Archivio Categorie: Windows Server 2008

Utilizzare Group Policy Modeling

GPMC mette a disposizione Group Policy Modeling tramite il quale è possibile verificare quali sarebbero le conseguenze dello spostamento di un oggetto in un altro contenitore.

Per utilizzare Group Policy Modeling è necessario eseguire le seguenti operazioni

-Aprire GPMC.
-Espandere la foresta su cui si deve operare.
-Cliccare con il tasto destro Group Policy Modeling e selezionare Group Policy Modeling Wizard.
-Cliccare Next.
-Viene aperta la pagina Domain Controller Selection
Selezionare il dominio che si vuole utilizzare in Show Domain Controllers in This Domain.
In Process The Simulation On this Domain Controller selezionare il domain controller che si vuole utilizzare. Cliccare Next.
-Viene aperta la pagina User And Computer Selection.
In questa pagina è possibile scegliere l’utente o il contenitore di uteni e il computer o il contenitore di computer per cui si vuole eseguire la simulazione. Cliccare Next.
-Viene aperta la pagina Advanced Simulation Options.
In questa pagina è possibile selezionare opzioni avanzate che permettono di eseguire la simulazione utilizzando un collegamento lento o con la modalità loopback attiva o utilizzando un sito specifico. Cliccare Next.
-Viene aperta la pagina User Security Groups se si è scelto di effettuare la simulazione per un utente. Questa pagina permette di simulare gli effetti che si avrebbero se l’utente facesse parte dei gruppi specificati. Cliccare Next.
-Viene aperta la pagina Computer Security Groups se si è scelto di effettuare la simulazione per un computer. Questa pagina permette di simulare gli effetti che si avrebbero se il computer facesse parte dei gruppi specificati. Cliccare Next.
-Nella pagina WMI Filters for Users è necessario specificare se si vuole simulare che gli utenti rispettino tutti i requisiti richiesti dai filtri WMI o solo i requisiti rischiesti dai filtri WMI specificati. Cliccare Next.
-Nella pagina WMI Filters for Computers è necessario specificare se si vuole simulare che i computer rispettino tutti i requisiti richiesti dai filtri WMI o solo i requisiti rischiesti dai filtri WMI specificati. Cliccare Next.
-Cliccare Finish
-Viene generato il risultato della simulazione.

Abilitare il rilevamento del collegamento lento GPMC in Active Directory

Active Directory utilizza il rilevamento del collegamento lento per limitare il traffico tra reti che hanno un collegamento lento.

Quando viene rilevato un collegamento lento, il client limita le richieste inviate e l’elaborazione dei Criteri di gruppo.
I client inviano un ping al domain contoller al quale sono connessi per determinare se stanno utilizzando un collegamento lento.

Se il tempo di risposta del ping è uguale o inferiore a 10 millesecondi, il client process i Criteri di gruppo.
Se il tempo di risposta è superiore a 10 millesecondi, il client invia un ping al domain per tre vole e utilizza la media dei tempi di risposta per determinare la velocità della rete.
Di default se il client rileva che la velocità di connessione è inferiore a 500 kilobits al secondo, la connessione viene considerata lenta e il client informa il domain controller. In questo modo il domain controller effettua l’aggiornamento solo delle impostazioni di sicurezza e dei modelli amministrativi.

Per configurare il rilevamento del collegamento lento è necessario utilizzare l’impostazione Rilevamento collegamento lento Criteri di gruppo (Group Policy Slow Link Detection policy) in Configurazione computer\Modelli amministrativi\Sistema\Criteri di gruppo (Computer Configuration\Administrative Templates\System\Group Policy).
Attivando questa impostazione è possibile specificare la velocità al di sotto della quale il collegamento deve essere considerato lento.
Se l’impostazione è disattiva o non configurata viene utilizzato il valore di default di 500 kilobits.
Per disabilitare il rilevamento del collegamento lento è necessario impostare 0 come valore.

Utilizzando le impostazioni che si trovano in Configurazione computer\Modelli amministrativi\Sistema\Criteri di gruppo (Computer Configuration\Administrative Templates\System\Group Policy) è possibile impostare l’elaborazione delle varie aree dei Criteri di gruppo quando viene rilevato un collegamento lento.
Elaborazione criterio Manutenzione di Internet Explorer (Internet Explorer Maintenance Policy Processing) – Di default non vengono effettuati aggiornamenti alle impostazioni relative alla manutenzione di Internet Explorer quando viene rilevato un collegamento lento. Se è necessario che queste impostazioni siano sempre aggiornate è possibile attivare questa impostazione.

Elaborazione del criterio di installazione software (Software Installation Policy Processing) – Di default non vengono effettuati aggiornamenti alle impostazioni relative ai criteri di installazione software  quando viene rilevato un collegamento lento quindi le installazioni effettuate tramite i criteri di gruppo non sono disponibili per gli utenti connessi con un collegamento lento.
Questa impostazione è consigliabile perchè l’installazione di software su un collegamento lento può richiedere molto tempo.

Elaborazione del Criterio di reindirizzamento cartella (Folder Redirection Policy Processing) – Di default non vengono effettuati aggiornamenti alle impostazioni relative al reindirizzamento cartella quando viene rilevato un collegamento lento.
Le impostazioni relative al reindirizzamento cartella vengono applicate solo durante il logon quindi se viene rilevato un collegamento lento nella fase di logon le impostazioni non vengono applicate e le cartelle dell’utente non vengono redirette.
Questa impostazione è consigliata.

Elaborazione del criterio di Registro di sistema – Di default non vengono effettuati aggiornamenti alle impostazioni relative al criterio di Registro di sistema quando viene rilevato un collegamento lento.

Elaborazione del criterio di script (Scripts Policy Processing) – Di default non vengono effettuati aggiornamenti alle impostazioni relative agli script quando viene rilevato un collegamento lento. Queste impostazioni vengono applicate solo quando devono essere eseguiti gli script come durante il logon.

Elaborazione del criterio di protezione (Security Policy Processing) – Di default gli aggiornamenti ai criteri di protezioni vengono fatti anche se viene rilevato il collegamento lento. Queste impostazioni vengono aggiornate ogni 16 ore anche se non è stata fatta nessuna modifica.

Elaborazione del criterio di protezione IP (IP Security Policy Processing) – Di default non vengono effettuati aggiornamenti alle impostazioni relative ai criteri di protezione Ip quando viene rilevato un collegamento lento. Le impostazioni ottenute in precedenza dai client rimangono quindi valide.

Elaborazione del criterio connessione senza fili (Wireless Policy Processing) – Di default non vengono effettuati aggiornamenti alle impostazioni relative alla connesione senza fili quando viene rilevato un collegamento lento. Le impostazioni ottenute in precedenza dai client rimangono quindi valide.

Elaborazione del criterio di ripristino EFS (EFS Recovery Policy Processing) – Di default non vengono effettuati aggiornamenti alle impostazioni relative al criterio di ripristino EFS quando viene rilevato un collegamento lento. Le impostazioni ottenute in precedenza dai client rimangono quindi valide.

Elaborazione del criterio di quota disco (Disk Quota Policy Processing) – Di default non vengono effettuati aggiornamenti alle impostazioni relative al criterio di quota disco quando viene rilevato un collegamento lento. Le impostazioni ottenute in precedenza dai client rimangono quindi valide.
Quando si attivano queste impostazioni si hanno a disposizione tre opzioni per configurarle.

Consenti l’elaborazione attraverso una connessione di rete lenta (Allow Processing Across A Slow Network Connection) – Le impostazioni vengono elaborate anche se viene rilevato un collegamento lento.

Non applicare durante l’elaborazione periodica in background (Do Not Apply During Periodic Background Processing) – Le impostazioni non vengono aggiornate mentre il computer è in uso.

Elabora anche se gli oggetti Criteri di gruppo non sono stati modificati (Process Even If The Group Policy Objects Have Not Changed) – Le impostazioni vengono aggiornate anche se non ci sono state modifiche.

Creare e Collegare una GPO a un Dominio e a un Sito

I GPO possono essere collegati in modo veloce a un dominio e a un sito in Active Directory, vediamo come risulta possibile eseguire questo tipo di operazione.

Per creare e collegare un GPO a un sito è necessario eseguire le seguenti operazioni
-Avviare GPMC.
-Espandere la foresta su cui si deve operare.
-Espandere Domains.
-Cliccare con il tasto destro Group Policy Objects e selezionare New.
-Nella finestra New GPO inserire il nome del nuovo GPO e cliccare Ok.
-Cliccare con il tasto destro il nuovo GPO nel contenitore Group Policy Objects e selezionare Edit.
-Configurare le impostazioni nell’editor Criteri di Gruppo.
-Espandere Sites in GPMC.
-Cliccare con il tasto destro il sito e selezionare Link An Existing GPO.
-Nella pagina Select GPO selezionare il gpo che deve essere collegato al sito e cliccare Ok.

Per creare e collegare un GPO a un dominio è necessario eseguire le seguenti operazioni
-Avviare GPMC.
-Espandere la foresta su cui si deve operare.
-Espandere Domains.
-Cliccare con il tasto destro Group Policy Objects e selezionare New.
-Nella finestra New GPO inserire il nome del nuovo GPO e cliccare Ok.
-Cliccare con il tasto destro il nuovo GPO nel contenitore Group Policy Objects e selezionare Edit.
-Configurare le impostazioni nell’editor Criteri di Gruppo.
-Cliccare con il tasto destro il sito e selezionare Link An Existing GPO.
-Nella pagina Select GPO selezionare il gpo che deve essere collegato al sito e cliccare Ok.

Per creare e collegare un GPO a un sito è necessario eseguire le seguenti operazioni
-Avviare GPMC.
-Espandere la foresta su cui si deve operare.
-Espandere Domains.
-Cliccare con il tasto destro Group Policy Objects e selezionare New.
-Nella finestra New GPO inserire il nome del nuovo GPO e cliccare Ok.
-Cliccare con il tasto destro il nuovo GPO nel contenitore Group Policy Objects e selezionare Edit.
-Configurare le impostazioni nell’editor Criteri di Gruppo.
-Espandere il dominio su cui si deve operare.
-Cliccare con il tasto destro la OU e selezionare Link An Existing GPO.
-Nella pagina Select GPO selezionare il gpo che deve essere collegato al sito e cliccare Ok.

Come Funzionano Trust e TDO in Active Directory

In questo articolo vediamo il funzionamento di Trust e TDO in Active Directory, come esempio prendiamo una relazione di trust monodirezionale che viene creata tra il dominio TestA, il trusting domain che quindi accetta l’autenticazione effettuata dall’altro dominio, e il TestB, il trusted domain.

Nel momento in cui viene creata la relazione di trust Windows crea un oggetto Trusted Domain Object (TDO) nell’active directory del dominio TestA per il dominio TestB.
Questo oggetto viene chiamato TestA e come tutti gli account ha una password che è quella che viene richiesta quando si crea la trust manualmente.
Quando viene creata l’altra parte della trust un’altro oggetto TDO chiamato TestA viene creato nel dominio TestB.


Utilizzando AdsiEdit è possibile vedere gli attributi dell’oggetto TDO che si trova all’interno del contenitore CN=System nella partizione Domain.
TrustAttribute – Definisce le caratteristiche della trust
1 – Trust non transitiva
2 – Trust valida solo per computer con Windows 2000 e successivi
40 0000 – Trust con un dominio padre.
80 0000 – Trust con un dominio root.
TrustDirection – Definise la direzione della trust
1 – incoming
2 – outgoing
3 – bidirezionale
TrustPartner – Specifica il nome del dominio con cui esiste la trust.
TrustType – Specifica il tipo di trust
1 – Trust con un dominio Windows NT
2 – Trust con un dominio Windows 2003
3 – MIT trust.
4 – DCE trust.

I TDO e le password sono utilizzati per creare il secure channel tra i due domini che permette di rendere sicuro il traffico relativo all’autenticazione tra i due domini.

Esportare e Importare Oggetti in Active Directory con File CSV e File Ldif Velocemente

Per esportare e importare oggetti in Active Directory è possibile utilizzare file Csv e file Ldif, vediamo più nel dettaglio come fare.

Possiamo utilizzare csvde da linea di comando per esportare un oggetto in un file csv
csvde -f output.csv -l <Lista Attributi> -p <Scope> -r “<Filtro>” -d “<BaseDN>”
-f – Specifica il file in cui salvare l’oggetto
-s – Specifica il Domain Controller su cui eseguire la query
-l – Specifica gli attributi da includere.
-p – Specifica lo scope della ricerca.
-r – Specifica il filtro.
-d – Specifica dove iniziare la query.
-v – Abilita il verbose mode.

I file LDIF sono file di testo che permettono di rappresentare una entry di Active Directory.
Possiamo utilizzare ldifde da linea di comando per esportare un oggetto in un file ldif
ldifde -f output.ldf -l <Lista Attributi> -p <Scope> -r “<Filtro>” -d “<BaseDN>”
-f – Specifica il file in cui salvare l’oggetto
-s – Specifica il Domain Controller su cui eseguire la query
-l – Specifica gli attributi da includere.
-p – Specifica lo scope della ricerca.
-r – Specifica il filtro.
-d – Specifica dove iniziare la query.
-v – Abilita il verbose mode.

Possiamo utilizzare csvde fa linea di comando per importare un oggetto da un file csv

csvde -i -f input.csv
Possiamo utilizzare ldifde fa linea di comando per importare un oggetto da un file ldif

ldifde -i -f input.ldf

Esportare e importare oggetti in Active Directory è quindi piuttosto semplice.

Controllare l’Utilizzo del Processore con Perfmon

Il processore generalmente è particolarmente utilizzato nei server che ospitano database e nei server di posta metre è difficile che sia un problema sui file server.
I seguenti contatori possono essere utili per individuare problemi di prestazioni dovuti al processore, utilizzando perfmon.

Perfmon è uno strumento messo a disposizione da Windows tramite cui è possibile controllare il funzionamento di diversi componenti del sistema operativo.

Processor: % Processor Time (Processore: % Tempo Processore)
Se il valore è costantemente sopra  80 significa che il processore è utilizzato in modo intenso.
Momenti brevi di utilizzo intenso invece possono essere considerati normali.

System: Processor Queue (Sistema: Lunghezza coda processore)
Indica quanti thread si trovano nella coda del processore ma non possono utilizzarlo in questo momento. Il valore di questo contatore dovrebbe essere inferiore a due.
Nel caso di un computer con più processore possiamo dividire il valore del contatore per il numero di processori. Quindi in un computer con due processori il valore deve essere inferiore a quattro.

Processor(_Total)\Interrupts/sec (Processore: Interrupt/sec)
Indica quante volte ogni secondo il processore deve gestire interrupt da programmi o periferiche hardware. Valori elevati indicano che il processore sta influenzando le prestazioni del sistema.
Generalmente se questo valore è elevato il problema è causato dall’hardware.
Il valore varia a seconda del server quindi per individuare quando il contatore è effettivamente elevato è necessario avere dei rilevamenti effettuati quando non si avevano problemi di prestazioni.

System\Context Switches/sec (Sistema: Commutazioni di contesto/sec)
Indica quante volte ogni secondo il processore deve passare da user mode a kernel mode per gestire i thread in esecuzione. Valori elevati indicano che il processore sta influenzando le prestazioni del sistema.
Il valore varia a seconda del server quindi per individuare quando il contatore è effettivamente elevato è necessario avere dei rilevamenti effettuati quando non si avevano problemi di prestazioni.

I dati raccolti devono essere analizzati insieme a quelli relativi alle prestazioni della memoria, e dei dischi in modo da individuare da cosa è causato l’eccessivo utilizzo del processore.

Controllare e Rimuovere i Permessi in Active Directory con DsRevoke

Dsrevoke è uno strumento eseguibile da linea di comando che può essere usato sui domain controller con Windows Server 2003 e Windows 2000 Server per generare un rapporto sui permessi di un determinato utente e per rimuoverli.

Questo tool quindi è particolarmente utile per rimuovere le deleghe attivate utilizzando Delega Controllo nello snapin Utenti e Computer di Active Directory.

La sintassi del comando è la seguente
dsrevoke /report|/remove [/domain:<domainname>] [/username:<username>] [/password:<password>|*] [/root:<domain/OU>] <securityprincipal>
/report – Crea un rapporto dei permessi dell’utente sull’oggetto specificato
/remove – Crea un rapporto dei permessi e li elimina
/domain: – Specifica il nome del dominio
/username: – Specifica il nome utente
/password: – Richiede la password per l’utente
/root: – Specifica l’unità organizzativa da cui iniziare la ricerca dei permessi.
<securityprincipal>: – Specifica l’utente di cui analizzare i permessi.

Per rimuovere i permessi delegati potremmo quindi eseguire il comando
dsrevoke /remove “/root:ou=outest,dc=prova,dc=local” PROVA\user1
In questo caso vengono eliminati i permessi impostati per l’utente user1 sull’unità organizzativa outest.

Lo strumento dsrevoke può essere utilizzato solo con unità organizzative o con il dominio quindi non possiamo eliminare i permessi delegati su un oggetto specifico.

Monitorare IIS con Perfmon

Tra gli strumenti più interessanti messi a disposizione da Windows troviamo Perfmon, si tratta di uno strumento tramite cui è possibile controllare il funzionamento di diversi componenti del sistema operativo.

In questo articolo vediamo quali sono i contatori da utilizzare per monitorare un server web IIS su Windows.

Active Server Pages Requests/Sec
Indica il numero di richieste di pagine asp.
Questo valore non comprende le richieste di pagine statiche quindi se il valore è basso mentre c’è un elevato traffico sul server può significare che ci sono problemi causati dall’applicazione.

Active Server Pages Requests Executing
Indica il numero di richieste che sono in esecuzione.
Il valore di questo contatore dovrebbe essere inferiore al valore indicato nella proprietà del metabase ASPProcessorThreadMax moltiplicato per il numero dei processori presenti sul sistema.

Active Server Pages Request Wait Time
Indica il numero di millesecondi in cui l’ultima richiesta ha aspettato nella coda.
Il valore di questo contatore dovrebbe essere il più basso possibile. Se il valore è alto l’accesso al sito risulta lento.

Active Server Pages Request Execution Time
Indica il numero di millesecondi in cui è stata eseguita l’ultima richiesta.
Il valore di questo contatore dovrebbe essere il più basso possibile.

Active Server Pages Requests Queued
Indica il numero di richieste in coda.
Il valore massimo di questo contatore è determinato dal valore della proprietà del metabase AspRequestQueueMax.
Quando viene raggiunto questo limite viene mostrato un errore ServerToo Busy.

Web Service CGI Requests/sec
Indica il numero di richieste CGI eseguite ogni secondo.

Processor\% Processor Time
Indica la percentuale d tempo in cui il processore è occupato.
Se questo valore è basso e Requests Queued non aumenta significa che asp non sta influendo sulle prestazioni del sito.

Web Service ISAPI Extension Requests/Sec
Indica il numero di richieste ISAPI eseguire ogni secondo.

Web Service Current Connections
Indica il numero di connessioni stabilite con il servizio web.

Web Service Bytes Received/Sec
Il numero di byte ricevuti ogni secondo dal servizio web.

Web Service Bytes Sent/Sec
Il numero di byte inviati ogni secondo dal servizio web.

Creare Utenti e Unità Organizzative in Active Directory

Gli utenti e le unità organizzative sono elementi importanti in Active Directory, vediamo come risulta essere possibile crearli.

Possiamo creare un utente in Active Directory utilizzando lo snapin Utenti e Computer di Active Directory
-Aprire lo snapin Utenti e Computer di Active Directory.
-Cliccare con il tasto destro sul contenitore in cui si vuole creare il gruppo e selezionare NuovoUtente
-Compilare i campi e cliccare Avanti.
-Inserire una password e cliccare Avanti.
-Cliccare Fine.

La stessa operazione può essere eseguita da linea di comando utilizzando dsadd
dsadd user “<DN Utente>” -upn <UserUPN> -fn “<Nome Utente>” -ln “<Cognome Utente>” -display “<UserDisplayName>” -pwd <Password>

Possiamo creare un’unità organizzativa utilizzando lo snapin Utenti e Computer di Active Directory
-Aprire lo snapin Utenti e Computer di Active Directory.
-Cliccare con il tasto destro sul contenitore in cui si vuole creare il gruppo e selezionare NuovoUnità Organizzativa
-Inserire il nome dell’unità organizzativa.

La stessa operazione può essere eseguita da linea di comando utilizzando dsadd
dsadd ou “<DN Unità Organizzativa>” -desc “<Descrizione>”

Replica Active Directory e Firewall

Nel caso vi siano dei domain controller che si trovano su reti diversi separate da firewall, è necessario che siano aperte alcune porte per permettere che la replica di active directory avvenga correttamente.

Le porte che devono esseere aperte sono

RPC endpoint mapper, 135/tcp, 135/udp

NetBIOS name service, 137/tcp, 137/udp

NetBIOS datagram service, 138/udp

NetBIOS session service, 139/tcp

RPC dynamic assignment, 1024-65535/tcp

SMB over IP (Microsoft-DS), 445/tcp, 445/udp

LDAP, 389/tcp

LDAP ping, 389/udp

LDAP over SSL, 636/tcp

Global catalog LDAP, 3268/tcp

Global catalog LDAP over SSL, 3269/tcp

Kerberos, 88/tcp-udp

DNS, 53/tcp-udp

WINS resolution, 1512/tcp, 1512/udp

WINS replication, 42/tcp, 42/udp

Se si vuole limitare le porte utilizzate da RPC in modo da diminuire i rischi legati alla sicurezza, è necessario fare delle modifiche sul registro di tutti i domain controller in modo da specificare le porte da utilizzare per la replica di active directory e per FRS.

Per specificare la porta utilizzata dalle repliche di Active Directory bisogna aggiungere nella chiave di registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
il valore di tipo DWORD TCP/IP Port assegnandogli il numero della porta desiderata.

Per specificare la porta utilizzata da FRS bisogna aggiungere nella chiave di registro  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters il valore di tipo DWORD RPC TCP/IP Port Assignment assegnandogli il numero della porta desiderata.

Se invece vogliamo limitare l’intervallo di porte assegnate dinamicamente d RPC, dobbiamo aggiungere nella chiave di registro  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\Internet il valore di tipo REG_MULTI_SZ Ports assegnandogli l’intervallo di porte.
In generale è consigliato fare partire l’intervallo sopra la porta 5000 e includere almeno venti porte.
Per cui un intervallo possibile come valore per Ports è 5000-5020

Per rendere effettive le modifiche è necessario riavviare i domain controller.

1 2 3 5