Ivan Salvade’

Il mio punto di vista su Virtualizzazione, Sicurezza, Messaggistica, Network Management…

  • Ivan

    248418_467427256623661_1655875885_n.jpg
  • Abbonati

  •  

    novembre 2017
    L M M G V S D
    « gen    
     12345
    6789101112
    13141516171819
    20212223242526
    27282930  
  • Tag Cloud

Archivi per la categoria 'Gestione dei Sistemi' Categoria


Gestione dei futuri Service Pack da parte di Microsoft

Scritto da Ivan Salvade' il 25 febbraio 2014

Questo articolo non è basato su comunicati ufficiali da parte di Microsoft, ma su ”rumors” che ormai sempre più frequentemente ascolto a riguardo dei futuri Service Packs dei sistemi operativi Microsoft.

Sembra che Microsoft abbia ormai scelto di non produrre più interi Service Pack per i propri sistemi operativi (client e server), ma di offrire solo i singoli aggiornamenti che tipicamente ci arrivano il secondo martedì di ogni mese.

La scelta è stata presa per evitare di impegnare notevoli risorse umane nella creazione e soprattutto nel testing dei Service Pack, a discapito dello sviluppo dei nuovi prodotti.

Questa scelta può essere un beneficio anche per le grandi aziende, che tipicamente hanno già in essere un’infrastruttura automatizzata di distribuzione degli aggiornamenti (per esempio tramite WSUS o Configuration Manager), ma, nel caso di uscita di un intero Service Pack, sono spesso costrette a rifare completamente le immagini base di riferimento, ad eseguirne opportuno testing, e ad implementare una nuova fase di deploy/aggiornamento.

Infatti, già da tempo molta gente è in attesa di un nuovo service pack di Windows 7 (il Service Pack 2), ma di questo non esiste nemmeno l’ombra, neanche sul sito di Beta Connect.  E nessun service pack è mai stato creato neanche per Windows 8 o per Windows Server 2012.

Diverso è il discorso, invece, per i prodotti di backoffice : è da poco stato prodotto, per esempio, il Service Pack 1 per Office 2013, Exchange 2013, SharePoint 2013.  Sarà a breve disponibile a tutti, anche tramite Windows Update.

Vediamo se questi rumors saranno confermati nel futuro, oppure Microsoft continuerà a produrre i Service Pack per i sistemi operativi, magari a ridotta frequenza.

  • Share/Bookmark

Pubblicato in Cafè, Gestione dei Sistemi | Nessun commento »

Configuration Manager 2012 Support Center

Scritto da Ivan Salvade' il 12 febbraio 2014

E’ disponibile in versione beta dal 4 febbraio 2014 il Configuration Manager 2012 Support Center.

E’ un utilissimo strumento per raccogliere dettagliate informazioni sui client Configuration Manager installati nelle vostre reti, e per eseguirne il troubleshooting in caso di problemi.

Il tool è disponibile in libero download, previa registrazione, dal sito di beta testing di Microsoft, al seguente url :

https://connect.microsoft.com/ConfigurationManagervnext/Downloads/DownloadDetails.aspx?DownloadID=52192

Questo tool, creato da Microsoft, si affianca ad un altro utile strumento di terze parti, già da tempo presente sul mercato, il “Client Center for Configuration Manager”, la cui ultima release è disponibile gratuitamente al seguente url :

http://sccmclictr.codeplex.com

Anche il Client Center è utilissimo per la risoluzione dei problemi sui client, e permette l’esecuzione di una miriade di controlli e comandi in remoto sui client stessi : assolutamente consigliato!!

  • Share/Bookmark

Pubblicato in Gestione dei Sistemi, System Center Configuration Manager 2012 | Nessun commento »

E ora cosa usiamo al posto di TMG (Threat Management Gateway)?

Scritto da Ivan Salvade' il 25 luglio 2013

Forefront Threat Management Gateway 2010 è ormai stato abbandonato da Microsoft (con un annuncio del 12 settembre 2012), sebbene il supporto continui fino al 14 aprile 2015, per chi dovesse averlo implementato in rete.

In molti scenari, TMG era caldamente consigliato soprattutto come Reverse Proxy, ovvero con il compito di rendere disponibili all’esterno particolari protocolli applicativi come SMTP, HTTP, HTTPS ecc., proteggendo nel contempo le comunicazioni grazie alle sue caratteristiche di Firewall, URL Filtering e Intrusion Detection.

Sono famose le implementazioni di TMG 2010 per il Reverse Publishing dei servizi di Exchange Server oppure di Lync Server : addirittura, nei corsi ufficiali su questi due prodotti, un intero modulo è dedicato alla configurazione di TMG a questo scopo.

E ora cosa possiamo utilizzare al suo posto?

Fatta salva la possibilità di utilizzare una miriade di terze parti (Kemp Loadmaster, Squid, Kerio Control, EServ, Ositis WinProxy…), volendo rimanere in campo Microsoft cosa possiamo scegliere?

Le soluzioni sono 2 : IIS ARR (Application Routing Request) e UAG (Unified Access Gateway) 2010.

IIS ARR (Application Request Routing)

Si tratta di un componente opzionale di IIS, installabile su Windows Server 2008, 2008 R2 e 2012.  Il componente permette ad IIS di gestire URL Rewrites, richieste di Reverse Proxy, bilanciamenti di carico e altre features ancora, soprattutto se fatto lavorare con un altro modulo di IIS, il URL Rewrite Module.

Il server IIS con ARR e URL Rewrite non necessita di essere installato in ambiente Active Directory.

Sommariamente, ARR e URL Rewrite, congiuntamente, garantiscono le seguenti possibilità :

  • regole di routing applicabili al protocollo http
  • meccanismi sofisticati di bilanciamento di carico, con possibilità di Client Affinity per redirezionare le richieste provenienti da un client ad uno specifico server, utilizzando i cookies
  • Host Name Affinity
  • regole di Reverse Proxy
  • regole di rewriting di URLs, tag HTML, variabili server, intestazioni HTTP
  • supporto per il Failed Request tracing di IIS

Il link per il download diretto di ARR 2.5, in inglese a 64 bit, è il seguente :

http://download.microsoft.com/download/A/A/E/AAE77C2B-ED2D-4EE1-9AF7-D29E89EA623D/requestRouter_amd64_en-US.msi

Il link per il donwload diretto di URL Rewrite Module, in inglese a 64 bit,  è il seguente :

http://go.microsoft.com/?linkid=9722532

Forefront Unified Access Gateway 2010

UAG ha qualcosa in più (e anche qualcosa in meno) rispetto a TMG.

UAG ha le seguenti funzionalità non presenti in TMG :

  • SSL VPN (ma la si può implementare direttamente su Windows Server 2008/R2/2012)
  • migliori possibilità di configurazione delle autenticazioni e del Single Sign-On
  • ILP (Information Leakage Prevention)
  • Endpoint Security (con le Endpoint Access Policies per il controllo dei client)

UAG non ha le seguenti funzionalità di TMG :

  • Proxy in uscita
  • Malware inspection
  • IDS (Intrusion Detection System)
  • Templates di configurazione delle reti

L’ultimo Service Pack di UAG 2010 (il Service Pack 3) ha introdotto le seguenti nuove features :

  • Supporto per il publishing di Exchange 2013
  • Supporto per il publishing di SharePoint 2013
  • Supporto per tutte le applicazioni della suite di Office 2013
  • Supporto per Windows 8
  • Supporto per RDC 8.0 in esecuzione su Windows 8

Se aggiungiamo il già esistente supporto per Exchange, Lync e SharePoint 2010, e il supporto per iOS 5 su iPhone e iPad, Android 4 e Windows Phone 7.5, direi che UAG è assolutamente in grado di sopperire all’assenza di TMG.

Ricordo comunque che TMG continuerà a ricevere supporto base fino al 2015, e supporto esteso ben oltre questa data : nella mia opinione, può anche non essere necessario avventurarsi di colpo verso altre soluzioni.

  • Share/Bookmark

Pubblicato in Gestione dei Sistemi, Sicurezza | Nessun commento »

Come chiamiamo il nostro dominio Active Directory? .local o .it?

Scritto da Ivan Salvade' il 18 giugno 2013

Ecco una delle più frequenti domande che mi vengono fatte dai clienti o durante corsi e conferenze :

“E’ meglio assegnare al nostro dominio Active Directory un suffisso privato (.local, .loc, .xxx, .abc…..) oppure un suffisso pubblico (.it, .com, .org, .net…..) ? “

Ci sono diverse correnti di pensiero.  Microsoft, in alcuni articoli, esprime preferenze per una modalità, e in altri articoli per le altre modalità.  Tecnicamente funzionano tutte, ma ognuna può avere vantaggi e svantaggi.  Quindi devono essere scelte in base alla conformazione delle proprie infrastrutture di rete.

La mia personalissima preferenza è per l’assegnazione, nelle piccole reti, di un suffisso privato (.local, .priv, .ad, .loc), soprattutto per semplicità di configurazione; ma questa mia “predilezione” può essere contestata da qualcuno con particolari esigenze.   Per le aziende più grandi, l’utilizzo di un suffisso privato o di uno pubblico deve essere attentamente valutato.

La scelta di un tipo di nomina piuttosto che di un’altra, è dettata soprattutto dalla presenza o meno di servizi per i quali è importante la collaborazione con l’esterno (VPN/Radius, Exchange Server, Lync Server, Web Server…. e altri…).

Ma andiamo per ordine.  Cominciamo con l’elencare le possibilità di nomina del nostro/dei nostri dominio/domini Active Directory.

  1. Dominio Active Directory con lo stesso nome del dominio DNS pubblico (es. “azienda.it” sia interno che esterno)
  2. Dominio Active Directory con un nome che rappresenti un sottodominio del dominio DNS pubblico (es. “ad.azienda.it“)
  3. Dominio Active Directory con un nome avente un TLD (Top Level Domain) privato (es. “azienda.local“)

I domini “single-label” (cioè quelli senza il suffisso) non devono mai essere utilizzati.  Sebbene funzionanti, hanno i seguenti svantaggi :

  • non possono essere registrati su Internet
  • richiedono configurazione addizionale
  • molte applicazioni non li supportano
  • il wizard di creazione di un dominio Active Directory 2008 R2 non consente l’utilizzo di nomi single-label
  • possono costringere alla ristrutturazione dei domini, in caso di incompatibilità applicativa
  • i client e server Microsoft membri di dominio non eseguono gli aggiornamenti automatici in zone DNS single-label

SCENARIO 1  (dominio AD con lo stesso nome del dominio DNS pubblico)

VANTAGGI

L’indirizzo di posta degli utenti è tipicamente coincidente con il nome di logon

Le zone DNS interna ed esterna sono separate e non replicate : questo è un vantaggio in quanto i record interni non sono resi visibili su Internet, ma diventa anche uno svantaggio in quanto abbiamo la necessità di gestire una doppia zona DNS.  La separazione tra zona interna ed esterna deve essere attuata anche tramite opportune regole di firewall, che non permettano eventuale traffico di replica tra le due

Il nome DNS del dominio Active Directory è pubblicamente registrato, quindi nessun altro può utilizzarlo : questo è un vantaggio in previsione di future fusioni/acquisizioni con altre aziende, in quanto saremo certi che loro avranno un nome DNS sicuramente diverso dal nostro

Nel caso di implementazioni Lync Server in azienda, in questo scenario il FQDN del dominio SIP di Lync corrisponde al FQDN del dominio Active directory : in questo caso sarete costretti a configurare i DNS in modalità  ”Split-Brain”, dove la zona DNS per lo spazio nomi interno è la stessa dello spazio nomi esterno, ma con record differenti.  Questa configurazione però, nel caso specifico di Lync Server, facilita le operazioni di auto-configurazione dei client Lync sia interni che esterni (in quanto Lync Server richiede che il SIP URI dell’utente che richiede i servizi Lync sia identico al FQDN del Pool di Front-End)

SVANTAGGI

Risoluzioni DNS  interna ed esterna “sovrapposte” (necessità di utilizzare le “Split DNS Zones”, utilizzando due server DNS diversi, uno interno ed uno esterno)

Zone DNS interna ed esterna separate e non replicate : questo è un vantaggio in quanto i record interni non sono resi visibili su Internet, ma diventa anche uno svantaggio in quanto abbiamo la necessità di gestire una doppia zona DNS.  La separazione tra zona interna ed esterna deve essere attuata anche tramite opportune regole di firewall, che non permettano eventuale traffico di replica tra le due

Ogni cambiamento fatto nella zona DNS esterna, deve essere manualmente effettuato anche nella zona DNS interna, se la modifica dovesse essere utilizzata anche dagli utenti interni

Problemi per i client interni a raggiungere correttamente il sito web pubblico (se il sito fosse richiamato con un URL del tipo “http://sitopubblico.it“.  Un workaround potrebbe essere quello di mappare un record www nel DNS interno, ed istruire gli utenti ad utilizzare un URL del tipo “http://www.sitopubblico.it“)

La risoluzione VPN è problematica.  I client VPN raggiungono senza problemi l’IP pubblico esterno, ma poi hanno problemi ad eseguire le risoluzioni DNS delle risorse interne.  Per risolvere questi problemi, è spesso necessario utilizzare procedure manuali, come l’inserimento (e la successiva manutenzione) di file HOSTS nei client VPN.  Oppure si deve ricorrere all’utilizzo di software VPN di terze parti, che costituiscono però un costo aggiuntivo

CONSIGLI DI UTILIZZO

Aziende con notevole presenza su Internet, con possibilità di gestire autonomamente il DNS interno e soprattutto quello esterno, con notevoli necessità di utilizzo di certificati pubblici, con possibilità più o meno marcate di realizzare partnership con altre aziende.

SCENARIO 2   (dominio AD come sottodominio del dominio DNS pubblico)

VANTAGGI

Il nome DNS del dominio Active Directory (ad.azienda.it) è separato rispetto al dominio esterno (azienda.it)

Le risoluzioni DNS interna ed esterna non sono problematiche, a patto di configurare bene le deleghe e i forwarding

I record della zona DNS esterna non devono essere duplicati nella zona DNS interna

Le connessioni VPN non hanno più problemi di risoluzione

SVANTAGGI

Il nome di logon degli utenti (UPN) è più lungo

Le risorse interne corrono il rischio di essere risolte anche dall’esterno (a causa della delega) : opportune regolazioni sui firewall possono evitare questo rischio, così come opportune regolazioni degli apparati IDS possono proteggere da query maliziose e/o attacchi di DNS Spoofing

CONSIGLI DI UTILIZZO

Aziende con notevole presenza su Internet, notevole utilizzo di connessioni VPN per l’accesso alle risorse interne, utilizzo di tecniche di accesso diretto e persistente alle risorse interne (Direct Access), aziende che offrono servizi di cloud

SCENARIO 3   (dominio AD con un TLD privato)

VANTAGGI

Facilità di implementazione

Nessun conflitto con il dominio DNS esterno, né con altri domini pubblici

Netta separazione tra lo spazio nomi DNS interno e quello esterno; impossibilità ad essere “risolti” dall’esterno (neanche nel caso di errate configurazioni del firewall, degli IDS o dei server DNS stessi)

SVANTAGGI

Il nome da voi utilizzato (per esempio azienda.local) potrebbe essere stato scelto anche da un’altra azienda.  In caso di future fusioni/acquisizioni, non sarebbe possibile l’interazione tra le due reti

La risoluzione DNS dei client VPN può essere difficoltosa, se si utilizzano client VPN piuttosto obsoleti

Il banner SMTP dei server di posta deve essere modificato (per non svelare all’esterno il nome interno del vostro server di posta)

I certificati acquisiti da Certification Authority pubbliche non possono contenere nomi con un suffisso privato

Se si utilizzano certificati di tipo SAN (Subject Alternative Names) rilasciati da Certification Authority interne, e si inseriscono nei certificati nomi di risorse interne, questi saranno visibili anche all’esterno

In un’infrastruttura Lync Server, è comunque necessario creare una configurazione DNS di tipo Split-Brain, creando nel DNS interno una copia della zona DNS esterna, allo scopo di permettere un’appropriata auto-configurazione sia dei client Lync interni che di quelli esterni

La RFC 6762 (standardizzata recentemente nel febbraio 2013), specifica che il TLD .local è da considerarsi un “dominio speciale” e  di tipo “link-local”, cioè valido solo per il link (rete) dove ha origine.  Ha un comportamento simile agli indirizzi IP di classe 169.254/16, che sono validi solo per la rete locale dove sono assegnati.   La RFC stabilisce che il TLD .local non sarà mai risolvibile pubblicamente sui DNS di Internet, ed è tecnicamente accettato e funzionante il suo utilizzo in reti locali con la risoluzione affidata a server DNS locali.

Nelle reti che utilizzano il TLD .local, possono sussistere problemi quando sono presenti client Macintosh OS X dalla versione 10.2 in poi : questi client utilizzano un gruppo di tecnologie note come “Zeroconf” (Zero Configuration Networking), in grado di fornire servizi di discovery e risoluzione delle risorse di rete.  Apple ha nominato questi servizi “Rendezvous” fino al 2005, salvo poi rinominarli “Bonjour”.   Bonjour è utilizzato ampiamente dai client OS X, ed alcuni suoi componenti possono anche essere presenti in altri software come iTunes, Photoshop CS3, Safari.    Bonjour si appoggia a servizi mDNS (Multicast DNS), che permettono di eseguire risoluzioni nome-indirizzo anche in assenza di un convenzionale server DNS.

Bonjour utilizza il suffisso local. per indicare un nome che dovrebbe essere ricercato tramite una query IP Multicast sulla rete locale.  La presenza di un dominio Active Directory con il suffisso .local causa problemi al funzionamento corretto di Bonjour (o di servizi simili, basati su Zeroconf).

La soluzione al problema sarebbe quella di non utilizzare il TLD .local nel dominio Active Directory, oppure modificare Bonjour ad utilizzare il tradizionale Unicast DNS (ma la cosa non è semplicissima).

CONSIGLI DI UTILIZZO

Piccole aziende con infrastrutture solo marginalmente esposte su Internet, con utilizzo dei certificati soprattutto per necessità interne, senza possibilità future di stabilire partnership con altre aziende o eseguire acquisizioni/fusioni.   Il suffisso .local è sconsigliato se la rete aziendale dovesse contenere client Macintosh o applicazioni che utilizzino i servizi Zeroconf : in questo caso, il banale workaround sarebbe quello di utilizzare un suffisso privato alternativo (es. .corp, .ad, .xxx).

CONCLUSIONI

Il presente articolo non è da ritenersi esaustivo : ulteriori scenari e configurazioni particolari delle vostre reti (o la presenza di particolari applicazioni) possono far preferire una modalità di nomina del dominio AD piuttosto che un’altra.  Siete liberi di segnalare nei commenti le vostre esperienze maturate sul campo :-)

  • Share/Bookmark

Pubblicato in Cafè, Corsi e Certificazioni, Generale, Gestione dei Sistemi | 2 Commenti »

Integrazione di terze parti nei database di SCCM 2012

Scritto da Ivan Salvade' il 24 maggio 2013

Se dovesse essere necessario accedere ai dati di SCCM 2012 (per es. inventari hardware e software) da applicazioni di terze parti, è necessario conoscere precisamente dove trovare questi dati nel database SQL di SCCM 2012.

Recentemente ho eseguito questo tipo di ricerca per un mio cliente che necessitava di integrare BMC Remedy ITSM Suite con SCCM.  Riporto in questo articolo gli esiti della ricerca.

Ricordo che il database SCCM in cui ricercare i dati si chiama sempre “SCCM_NomeSitoConfiguratoInSCCM“.  Bisogna accederci utilizzando SQL Server Management Studio.

Per prelevare dati da questo database, è sempre consigliabile utilizzare le Views (Viste) invece che le Tables (Tabelle), in quanto Microsoft si riserva sempre di poter modificare la struttura delle tabelle con il rilascio di Service Pack o nuove Release del prodotto.

Nella lista seguente, indico rispettivamente : il nome della Vista in cui sono presenti i dati, tra parentesi il nome della Tabella associata alla Vista di riferimento, una descrizione del tipo di dati contenuto.

SEZIONE INVENTARIO HARDWARE

v_GS_CDROM  (tabella associata  “CD_ROM_DATA“)  : dispositivi CD-ROM installati nei computer

v_GS_DESKTOP_MONITOR  (tabella associata “Desktop_Monitor_DATA“) : monitor utilizzati da un computer

v_GS_DISK  (tabella associata “Disk_DATA“) :  dischi utilizzati da un computer

v_GS_IDE_CONTROLLER  (tabella associata “IDE_Controller_DATA“) : controller e canali IDE presenti su un computer

v_GS_LOGICAL_DISK  (tabella associata “Logical_Disk_DATA“) : partizioni logiche create sui dischi fisici di un computer

v_GS_MOTHERBOARD_DEVICE  (tabella associata “Motherboard_DATA“) : scheda madre installata su un computer

v_GS_NETWORK_ADAPTER  (tabella associata “Netcard_DATA“) : adattatori di rete del computer (caratteristiche generali)

v_GS_NETWORK_ADAPTER_CONFIGURATION  (tabella associata “Network_DATA“) : configurazione degli adattatori di rete

v_GS_NETWORK_CLIENT  (tabella associata “Network_Client_DATA“) : client di rete (es. Client for Microsoft Networks)

v_GS_OPERATING_SYSTEM  (tabella associata “Operating_System_DATA“) : sistema operativo installato sul computer

v_GS_PARALLEL_PORT  (tabella associata “Parallel_Port_DATA“) : porte parallele presenti sul computer

v_GS_PARTITION  (tabella associata “Partition_DATA“) : informazioni estese sulle partizioni dei dischi del computer

v_GS_PC_BIOS  (tabella associata “PC_BIOS_DATA“) : informazioni sul BIOS del computer

v_GS_PHYSICAL_MEMORY  (tabella associata “PHYSICAL_MEMORY_DATA“) : informazioni su RAM e ROM del computer

v_GS_PNP_DEVICE_DRIVER  (tabella associata “PNP_DEVICE_DRIVER_DATA“) : informazioni sulle periferiche PNP

v_GS_POWER_MANAGEMENT_CAPABILITIES  (tabella associata “POWER_MANAGEMENT_CAPABILITIES_DATA“) : caratteristiche di gestione del risparmio energetico

v_GS_POWER_MANAGEMENT_DAY  (tabella associata “POWER_MANAGEMENT_DAY_DATA“) : informazioni sugli stati di accensione/spegnimento di pc e monitor in varie ore della giornata

v_GS_POWER_MANAGEMENT_MONTH  (tabella associata “POWER_MANAGEMENT_MONTH_DATA“) : informazioni sugli stati di accensione/spegnimento di pc e monitor (dati e statistiche mensili)

v_GS_POWER_MANAGEMENT_SETTINGS  (tabella associata “POWER_MANAGEMENT_SETTINGS_DATA“) : configurazione delle azioni di risparmio energetico (es. “iberna dopo 1 ora di macchina inattiva”)

v_GS_PROCESSOR  (tabella associata “Processor_DATA“) : caratteristiche del processore del computer

v_GS_SOUND_DEVICE  (tabella associata “Sound_Devices_DATA“) : caratteristiche della scheda audio

v_GS_SYSTEM  (tabella associata “System_DATA“) : caratteristiche base di un computer con il client CCM installato

v_GS_SYSTEM_CONSOLE_USAGE  (tabella associata “SYSTEM_CONSOLE_USAGE_DATA“) : utilizzo del computer da parte degli utenti (dati generici)

v_GS_SYSTEM_CONSOLE_USER  (tabella associata “SYSTEM_CONSOLE_USER_DATA“) : utilizzo del computer da parte degli utenti (dati per utente)

v_GS_SYSTEM_DEVICES  (tabella associata “System_Devices_DATA“) : informazioni sulle periferiche di sistema del computer

v_GS_SYSTEM_ENCLOSURE  (tabella associata “System_Enclosure_DATA“) : informazioni sul Case del computer

v_GS_USB_CONTROLLER  (tabella associata “USB_Controller_DATA“) : informazioni sui controller USB del computer

v_GS_VIDEO_CONTROLLER  (tabella associata “Video_Controller_DATA“) : informazioni sui controller video del computer

v_GS_WORKSTATION_STATUS  (tabella associata “WorkstationStatus_DATA“) : informazioni sommarie sul sistema

v_GS_X86_PC_MEMORY  (tabella associata “Pc_Memory_DATA“) : informazioni sulla memoria e sul file di paging del computer

SEZIONE INVENTARIO SOFTWARE

v_GS_ADD_REMOVE_PROGRAMS  (tabella associata “Add_Remove_Programs_DATA“) : programmi a 32 bit presenti in “Add/Remove Programs”

v_GS_ADD_REMOVE_PROGRAMS_64  (tabella associata “Add_Remove_Programs_64_DATA“) : programmi a 64 bit presenti in “Add/Remove Programs”

v_GS_LastSoftwareScan  (tabella associata “SoftwareInventoryStatus“) : ultimo inventario software eseguito

v_GS_SoftwareFile  (tabella associata “vSMS_G_System_SoftwareFile“) : dettagli degli eseguibili del software installato

v_GS_SoftwareProduct  (tabella associata “vSMS_G_System_SoftwareProduct“) : dettagli del software installato

Buona integrazione!!  :-)

  • Share/Bookmark

Pubblicato in Gestione dei Sistemi, System Center Configuration Manager 2012 | Nessun commento »

Client CCM non si registra in SCCM 2012 dopo installazione con Task Sequence OSD

Scritto da Ivan Salvade' il 31 gennaio 2013

Era un problema conosciuto in SCCM 2007, poi risolto, ma che puntualmente ricapita anche in SCCM 2012, sebbene solo in alcune casistiche particolari.

Il problema consiste nella mancata registrazione di un client CCM in SCCM 2012, quando si esegue il deploy di un sistema operativo attraverso una OSD (Operating System Deploy) Task Sequence di SCCM 2012, nella quale sia inserito anche lo step di installazione del client CCM.

La mancata registrazione del client può anche comportare l’errata esecuzione degli step successivi della Task Sequence (per esempio eventuali procedure di ripristino dati dopo l’installazione del sistema operativo).

Il problema è gia a conoscenza di Microsoft, e la risoluzione è prevista nel SP1 di SCCM 2012 (peraltro già uscito al momento della scrittura del presente articolo).

Gli effetti “estetici” visibili sono due :

  • Il client CCM appare installato nel Pannello di Controllo del computer, ma spostandoci nel tab “Azioni”, si nota la presenza solo di alcuni componenti (Fig. 1), invece che di tutti (Fig.2) :

ccmprob.PNG        Fig. 1 : client problematico

ccmnoprob.PNG      Fig. 2 : client perfettamente funzionante

  • Nella console SCCM 2012, il computer continua a comparire nelle collezioni senza Client CCM installato (Fig. 3)

conssccm.png

      Fig. 3

Qualunque tentativo di riavvio del computer o refresh (riparazione) del client,  non sortisce effetto alcuno.

Il metodo veloce per risolvere il problema singolarmente, computer per computer, sarebbe il seguente :

  • Disinstallare completamente il client CCM (con “Ccmsetup.exe /Uninstall”)
  • Reinstallare il client CCM a mano o attraverso una Push Installation da SCCM

Ma il problema si riproporrebbe su tutti i nuovi computer installati dalla Task Sequence : bisogna quindi risolvere il problema proprio a livello di Task Sequence.

Approfondiamo un po’ : ecco ulteriori indizi della presenza del problema.

Due particolari chiavi di registro presentano uno strano valore sui client problematici.  Queste chiavi si trovano nella posizione :

HKLM\Software\Microsoft\CCM\CCMExec

e sono le seguenti :

  • ProvisioningMode (REG_SZ)
  • SystemTaskExcludes (REG_SZ)

In Fig. 4 ho fotografato lo stato delle suddette chiavi in un client con problemi, mentre in Fig. 5 sono riportate le stesse chiavi con il loro valore corretto (se il client fosse regolarmente installato e registrato) :

client-con-problemi.PNG      Fig. 4 : chiavi di registro del client con problemi (clicca per ingrandire)

client-senza-problemi.PNG     Fig. 5 : chiavi di registro di un client regolare (clicca per ingrandire)

Cosa fanno queste due chiavi?

  • chiave “ProvisioningMode” : se posta a “True” (come nei client problematici) indica che il client CCM è stato posto in modalità di “Provisioning”.  In questa modalità, il client non riceve le policy provenienti da SCCM 2012.  Durante l’esecuzione di una Task Sequence OSD, è giusto che il client momentaneamente non riceva le policy : in questo modo non possono essere lanciati eventuali task, aggiornamenti o installazioni di software che possano mettere a repentaglio l’esecuzione della Task Sequence.   Però, quando la Task Sequence è terminata, questa chiave dovrebbere essere automaticamente impostata a “False”. E’ proprio qui il baco : capita in alcuni scenari che la chiave rimane a valore “True”, e quindi il client rimane in modalità di Provisioning, senza riuscire a portare a compimento la registrazione in SCCM e il download delle policy
  • chiave “SystemTaskExcludes” : quando la chiave ProvisioningMode è posta a “True”, questa chiave elenca tutti i componenti disabilitati del client (cioè quelli che non funzioneranno).  Tra i vari componenti, l’ultimo della lista è il  “ClientRegistrationStartup”, che ha proprio il compito di eseguire la registrazione in SCCM 2012

Unitamente all’errata impostazione delle chiavi di registro, sui client con problemi si può anche notare la mancanza di due particolari certificati nello store dei certificati, precisamente nella sezione “Certificati (computer locale)\SMS” :

  • il “SMS Encryption Certificate”
  • il “SMS Signing Certificate”

Questi certificati servono a permettere al client la crittazione e la firma digitale delle comunicazioni con il server SCCM.   Se il client non si registra correttamente con SCCM, questi certificati non vengono generati.

In Fig. 6 sono mostrati i suddetti certificati su un client regolare :

certificati-client-no-problem.PNG      Fig. 6 : certificati di un client regolare (clicca per ingrandire)

Infine, nel file di log “ClientIDManagerStartup.log” reperibile sui client problematici nella cartella “C:\Windows\CCM\Logs”, non verrebbero visualizzate le linee evidenziate in giallo in Fig. 7 :

log-di-un-client-no-problem.PNG      Fig. 7 : logs di un client regolare (clicca per ingrandire)

Queste due linee evidenziano il tentativo automatico del client di registrare il proprio GUID in SCCM 2012, e la riuscita della registrazione con un messaggio finale del tipo “Approval Status 1″.   Queste due linee, in un client con problemi, non comparirebbero assolutamente.

Per risolvere il problema a livello di Task Sequence, è necessario inserire nella TS due script che vadano automaticamente a controllare le chiavi di registro problematiche, correggendole se necessario. Gli script vanno eseguiti subito dopo il task di installazione dell’agent CCM.   Inoltre, per dare il tempo al client di effettuare la registrazione in SCCM, è opportuno inserire anche un’azione di Restart del computer, con un tempo di attesa di almeno 60 secondi prima del restart.

provmode.JPG      Fig. 8 : script per la regolazione della chiave “ProvisioningMode” (clicca per ingrandire)

taskexclude.JPG      Fig. 9 : script per la regolazione della chiave “SystemTaskExcludes” (clicca per ingrandire)

L’azione di Restart (visibile nelle Figg. 8 e 9) deve essere inserita subito dopo l’esecuzione dei due script.

In questo modo il client CCM viene correttamente registrato, e le successive azioni della Task Sequence possono essere portate correttamente a compimento.

  • Share/Bookmark

Pubblicato in Gestione dei Sistemi, System Center Configuration Manager 2012 | Nessun commento »

“Group Policy Settings Reference” per Windows Server 2012 e Windows 8

Scritto da Ivan Salvade' il 30 settembre 2012

E’ disponibile da qualche giorno la “Group Policy Settings Reference” per Windows Server 2012 e Windows 8.

Si tratta di un foglio Excel contenente l’elenco completo dei settaggi di Group Policy (categorie “Administrative Templates” e “Security Settings”), aggiornati alla piattaforma 2012 / Windows 8.

La descrizione completa del contenuto dello spreadsheet è disponibile al seguente link :

http://www.microsoft.com/en-us/download/details.aspx?id=25250

Nella precedente pagina, sono disponibili in download anche le “Group Policy Settings Reference” dei precedenti sistemi operativi.

Il link diretto per il download dei settaggi di group policy per la piattaf0rma Windows Server 2012 / Windows 8 è il seguente :

http://go.microsoft.com/fwlink/?LinkId=261775

Buon divertimento con i settaggi!!!  :-)

  • Share/Bookmark

Pubblicato in Generale, Gestione dei Sistemi, Windows 8, Windows Server 2012 | Nessun commento »

Non si riescono a creare trust verso altri domini/foreste

Scritto da Ivan Salvade' il 25 novembre 2011

Potreste incorrere (soprattutto in ambiente virtuale) nell’impossibilità di creare trust fra due intere foreste di Active Directory, o fra un dominio di una foresta e un dominio di un’altra.

Il problema è testimoniato dal wizard di creazione del trust (lanciato dalla console “Active Directory Domain and Trusts”), che nella sua pagina finale riporta il seguente (ed immediato) errore :

“The operation failed. The Error is : This operation cannot be performed on the current domain.”

Purtroppo leggendo questo errore non è immediatamente comprensibile la motivazione, e nel Visualizzatore Eventi non vengono riportate informazioni aggiuntive.

Bisogna attivare il logging diagnostico di Active Directory per avere maggiori informazioni.  Questo si effettua utilizzando il registro di sistema del Domain Controller, posizionandosi nella seguente chiave :

HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics

In questa chiave, localizzare il valore di tipo REG_DWORD ”9 Internal Processing“ e porlo a 5 (il default è 0).    Questa operazione registra nel log “Directory Service” qualunque tipo di evento interno ad Active Directory, comprese le stringhe di debug e le modifiche di configurazione.  E’ il tracing più avanzato e dettagliato disponibile.

Ripetendo l’operazione di creazione del trust con il logging diagnostico attivo, compariranno nel log “Directory Service” degli eventi più dettagliati.   In particolare saranno visibili dei codici errore 1481, con sorgente “ActiveDirectory_DomainService” e categoria “Internal Processing”, simili al seguente esempio :

“Internal error : The operation on the object failed.

Additional Data

Error value:

2 0000208F:NameErr: DSID-031001F7, problem 2006 (BAD_NAME), data 8350,….

2 000020EF:NameErr: DSID-032500EB, problem 2001 (NO_OBJECT), data -1601,….

0:00002074:DSID-0312052C, problem 2001 (NO_ATTRIBUTE_OR_VAL), data 0, Att ffffffff (Not in cache!)

Questo tipo di errore è identificativo di un (grave!) conflitto di SID tra i due domini che si vogliono trustare!   E’ un problema più unico che raro : può capitare in ambiente virtuale di test/laboratorio, quando sono stati creati due domini su due domain controller provenienti entrambi da una stessa immagine di partenza, non sottoposta ad operazione di sbiancamento dei SID (quello che fa il SYSPREP, per intenderci).

Infatti, la procedura di creazione di un trust controlla sempre i seguenti pre-requisiti :

  1. Il livello funzionale delle foreste deve essere almeno Windows Server 2003, se quello che stiamo creando è un Forest Trust
  2. I DNS delle due foreste devono risolversi reciprocamente (usare forwarding, zone secondarie o di stub), se quello che stiamo creando è un Forest Trust
  3. Il nome DNS dei domini da trustare deve essere differente
  4. Il nome NETBIOS dei domini da trustare deve essere differente
  5. Il SID dei domini da trustare deve essere differente

Proprio la mancanza del requisito del punto 5) genera l’errore sopra-riportato.

Il SID di un dominio è facilmente identificabile utilizzando l’utility PSGETSID.EXE (strumento della Sysinternals, scaricabile al seguente link : http://technet.microsoft.com/en-us/sysinternals/bb897417.aspx )

La sintassi del comando è la seguente (utilizzarlo sui Domain Controller dei due domini) :

PSGETSID.exe \\NOMEDOMAINCONTROLLER  oppure   PSGETSID.exe \\NOMEDOMINIO

Se il comando restituisce lo stesso SID su entrambi i Domain Controller dei due domini, il problema è localizzato.

La modifica del SID di un dominio non è una strada percorribile con semplici comandi o procedure.  Il Domain controller di quel dominio deve essere rimesso in modalità workgroup (e se quello è l’unico DC del dominio, significa che deve essere rimosso l’intero dominio!!), deve essere eseguito un SYSPREP su di lui, e quindi si re-installa il domain controller (e il dominio intero, se quello era l’unico domain controller disponibile).

In definitiva, ricordate : non bisogna mai creare due domain controller (di domini diversi o anche dello stesso dominio) partendo da un’immagine comune su cui non è stata eseguita l’operazione di SYSPREP.

  • Share/Bookmark

Pubblicato in Gestione dei Sistemi, Sicurezza, Windows Server 2008 R2 | Nessun commento »

Disponibile Configuration Manager 2012 RC1

Scritto da Ivan Salvade' il 8 novembre 2011

Già da qualche giorno è disponibile per il download la Release Candidate 1 di Configuration Manager 2012.   Il link diretto per l’accesso (previa autenticazione) al download dal sito Microsoft Connect è il seguente :

https://connect.microsoft.com/ConfigurationManagervnext/Downloads/DownloadDetails.aspx?DownloadID=39392

Durante l’installazione della RC1, sono automaticamente scaricati e installati anche :

  1. Microsoft SQL Server Express 2008 R2 SP1
  2. Microsoft SQL Server 2008 Native Client
  3. Microsoft Silverlight

Ecco alcune delle principali novità :

  • Non è supportato l’aggiornamento in-place da SCCM 2007;  è supportato l’aggiornamento side-by-side
  • Molti dei componenti di CM 2012 richiedono il .NET Framework 4 completo : installarlo a priori
  • I Management Points e i Distribution Points sono configurabili già nel Setup di CM 2012
  • I siti secondari si installano solo dalla console di gestione di CM 2012
  • Nessuna necessità di estendere ancora lo Schema di Active Directory, per chi lo ha già fatto per SCCM 2007
  • Le informazioni di Sito possono essere pubblicate anche in Foreste trustate, per il miglior supporto di client che non sono nella stessa foresta di CM
  • Eliminata la differenza tra sito in Mixed Mode e sito in Native Mode : la criptazione delle comuncazioni è regolabile per ruolo
  • Rimossi i seguenti Site System Roles : Reporting Point, PXE Service Point, Server Locator Point, Branch Distribution Point : le loro funzionalità sono state incluse in altri ruoli
  • Nuovo metodo di Discovery : “Active Directory Forest Discovery”, che permette di ricercare nei siti e nelle subnet pubblicati in Active Directory
  • Migliorie degli altri metodi di discovery
  • I settaggi di configurazione dei client sono applicabili all’intera gerarchia di siti, e non solo ad un unico sito
  • Nuova modalità di amministrazione basata sui ruoli (simile a quella di Exchange 2010)
  • Eliminate le “Sub-Collections”
  • Possibilità di creare classi customizzate per l’inventario hardware, senza dover modificare il file sms_def.mof; lo stesso vale per gli inventari di Asset Intelligence
  • Exchange Server Connector : permette a CM 2012 di rintracciare i dispositivi mobili che si collegano a Exchange per sincronizzare la posta
  • Regole di approvazione automatica degli aggiornamenti
  • Completa integrazione con SQL Server Reporting Services per la parte di reporting
  • Il Controllo Remoto può spedire CTRL+ALT+CANC ai client
  • Si possono bloccare tastiera e mouse del client su cui si agisce in remoto
  • Solo la porta TCP 2701 è richiesta per il controllo remoto
  • Supporto completo a Windows Aero in una sessione remota

Buon testing !! :-)

  • Share/Bookmark

Pubblicato in Generale, Gestione dei Sistemi | Nessun commento »

Disponibile Microsoft Assessment and Planning (MAP) Toolkit 6.0

Scritto da Ivan Salvade' il 22 luglio 2011

E’ disponibile il download gratuito del Microsoft Assessment and Planning (MAP) Toolkit 6.0.   Lo potete trovare al seguente link :

http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=7826

E’ uno strumento utile a chi deve pianificare una migrazione della propria rete informatica verso nuove release di prodotto, o verso nuove infrastrutture (per esempio un’infrastruttura basata sulla virtualizzazione o un’infrastruttura basata sul cloud, privato o pubblico).   E’ in grado di eseguire un’analisi approfondita delle applicazioni attualmente presenti nella vostra rete, suggerendovi le possibilità di migrazione a nuove infrastrutture.

MAP Toolkit 6.0 prevede le seguenti nuove caratteristiche :

  1. Analisi delle proprie applicazioni per l’eventuale migrazione alla piattaforma Windows Azure
  2. Pianificazione del passaggio ad un cloud privato con il report “Hyper-V Cloud Fast Track Onboarding Assessment” : praticamente una guida all’effettuazione di una migrazione P2V (Physical-to-Virtual) della propria infrastruttura
  3. Analisi degli ambienti server eterogenei (compresi gli ambienti VMware Server, vSphere, VMware vCenter)
  4. Analisi (con assessment sia hardware che software dei client) della compatibilità delle applicazioni della Suite di Office con la piattaforma “Office 365″
  5. Pianificazione della migrazione a Windows 7 e Internet Explorer 9.0
  6. Analisi delle possibilità di migrazione da Oracle a SQL

Ecco un link per avere informazioni più dettagliate su MAP 6.0 :

http://technet.microsoft.com/en-us/solutionaccelerators/dd537566.aspx

Buona lettura a tutti  :-)

  • Share/Bookmark

Pubblicato in Generale, Gestione dei Sistemi | Nessun commento »

 
Usiamo i cookie per assicurarti la migliore esperienza di navigazione nel nostro sito web.
Ok