesse.
A questo punto, sotto l’unità organizzativa scelta, troveremo collegata anche la GPO
precedetemente selezionata.
L’ultima nota riguarda la forzatura di applicazione delle policy sui computer client. Non sempre
è possibile aspettare i 90 minuti di applicazione automatica delle policy pertanto possiamo usare un
sistema di aggiornamento manuale che obbliga i client ad aggiornare i criteri di gruppo.
Andando sul client possiamo aprire una console a riga di comando e successivamente forzare
l’aggiornamento digitando gpupdate /force obbligando così il sistema a prendere tutte le policy
comprese quelle non aggiornate di recente.
Lavorare con la virtualizzazione: Hyper-V
Sin da Windows Server 2008, Microsoft ha stato dato un importante focus agli ambienti di
virtualizzazione grazie all’introduzione del ruolo Hyper-V. Sicuramente non devo spiegare in questo
articoli i benefici della virtualizzazione e la necessità del consolidamento dei server ma cerchiamo,
piuttosto, di fornire una panoramica significativa sull’utilizzo di Hyper-V e sulla sua gestione.
Hyper-V è legato a quella che normalmente viene definita come Server Virtualization: la capacità di
creare su un singolo server più macchine virtuali che vengono eseguite in contemporanea e che
condividono le risorse della stessa macchina fisica. Il server che esegue Hyper-V viene definito host
e tutte le macchine virtuali sono ovviamente i guest di tale sistema.
In ambito di virtualizzazione gli strumenti messi a punto da Microsoft sono molteplici e possiamo
elencare i principali qui a seguito:
• Server Virtualization con Hyper-V
• Iaas e Paas attraverso Windows Azure
• Desktop virtualization con Hyper-V nei nuovi Windows 8 Pro ed Enterprise
• Virtual Desktop Infrastructure (VDI)
• Presentation Virtualization
• Application Virtualization (App-V)
Ognuno di questi ambiti di virtualizzazione è un mondo a sé stante e perciò non verrà trattato in
questa guida. Analizziamo invece cosa dobbiamo conoscere al fine di progettare la nostra server
virtualization.
In questa console possiamo prender visione di tutti quei nodi, all’interno della rete, sui quali è
installato il ruolo di Hyper-V. In caso questi non venissero installati possiamo sempre connetterci ad
uno specifico server utilizzando l’apposita funzione nel pannello di destra.
Creazione della macchina virtuale
Andiamo ora a creare nel nostro ambiente una nuova macchina virtuale così da capire a pieno quali
sono i passi da effettuare e cosa considerare.
Durante il processo di creazione di una macchina virtuale ci sono alcuni aspetti da tenere in
considerazione. Il primo è inerente alla memoria, nella nuova versione di Hyper-V possiamo
dinamicamente assegnare un quantitativo di memoria alla macchina virtuale, il che vuol dire che, a
seconda della vera necessità richiesta, verrà allocata al guest la RAM necessaria. Possiamo
ovviamente scegliere un valore minimo della memoria così da garantire sempre il necessario e
corretto funzionamento (soprattutto in fase di avvio del sistema). In Windows Server 2012 R2
questi valori possono essere modificati anche mentre la macchina è in stato di running.
Dal menu di Hyper-V possiamo scegliere di creare un Nuovo / Macchina Virtuale ed entrare così nel
wizard che ci consentirà la creazione del nostro primo guest.
Scegliamo un nome per la nostra macchina ed eventualmente scegliamo un percorso diverso per la
memorizzazione dei file di configurazione relativi.
Scegliamo di usare la memoria dinamica, come precedentemente illustrato così da impostarne
successivamente i minimi e i massimi.
Quando configuriamo una rete virtuale possiamo anche configurarne un VLAN ID da associare
successivamente per la comunicazione con VLAN già presenti sulla rete.