windows 2008

VMWare e licenze ROK (brand HP, DELL)

Le licenze MS Windows possono essere acquistate godendo dello sconto del brand (ad es: HP o DELL) solo se queste vengono installate su hardware dedicato. Il controllo di queste licenze (che avviene durante l’installazione) può trovare impedimenti se l’ambiente è virtualizzato. In questo caso la licenza non trova le specifiche hardware a cui è legata.

Il risultato è il blocco dell’installazione.

Failed Bios Lock when installing Windows 2012 ROK on VMware

In ambiente VMWare è possibile trasferire in modo trasparente le informazioni BIOS dell’hardware al sistema operativo guest impostando il parametro

smbios.ReflectHost = TRUE

Di seguito le schermate per impostare correttamente il parametro nella VM.

vmproperties

aggiungere la riga seguente nella lista parametri:

VMware issue

VPN site-to-site dietro router, NAT e firewall: quando non vi sono i requisiti standard

La realizzazione delle VPN site to site richiedono requisiti strutturali ben precisi per realizzare connessioni fra uffici stabili e prestanti. Ci si trova in situazioni dove non è possibile avere:

  • pool di IP pubblici statici
  • configurazione dell’ip pubblico sulla interfaccia WAN del proprio device di rete (normalmente firewall)
  • router in gestione autonoma

Questo articolo propone una soluzione di VPN site-to-site basata sul protocollo PPTP di Microsoft.

Rete A – 192.168.0.0 / 24 (sede centrale)

Rete B – 192.168.10.0/24 (sede remota, ad es: magazzino)

Diagramma di rete.

vpn-pptp

Composizione della rete A.

Server Windows: 192.168.0.100 / 255.255.255.0, gateway 192.168.0.254
Firewall: LAN 192.168.0.254 / 255.255.255.255.0 – WAN 192.168.1.254 /255.255.255.0 – GW 192.168.1.1
Router operatore: LAN 192.168.1.1 – WAN: IP-Pubblico-Rete-A (assegnato dall’operatore)

vpn-pptp-A

Composizione della rete B.

Linux PPTP-client-gateway: 192.168.10.254 / 255.255.255.0, gateway 192.168.10.1
Router operatore: LAN 192.168.10.1 – WAN: IP-Pubblico-Rete-B (assegnato dall’operatore)

vpn-pptp-B

Configurazione apparati della rete A.

Le parti che necessitano configurazioni sono il Server Windows e il firewall. L’installazione da svolgere sul server windows riguarda l’attivazione del ruolo di “Servizio di accesso e criteri di rete” e la relativa configurazione VPN (è necessario avere un servizio DHCP attivo e limitare il numero di connessioni lato VPN per non saturare il range DHCP).

ruolo

Nella definizione dell’utente per la connession VPN (in esempio “magazzinovpn”) va definita correttamente la proprietà “chiamate in ingresso”

account

e va inoltre definita la parte “Assegna inidirizzi IP statici”

indirizzo-ip-statico

definendo così (ad es: 192.168.0.20) l’ip che avrà la connessione con utente “magazzinovpn” e che rappresenterà il gateway della rete-A verso la rete-B.

Lato firewall vanno definite le regole di port-forwarding verso il server windows (192.168.0.100) delle porte TCP/1723 e GRE/47 (è probabile che il la porta GRE/47, quella responsabile del tunnel VPN non si definibile perché implicitamente già aperta). Lato firewall va definita una route statica dove si indica che tutte le sorgenti LAN (rete-A: 192.168.0.0/24) che hanno come destinazione la rete magazzino (rete-B: 192.168.10.0/24) il next-hop è il 192.168.0.20. Il router dell’operatore deve “girare” tutte le richieste da “Internet” sull’ip del firewall 192.168.1.254.

IMPORTANTE. Ora serve un’ultima definizione di routing: le destinazioni che devono raggiungere la rete-B (192.168.10.0/24) devono attraversare il tunnel VPN. Questa definizione deve essere scritta all’interno del server windows (è il sistema operativo che ha in gestione il tunnel VPN). Inoltre questa definizione deve essere attivata tutte le volte che viene accessa la VPN. In caso di caduta di linea la VPN cade, la route viene eliminata dal sistema operativo e quando la connettività riprende la VPN si ristabilisce e con sè si deve ristabilire anche la route statica di attraversamento tunnel.

Per realizzare questo meccanismo creiamo un file di script all’interno di c:\scripts e lo chiamiamo routevpn.cmd e al suo interno le seguenti righe:

route add 192.168.10.0 mask 255.255.255.0 192.168.0.20

Per “far scattare” questo meccanismo tutte le volte che il tunnel VPN si attiva, utilizziamo la tecnica delle schedulazioni Microsoft basate su evento. L’evento di attivazione tunnel VPN è nel registro di “Sistema” con event-ID=20274.

pianificazioneavvio-script

Configurazioni apparati della rete B.

Sulle sedi remote, nell’esempio “magazzino”, viene richiesta una macchina Linux con una interfaccia di rete. La configurazione che si andrà a predisporre è molto “leggera” e non richiede nessun intervento da parte dell’operatore. Nell’architettura VPN site-to-site routing, deve comunque essere rispettata la regola di non sovrapposizione di rete: i due segmenti di rete sono disgiunti, proprio come nel nostro esempio.

Il PC Linux deve avere come ruoli il routing, client PPTP e gateway principale della rete. Indico i pacchetti di “rito” da installare da una versione Linux CentOS 6.8 minimal e il pacchetto necessario per eseguire la funzione di PPTP client:

yum install -y nano telnet wget lynx bind-utils crontabs.noarch ntpdate dnsmasq sysstat nc sudo screen system-config-network-tui.noarch setuptool system-config-firewall-tui.noarch setup.noarch
yum install nano wget lynx telnet bind-utils
yum install dnsmasq
yum install -y compat-libstdc++-33 compat-glibc glibc-common glibc glibc-headers glibc-devel glibc-static glibc-utils
yum groupinstall “Development Tools”
yum install pptp

Una volta installato il software si passa alle parti di configurazione. In elenco files e relativa configurazione.

SELINUX

[root@gw ~]# cat /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing – SELinux security policy is enforced.
# permissive – SELinux prints warnings instead of enforcing.
# disabled – No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of these two values:
# targeted – Targeted processes are protected,
# mls – Multi Level Security protection.
SELINUXTYPE=targeted

SYSCTL.CONF

[root@gw ~]# cat /etc/sysctl.conf
# Kernel sysctl configuration file for Red Hat Linux
#
# For binary values, 0 is disabled, 1 is enabled. See sysctl(8) and
# sysctl.conf(5) for more details.
#
# Use ‘/sbin/sysctl -a’ to list all possible parameters.

# Controls IP packet forwarding
net.ipv4.ip_forward = 1

# Controls source route verification
net.ipv4.conf.default.rp_filter = 0

# Do not accept source routing
net.ipv4.conf.default.accept_source_route = 0

# Controls the System Request debugging functionality of the kernel
kernel.sysrq = 0

# Controls whether core dumps will append the PID to the core filename.
# Useful for debugging multi-threaded applications.
kernel.core_uses_pid = 1

# Controls the use of TCP syncookies
net.ipv4.tcp_syncookies = 1

# Controls the default maxmimum size of a mesage queue
kernel.msgmnb = 65536

# Controls the maximum size of a message, in bytes
kernel.msgmax = 65536

# Controls the maximum shared segment size, in bytes
kernel.shmmax = 4294967295

# Controls the maximum number of shared memory segments, in pages
kernel.shmall = 268435456

IP-UP.LOCAL (con permessi di esecuzione, chmod 755)

[root@gw ppp]# cat /etc/ppp/ip-up.local
#!/bin/bash

ip route add 192.168.0.0/24 dev ppp0

PPTPVPN

[root@gw peers]# cat /etc/ppp/peers/pptpvpn
pty “pptp <ip-pubblico-statico-rete-A> –nolaunchpppd”
lock
noauth
nobsdcomp
nodeflate
refuse-eap
refuse-pap
name magazzinovpn
password <password-utente-magazzinovpn-definito-in-ms-windows>
persist
remotename PPTP
require-mppe-128
ipparam pptpvpn

CON.SH (con permessi di esecuzione, chmod 755)

[root@gw peers]# cat /root/con.sh
#!/bin/bash
pppd call pptpvpn
sleep 10
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

RC.LOCAL

[root@gw peers]# cat /etc/rc.local
#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don’t
# want to do the full Sys V style init stuff.

/root/con.sh

touch /var/lock/subsys/local

Il client Linux creerà il tunnel VPN ed essendo il gateway della rete-B smisterà le chiamate pubbliche verso il router dell’operatore, mentre le chiamate con destinazione la rete-A verranno instradate nel tunnel VPN.

Se siete interessati a approfondimenti o valutazioni di scenari diversi potete contattarmi compilando il form al link http://www.abconsultinggroup.eu/contatti/index.php .

MAC OS – Time Machine over the ethernet, share on windows 7 / 8 / server 2008 / server 2012, samba sharing

 

Questo breve how-to per utilizzare il software di base Mac Time Machine per il backup del proprio MAC. Solitamente questo software prevede l’utilizzo di periferiche locali (thunderbolt, usb) oppue periferiche nominate Time Capsule. E’ possibile svolgere il backuo del proprio Mac su un’area condivisa di rete.

1- creare dalle “Utility Disco” una nuova immagine di capacità 100MB (indifferente ai fini del processo) di tipo “sparse” (vedi immagine sotto)


utilitydisco

 

conf_disco_immagine

 

 

2- accedere al terminale e digitare il comando per diventare utente root:

sudo su –

3- estendere ora l’immagine creata di 100MB dello spazio desiderato, ad esempio 250GB:

hdiutil resize -size 250g nbackup.sparseimage/

4- copiare col “Finder” il file verso la destinazione di rete

5- doppio click sull’immagine in area di condivisione (questo per caricare l’immagine nel Finder)

6- sempre da terminale con accesso root dichiarare al sistema che l’immagine è utilizzabile da Time Machine:

tmutil setdestination /Volumes/nbackup/

7- aprire Time Machine e dichiarare il nuovo disco come utilizzabile

 

Teleassistenza remota per supporto CED – assistenza computer pc client e server

Lo Studio AB Consulting offre il servizio di teleassistenza remota teso a supportare le attività ordinarie e in MASSIMA URGENZA dei servizi CED. E’ possibile richiedere assistenza remota per riconfigurazione software, supporto agli utenti, formazione all’utilizzo corretto degli strumenti informatici, installazioni massive; alcune piattaforme di competenza sono ad esempio: client di posta elettronica e di posta elettronica certificata (outlook express, outlook, thunderbird, lotus notes), pacchetto di office automation (microsoft office, libre office, open office), firma digitale sui documenti, impostazione stampanti/FAX e multifunzioni, ottimizzazioni di utilizzo.

Il servizio propone anche gestioni di tipo ordinarie coordinate col CED aziendale interno: creazione account in active directory, creazione cassette di posta elettronica (ambienti Linux, Microsoft, IBM), sblocco di account, verifica delle attività di backup e consistenza dati.

Tutte i tempi relativi alle sessioni di assistenza remota vengono gestite in automatico dal sistema professionale Team Viewer.

Luca (Amministrazione): .. è come avere il consulente vicino a te quando serve ..

Alessio (CED): .. riesco ora a dedicare tempo ai progetti centrali e avere gli utenti soddisfatti dei tempi di risposta sui problemi quotidiani ..

Marco (Magazzino): .. documenti di trasporto non più bloccati e autotrasportatori più contenti ..

Matteo (Produzione): .. i centri di lavoro accedono regolarmente ai dati e ho migliorato i tempi di piazzamento macchina ..

 

Se sei interessato puoi compilare il form al seguente link http://www.andreabalboni.com/contatti/index.php e scegliere “incontro per conoscenza”.

 

Windows 2008 R2 free eBook from Microsoft Press

E’ possibile consultare una guida pubblicata da Microsoft Press riguardo Microsoft Windows Server 2008 R2. I temi affrontati da questa guida sono i seguenti:

Chapter 1 What’s New in Windows Server R2
Chapter 2 Installation and Configuration: Adding R2 to Your World
Chapter 3 Hyper-V: Scaling and Migrating Virtual Machines
Chapter 4 Remote Desktop Services and VDI: Centralizing Desktop and Application Management
Chapter 5 Active Directory: Improving and Automating Identity and Access
Chapter 6 The File Services Role
Chapter 7 IIS 7.5: Improving the Web Application Platform
Chapter 8 DirectAccess and Network Policy Server
Chapter 9 Other Features and Enhancements

windows_2008r2_free_ebook
windows_2008r2_free_ebook

Database Administration: introduzione a Microsoft SQL Server 2008 R2

Durante una lavorazione richiesta per la gestione di un database Microsoft ho svolto varie letture di approfondimento. Googlando ho trovato un documento .pdf molto interessante. I temi trattati sono i seguenti:

CHAPTER 1-SQL Server 2008 R2 Editions and Enhancements
CHAPTER 2 Multi-Server Administration
CHAPTER 3 Data-Tier Applications
CHAPTER 4 High Availability and Virtualization Enhancements
CHAPTER 5 Consolidation and Monitoring
CHAPTER 6 Scalable Data Warehousing
CHAPTER 7 Master Data Services
CHAPTER 8 Complex Event Processing with StreamInsight
CHAPTER 9 Reporting Services Enhancements
CHAPTER 10 Self-Service Analysis with PowerPivot

Introducing SQL Server 2008 R2
Introducing SQL Server 2008 R2

Introducing SQL Server 2008 R2
clicca qui per scaricare il documento

Centos samba join to domain controller ADS 2008

Linee guida su come mettere in JOIN il servizio samba su un dominio active directory di microsoft windows 2008.

Prerequisiti software:
(centos 64bit)
yum install samba3x.x86_64 samba3x-client.x86_64 samba3x-common.x86_64 samba3x-winbind.x86_64 samba3x-winbind-devel.x86_64

I file di configurazione interessati sono:
/etc/resolv.conf
/etc/pam.d/login
/etc/krb5.conf
/etc/hosts
/etc/samba/smb.conf
/etc/nsswitch.conf

file /etc/resolv.conf
<aggiungere il server domain controller nella lista nameserver>
nameserver <ip del server>

file /etc/pam.d/login
<aggiungere le seguenti righe; nella versione 32 bit serve
verificare la posizione del file pam_winbind.so>

auth sufficient /lib64/security/pam_winbind.so
account sufficient /lib64/security/pam_winbind.so

file /etc/krb5.conf

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
ticket_lifetime = 24000
default_realm = DOMINIO.LOCAL
dns_lookup_realm = true
dns_lookup_kdc = true

[realms]
DOMINIO.LOCAL = {
kdc = server.dominio.local:88
admin_server = server.dominio.local:749
default_domain = dominio.local
}

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf

[domain_realm]
.dominio.local = DOMINIO.LOCAL
dominio.local = DOMINIO.LOCAL

[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}

file /etc/hosts

<ip del domain controller> server.dominio.local server

### comandi da shell
# kinit Administrator@DOMINIO.LOCAL
Password for Administrator@DOMINIO.LOCAL:

# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@DOMINIO.LOCAL

Valid starting     Expires            Service principal
03/05/11 17:55:34  03/06/11 00:35:34 krbtgt/DOMINIO.LOCAL@DOMINIO.LOCAL

Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached

# smbclient -L /server -k
<lista condivisioni>

file /etc/samba/smb.conf

### Global parameters
[global]
workgroup = DOMINIO
realm = DOMINIO.LOCAL
preferred master = no
netbios name = CUBE
server string = CUBE file server
security = ADS
encrypt passwords = yes
hosts allow = 10.0.0. 127.

log level = 3
log file = /var/log/samba/log_%U_%m
max log size = 50

winbind separator = +
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes

idmap uid = 10000-20000
idmap gid = 10000-20000

socket options = TCP_NODELAY IPTOS_LOWDELAY SO_KEEPALIVE SO_RCVBUF=8192 SO_SNDBUF=8192

### Sharing
[Public]
comment = Public
path = /home/DOMINIO/Public
read only = No
browseable = Yes
writeable = yes
public = yes
create mask = 0660
directory mask = 0770
valid users = @”DOMINIO+domain users”

[homes]
comment = Home
path = /home/DOMINIO/%U
browseable = no
writeable = yes
create mask = 0600
directory mask = 0700

### comandi da shell
# /etc/init.d/winbind start
# /etc/init.d/smb start
# net ads join -U Administrator
Joined ‘CUBE’ to realm ‘DOMINIO.LOCAL.’

file /etc/nsswitch.conf
passwd:     compat winbind
shadow:     compat
group:      compat winbind

### comandi da shell di verifica
# wbinfo -u
<lista utenti di dominio Active Directory>

# wbinfo -g
<lista gruppi di dominio Active Directory>

# getent passwd
<lista utenti locali e di active directory>

# net ads info

NOTA.
Se desideri ricevere aiuto o consulenza invia una richiesta gratuita compilando la scheda contatti al seguente link http://www.andreabalboni.com/contatti/ .

link di approndimento:
HOW to forge
Enterprise networking planet

Windows 2008 Server KB 10 Agosto 2010 – reboot infinito

Il 10 Agosto 2010 vengono rilasciati i seguenti 11 aggiornamenti dalla Microsoft:

KB890830, KB2183461, KB982664, KB982799, KB2079403, KB2160239, KB978886, KB980436, KB982214, KB981852, KB982779.

[ Problema ]

Il problema avuto dopo l’aggiornamento automatico delle patch qui sopra indicate e dal reboot del sistema windows 2008 server è quello di avere un reboot infinito (endless loop reboot). Nemmeno con l’avvio in safe mode il sistema è accessibile. L’unica possibilità è di ripristinare Windows 2008 Server attraverso l’utilizzo della recovery console e lanciare il ripristino totale del server dall’ultima copia bare metal – full.
Pare che la patch che mette in crisi il sistema sia il KB981852 ( vedi articolo in rete: articolo1 )

[ Soluzione ]

E’ comunque possibile installare questo pacchetto di patch svolgendo passo a passo gli aggiornamenti. E’ consigliato il backup bare metal di Windows 2008 server in caso di ripristino dovuto al problema segnalato.
Per installare correttamente le 11 patch fornite da Microsoft è sufficiente selezionare una ad una la patch, installare e riavviare.