Gestione Windows Server 2008 R2

Gestione Windows Server 2008 R2

Orazio Battaglia

Event Viewer

L’Event Viewer è lo strumento per la gestione dei log

in Windows Server.

L’Event Viewer:

Permette di raccogliere i log del sistema

Definire delle regole di filtraggio dei log

Salvare le regole di filtraggio per usi futuri

Schedulare un task che viene avviato in risposta ad

un evento

2 Tecnico di Reti Informatiche, modulo 2

Event Viewer

L’Event Viewer è accessibile da «Server Manager» o da

«Administrative Tools»


Event Viewer

Event Viewer mostra due sezioni di log:

Windows Logs: è la sezione tradizionale dei log di Windows Server. Era presente anche nelle versioni precedenti. E’ divisa in: Application: contiene i log generati da applicazioni e programmi

Security: contiene i log di sicurezza ad esempio tentativi validi e non di logon, log di accesso ai file, log di accesso alle risorse

Setup: contiene i log di installazioni

System: contiene i log generati dalle componenti di Windows ad esempio driver, avvio/arresto di servizi

Forwarded events: contiene log generati da altri computer

Applications and Services Logs: è una sezione nuova aggiunta a partire da Windows Server 2008. In questa sezione sono raccolti i log che vengono generati da singole applicazioni o da singoli componenti.


Event Viewer, «Filter Current Log...» All’interno di un categoria di log è possibile definire dei filtri. Il filtro viene applicato solo a quella categoria.


Event Viewer, «Custom View» Nell’Event Viewer è possibile creare delle «Custom View» con delle regole di filtraggio che possono essere riusate.


Event Viewer, «Custom View» La finestra dei filtri è del tutto simile a quella dei filtri applicati ad un singolo log ma nella «Custom View» è possibile selezionare più log contemporaneamente


Event Viewer, «Custom View»

Alla fine della procedura viene chiesto dove salvare la

«Custom View»


Event Viewer, salvataggio di un file di log Dalle proprietà di un file di log è possibile selezionare la posizione di salvataggio del file e la dimensione del file. Per salvare manualmente un file di log selezionare il log e poi la funzione «Save All Events As...» (taso destro del mouse)


Event Viewer, schedulazione di un task in

risposta ad un evento (1/2)

E’ possibile schedulare un task in risposta ad un evento


Event Viewer, schedulazione di un task in

risposta ad un evento (2/2)

Viene avviato il Wizard per la creazione del task


Monitoraggio delle risorse

In Windows Server 2008 R2 esistono tre strumenti

principali per il monitoraggio delle risorse:

Windows Task Manager

Resource Monitor

Performance Monitor

Gli strumenti sono elencati in ordine crescente di

dettaglio delle informazioni fornite


Monitoraggio delle risorse, Windows Task

Manager

Windows Task Manager


Monitoraggio delle risorse, Resource Monitor

Resource Monitor


Monitoraggio delle risorse, Performance

Monitor

Performance Monitor


Configurazione di un task schedulato, Task

Scheduler

Lo strumento Task Scheduler permette di eseguire una sola volta o periodicamente programmi o script.

Il Task Scheduler fa parte degli Administrative Tools.



Scheduler All’interno del Task Scheduler si può notare come siano definiti di default alcuni task del sistema operativo, folder Microsoft. L’esempio in figura mostra un task che viene avviato quando nell’Event Viewer viene loggato l’evento di conflitto indirizzo IP.



Scheduler Esempio di schedulazione di un riavvio del sistema. Per prima cosa creiamo una folder per i nostri task e la chiamiamo «Administrative Tasks».



Scheduler Creiamo il task di riavvio. Il comando Windows che riavvia il sistema operativo è «shutdown /r». Click su «Create Task...». Viene mostrata la finestra di definizione del task con diverse schede.



Scheduler Nella scheda Triggers definiamo l’evento che avvia l’esecuzione del task. Come si vede dall’immagine gli eventi che possono avviare l’esecuzione di un task sono molteplici. «On a schedule» indica l’opzione di schedulazione basata sul tempo. Notare l’opzione «On an event» che abbiamo già visto.



Scheduler

Definiamo che il nostro riavvio deve essere eseguito solo una volta alle 3 del mattino.



Scheduler

Nella scheda «Actions» definiamo una nuova azione che contiene il comando di riavvio. Notare le altre opzioni disponibili.



Scheduler

Nella scheda «Conditions» è possibile definire ulteriori condizioni per l’esecuzione del task.



Scheduler

Nella scheda «Settings» è possibile definire ulteriori impostazioni per l’esecuzione del task.



Scheduler Alla fine della definizione del task viene chiesto di immettere le credenziali dell’utente che eseguirà il task, in questo caso l’utente Administrator



Scheduler

Nella finestra principale viene mostrato il task appena definito.


Firewall di Windows Un firewall è un sofware o una appliance hardware che controlla le connessioni che arrivano da Internet o da una qualunque rete e, in base alle impostazioni, decide se la connessione deve essere accettata o negata.

Un firewall può prevenire attacchi di hacker o di malicious software, ad esempio i worm, che arrivino da Internet o da una qualunque rete.

Un firewall può inoltre evitare che un worm sulla propria macchina contagi altre macchine della rete.


Firewall di Windows Il firewall di Windows prevede tre diversi profili con impostazioni di sicurezza predefiniti. Un profilo viene assegnato ad una scheda di rete la prima volta che la scheda viene collegata.

I tre profili sono:

1. Domain: il profilo Domain viene applicato alla scheda di rete che collega la macchina al dominio di cui fa parte (in cui è in join). Prevede un set di regole definite per una rete affidabile.

2. Private (Home or Work): il profilo Private dovrebbe essere selezionato quando si è sicuri di essere in una rete controllata e che prevede apparati di sicurezza, ad esempio firewall perimetrali. Se viene selezionato questo profilo in sostanza si permette al computer di vedere e di essere visto dagli altri computer nella stessa rete.

3. Public: il profilo Public dovrebbe essere selezionato quando la scheda di rete viene collegata ad una rete della quale non si ha nessuna informazione, una rete rischiosa. In questo caso il set di regole è definito per una rete insicura. Se viene selezionato questo profilo in sostanza non si permette al computer di vedere e di essere visto dagli altri computer nella stessa rete.


Firewall di Windows

E’ possibile accedere alle impostazioni del Firewall di

Windows da:

Control Panel, Windows Firewall

E’ possibile attivare o disattivare il firewall,

modificare le impostazioni di notifica e ripristinare i

valori di default

Administrative Tools, Windows Firewall with

Advanced Security on Local Computer

E’ possibile accedere alle impostazioni avanzate del

Firewall di Windows e definire nuove regole


Firewall di Windows Attivazione/Disattivazione del Firewall di Windows


Firewall di Windows Esempio di creazione di una regola Inbound: creiamo una regola che permetta le connessioni alla porta TCP 80. Le regole Inbound riguardo le connessioni in entrata, le regole Outbound riguardano le connessioni in uscita. Di default le connessioni in entrata sono bloccate mentre le connessioni in uscita sono abilitate.


Firewall di Windows Per creare una regola che permetta le connessioni alla porta TCP 80 selezioniamo «New Rule...» per avviare il Wizard.


Firewall di Windows

Sul tipo di regola selezioniamo «Port».


Firewall di Windows

Selezioniamo la porta TCP 80.


Firewall di Windows

Abilitiamo la connessione.


Firewall di Windows

Selezioniamo i profili a cui applicare la regola.


Firewall di Windows Indichiamo il nome della nostra regola «Enable Web Connections».


Firewall di Windows

La regola è visibile nelle nostre Inbound Rules.


Servizi di Windows

I servizi di Windows sono programmi che vengono eseguiti in background e che sono in ascolto di determinate richieste.

I servizi di Windows sono in ascolto di richieste che giungono tipicamente da:

Attività di base del sistema operativo

Ruoli aggiunti al sistema operativo

Se ad esempio il server è stato configurato con il ruolo di DHCP server allora sarà attivo il servizio «DHCP Server».

I servizi sono del tutto simili ai Daemon del mondo Unix/Linux.


Servizi di Windows I servizi vengono gestisti da Administrative Tools, Services. Il programma aperto mostra l’elenco dei servizi disponibili sul server.


Servizi di Windows Dal menu proprietà è possibile configurare le impostazioni del servizio. Prendiamo ad esempio il servizio «Server» che permette la condivisione di file e stampanti.

Nella scheda «General» vengono mostrate la descrizione del servizio e il comando di avvio. E’ possibile configurare il tipo di avvio e intervenire manualmente sull’avvio e arresto del servizio. L’opzione «Automatic» o «Automatic (Delayed Start)» viene usata quando si vuole che il servizio parta all’avvio del sistema operativo.


Servizi di Windows Ogni servizio viene eseguito da un account.

Dalla scheda «Log On» è possibile configurare con quale account avviare il servizio.

Gli account Windows predefiniti per l’avvio dei servizi sono:

«Local System account»: dispone dell'accesso completo al sistema, compreso il servizio directory nei controller di dominio. Se un servizio utilizza l'account di sistema locale per accedere a un controller di dominio, il servizio avrà accesso all'intero dominio.

«Local Service account» (NT AUTHORITY\LocalService): è un account predefinito speciale simile a un account per utenti autenticati. L'account di servizio locale ha lo stesso livello di accesso alle risorse e agli oggetti dei membri del gruppo Users. Questo accesso limitato protegge il sistema in caso di compromissione di singoli processi o servizi. I servizi che utilizzano l'account di servizio locale hanno accesso alle risorse di rete come sessione null senza credenziali.

«Network Service account» (NT AUTHORITY\NetworkService): è un account predefinito speciale simile a un account per utenti autenticati. L'account di servizio di rete ha lo stesso livello di accesso alle risorse e agli oggetti dei membri del gruppo Users. Questo accesso limitato protegge il sistema in caso di compromissione di singoli processi o servizi. I servizi che utilizzano l'account di servizio di rete accedono alle risorse di rete utilizzando le credenziali dell'account del computer.

In generale è meglio usare gli account predefiniti di Windows.

Se è necessario un account diverso è consigliabile crearne uno ad hoc e selezionare l’opzione «Nessuna scadenza password».


Servizi di Windows

Nella scheda «Recovery» del servizio è possibile configurare quale azione intraprendere nel caso in cui il servizio smetta di funzionare.


Servizi di Windows

Infine nella scheda «Dependencies» vengono mostrati i componenti e i servizi dai quali dipende il servizio. Affinché il servizio possa funzionare è necessario che i componenti siano installati e che i servizi siano avviati.


Utenti e Gruppi locali di Windows

Utenti e gruppi locali si trova in Gestione computer, un insieme di strumenti di amministrazione che è possibile utilizzare per la gestione di singoli computer locali o remoti. È possibile utilizzare Utenti e gruppi locali per proteggere e gestire account utente e gruppi archiviati localmente nel computer. È possibile assegnare autorizzazioni e diritti a un account utente locale o a un account di gruppo per un computer specifico e solo per tale computer.

Tramite Utenti e gruppi locali è possibile di limitare la possibilità di utenti e gruppi di eseguire determinate operazioni tramite l'assegnazione di autorizzazioni e diritti. Un diritto autorizza un utente a eseguire determinate operazioni in un computer, quali il backup di file e cartelle o l'arresto di un computer. Un'autorizzazione è una regola associata a un oggetto, in genere un file, una cartella o una stampante, che determina quali utenti possono accedervi e in che modo.


Utenti e Gruppi locali di Windows Account utenti locali predefiniti:

Administrator: dispone del controllo completo del computer e, se necessario, può

assegnare agli utenti i diritti utente e le autorizzazioni per il controllo di accesso.

Questo account deve essere utilizzato solo per le operazioni che richiedono credenziali

amministrative. Si consiglia di impostare una password complessa per questo account.

L'account amministratore è membro del gruppo Administrators del computer. L'account

amministratore non può essere mai eliminato o rimosso dal gruppo Administrators, ma

può essere rinominato o disattivato. Poiché è noto che l'account amministratore esiste

in molte versioni di Windows, la ridenominazione o la disattivazione di questo account

renderà più difficile i tentativi di accesso degli utenti non autorizzati.

Guest: è utilizzato dagli utenti che non dispongono di un account effettivo nel

computer. Può inoltre essere utilizzato dagli utenti il cui account è disattivato, ma non

eliminato. L'account Guest non richiede una password e per impostazione predefinita è

disabilitato. È possibile impostare diritti e autorizzazioni per l'account Guest come per

qualsiasi altro account utente. Per impostazione predefinita, l'account Guest è un

membro del gruppo predefinito Guests, che consente a un utente di accedere a un

computer. I diritti aggiuntivi e le autorizzazioni devono essere concessi al gruppo

Guests da un membro del gruppo Administrators. Per impostazione predefinita

l'account Guest è disabilitato e si consiglia di non abilitarlo.


Utenti e Gruppi locali di Windows Gruppi locali predefiniti (1/3):

Administrators:I membri di questo gruppo dispongono del controllo completo del computer e, se

necessario, possono assegnare agli utenti i diritti utente e le autorizzazioni per il controllo di

accesso. L'account amministratore è un membro predefinito di questo gruppo. Quando un computer

viene aggiunto a un dominio, il gruppo Domain Admins viene aggiunto automaticamente a questo

gruppo. Poiché questo gruppo dispone del controllo completo del computer, è consigliabile

aggiungervi utenti con cautela.

Backup Operators: I membri di questo gruppo possono eseguire il backup e il ripristino di file sul

computer, indipendentemente dalle autorizzazioni assegnate a tali file, in quanto il diritto a

effettuare il backup ha la precedenza su tutte le autorizzazioni per i file. I membri di questo gruppo

non possono modificare le impostazioni di sicurezza.

Certificate Service DCOM Access: I membri di questo gruppo possono connettersi alle Certification

Authorities.

Cryptographic Operators: I membri di questo gruppo sono autorizzati a eseguire operazioni di

crittografia.

Distributed COM Users: I membri di questo gruppo possono avviare, attivare e utilizzare gli oggetti

DCOM in un computer.

Event Log Readers: I membri di questo gruppo possono leggere i log della macchina locale.

Guests: I membri di questo gruppo dispongono di un profilo temporaneo creato all'accesso. Tale

profilo verrà eliminato alla disconnessione del membro. L'account Guest (disattivato per

impostazione predefinita) è anche membro predefinito di questo gruppo.



IIS_IUSRS: Questo gruppo predefinito viene utilizzato da Internet Information Services (IIS).

Network Configuration Operators: I membri di questo gruppo possono apportare modifiche alle

impostazioni TCP/IP nonché rinnovare e rilasciare indirizzi TCP/IP. Questo gruppo non dispone di

membri predefiniti.

Performance Log Users: I membri di questo gruppo possono gestire i contatori delle prestazioni, i

registri e gli avvisi di un computer, sia localmente che da client remoti, anche senza appartenere al

gruppo Administrators.

Performance Monitor Users: I membri di questo gruppo possono controllare i contatori delle

prestazioni di un computer, sia localmente che da client remoti, anche senza appartenere ai gruppi

Administrators o Performance Log Users.

Power Users: Per impostazione predefinita, i membri di questo gruppo non dispongono di diritti

utente o di autorizzazioni maggiori rispetto a un account utente standard. Nelle versioni precedenti

di Windows il gruppo Power Users ha la funzione di assegnare agli utenti specifici diritti e

autorizzazioni di amministratore per eseguire processi di sistema comuni. In questa versione di

Windows gli account utente standard dispongono già dei diritti per eseguire le operazioni di

configurazione più comuni, ad esempio la modifica dei fusi orari. Per le applicazioni legacy che

richiedono gli stessi diritti e le stesse autorizzazioni del gruppo Power Users disponibili nelle

versioni precedenti di Windows, gli amministratori possono applicare un modello di sicurezza che

conceda al gruppo Power Users lo stesso livello di diritti e autorizzazioni delle versioni precedenti.



Print Operators: I membri di questo gruppo possono gestire le stampanti.

Remote Desktop Users: I membri di questo gruppo possono accedere remotamente al computer.

Replicator: Questo gruppo supporta le funzioni di replica. L'unico membro del gruppo Replicator

dovrebbe essere un account utente di dominio utilizzato per accedere ai servizi di replica di un

controller di dominio. Non aggiungere a questo gruppo account utente di utenti effettivi.

Users: I membri di questo gruppo possono eseguire operazioni comuni, ad esempio l'esecuzione di

applicazioni, l'utilizzo di stampanti locali e di rete e il blocco del computer. I membri di questo

gruppo non possono condividere directory o creare stampanti locali. Per impostazione predefinita

appartengono a questo gruppo i membri dei gruppi Domain Users, Authenticated Users e

Interactive. Di conseguenza, qualsiasi account utente creato nel dominio diventa membro di questo

gruppo.


Backup di Windows, premessa (1/2) Con il termine Backup si indica l’attività di copia dei dati in modo da poterli recuperare nel caso in cui

vengano perduti.

In generale i due scopi principali dei Backup sono:

1. Poter recuperare i dati in seguito ad un evento di distruzione

2. Poter recuperare lo stato dei dati in un momento specifico

Esistono diverse strategie di Backup qui ne vengono indicate alcune.

Strategie di Backup:

Backup con software specifico su Nastro: è il sistema tradizionale di Backup. I Device che

gestiscono i Nastri ricevono i dati (Device direttamente collegati, di rete). L’accesso ai dati è di tipo

sequenziale con alte prestazioni nella scrittura e lettura sequenziale ma con basse prestazioni nel

caso di lettura random (ad esempio il recupero di singoli file).

Backup macchina virtuale: in ambienti di virtualizzazione la copia di una intera macchina virtuale

server o desktop viene molto semplificata. La macchina virtuale è un insieme di file e quindi è

sufficiente copiare i file per avere un backup completo (copia dell’intera macchina virtuale). Negli

ambienti di virtualizzazione esistono inoltre meccanismi di Snapshot dello stato della macchina

virtuale in un dato momento. Eseguendo periodicamente degli Snapshot è possibile ripristinare stati

precedenti della macchina virtuale.


Backup di Windows, premessa (2/2) Backup Disk to Disk (D2D): è una opzione che si è affermata di recente. Consiste nel copiare i dati

in dischi presso altri server o appliance hardware progettate per questo scopo. I processi di backup

vengono molto accelerati e altrettanto è il recupero dei dati in caso di perdita. A volte si usano delle

soluzioni miste in cui i dati prima vengono copiati in Backup D2D e poi vengono spostati dai dischi

su Nastri.

Backup di Windows Server 2008 R2: è la funzione di Backup già inclusa con Windows Server 2008

R2.

Include:

l’interfaccia di gestione «Windows Server Backup» in «Administrative Tools»

gli strumenti a linea di comando Wbadmin

i comandi Windows PowerShell (cmdlets)

Backup remoto (servizio): è una opzione che si è affermata di recente nel più ampio spettro del

SaaS (Software as a Service). Il Backup diventa un servizio offerto all’esterno della propria sede e

senza la necessità dell’acquisto e della gestione dell’hardware e del software necessario. Si

pongono problemi di banda per il trasferimento dei dati, di privacy e di confidenzialità.


Backup di Windows «Windows Server Backup» si trova in «Administrative Tools». E’ possibile configurare un Backup con

una certa schedulazione, un Backup da eseguire una sola volta e i Recovery


Backup di Windows Cliccando su «Backup Schedule...» viene avviato un Wizard per la configurazione di un Backup

schedulato.


Backup di Windows Nel secondo passaggio del Wizard si può scegliere il tipo di Backup:

Full server: include tutti i volumi e il «System state». Da questo backup è possibile avviare il «Bare metal

recovery» per ripristinare l’intero stato del sistema. Ad esempio in caso di rottura e sostituzione del disco del

server.

Custom: è possibile scegliere cosa includere nel Backup. Le opzioni disponibili sono «Bare metal recovery»,

«System state», singoli volumi o singole cartelle.


Backup di Windows Nel secondo passaggio abbiamo scelto «Custom», è possibile selezionare cosa includere nel

backup.

Nell’esempio mostrato selezioniamo «Bare metal recovery» e quindi includiamo tutto.


Backup di Windows In questo passaggio del Wizard selezioniamo la schedulazione del Backup. Nell’esempio una volta al

giorno alle 21.


Backup di Windows E’ necessario a questo punto selezionare la destinazione del backup. Le opzioni disponibili sono:

Hard disk

Volume

Shared Folder

Supponiamo di voler conservare il nostro backup su una cartella di rete condivisa


Backup di Windows In questo passaggio del Wizard indichiamo il path per la cartella di rete condivisa.

A questo punto la configurazione è terminata e i successivi due passaggi sono di riassunto e conferma.


Disk Management di Windows, stile di

partizione

59

Lo stile di partizione si riferisce al metodo utilizzato dai sistemi Windows per organizzare le partizioni nel disco. Gli stili di partizione nei sistemi Windows sono 2:

1. MBR (Master Boot Record): i dischi MBR includono una tabella delle partizioni in cui è indicata la posizione delle partizioni nel disco. I dischi MBR supportano fino a 4 partizioni primarie oppure 3 partizioni primarie più una partizione estesa con un numero variabile di unità logiche.

2. GPT (Tabella di partizione GUID, GUID Partition Table): a differenza dei dischi con partizioni MBR, i dati necessari per il funzionamento della piattaforma sono archiviati nelle partizioni e non in settori non partizionati o nascosti. I dischi partizionati GPT presentano inoltre tabelle di partizioni primarie e di backup per una maggiore integrità della struttura dei dati della partizione. I dischi GPT supportano fino a 128 partizioni.

Nei computer con processore x86 e nei computer con processore x64 è necessario che il sistema operativo si trovi in un disco MBR. Gli altri dischi rigidi possono essere sia MBR sia GPT.

Tecnico di Reti Informatiche, modulo 2

Disk Management di Windows, dischi di

base e dischi dinamici

60

Windows Server 2008 R2 supporta due diversi tipi di dischi per partizioni, i dischi di base e i dischi dinamici.

Dischi di base: un disco di base è un disco fisico che include partizioni primarie, partizioni estese o unità logiche. Le partizioni e le unità logiche nei dischi di base sono note come volumi di base. Un disco di base supporta sia lo stile di partizione MBR che GPT con le relative limitazioni sul numero e tipo di partizioni.

Dischi dinamici: i dischi dinamici offrono funzionalità non disponibili nei dischi di base, ad esempio la possibilità di creare volumi che si estendono su più dischi (volumi con spanning o striping) e volumi a tolleranza d'errore (volumi con mirroring e RAID-5). Tutti i volumi presenti nei dischi dinamici sono noti come volumi dinamici. Esistono cinque tipi di volumi dinamici: Semplici

con spanning

con striping

con mirroring

RAID-5


Disk Management di Windows, dischi di

base e dischi dinamici

61

Tipi di dischi dinamici:

Semplici: In questo caso il disco viene usato tutto per creare un volume dinamico. In generale non c’è convenienza ad usare i volumi dinamici su singoli dischi. In questi casi è consigliabile usare dischi di base con volumi di base.

con spanning (RAID-0): vengono usati due o più dischi per creare un volume dinamico grande quanto la somma dei dischi. Nel caso dello spanning si inizia a scrivere sul primo disco e quando questo è pieno si passa al secondo e così via. Non è fault tolerant.

con striping (RAID-0): vengono usati due o più dischi per creare un volume dinamico grande quanto la somma dei dischi. Nel caso dello striping i dati vengono scritti su tutti i dischi contemporaneamente aumentando le prestazioni. Non è fault tolerant.

con mirroring (RAID-1): vengono usati almeno due dischi. In questo caso il contenuto del primo disco viene completamente replicato sull’altro o sugli altri. E’ fault tolerant in quanto la rottura di un disco non causa la perdita dei dati che sono sull’altro o sugli altri dischi.

RAID-5: vengono usati almeno tre dischi. In questo caso uno dei dischi viene usato per scrivere i dati di parità. E’ fault tolerant alla rottura di un disco poiché dai rimanenti è possibile ricostruire il contenuto del disco rotto.


Gestione Windows Server 2008 R2

Documents

Transcript of Gestione Windows Server 2008 R2