DevAdmin Blog

Blog di Ermanno Goletto (Microsoft MVP Directory Services - MCSE - MCSA - MCITP - MCTS)
posts - 1026, comments - 598, trackbacks - 8

My Links

News

Il blog si è trasferito al seguente link:

www.devadmin.it

Avatar

Visualizza il profilo di Ermanno Goletto su LinkedIn

Follow ermannog on Twitter


Il contenuto di questo blog e di ciascun post viene fornito “così come é”, senza garanzie, e non conferisce alcun diritto. Questo blog riporta il mio personale pensiero che non riflette necessariamente il pensiero del mio datore di lavoro.

Logo Creative Commons Deed


Logo SysAdmin.it SysAdmin.it Staff


Logo TechNet Forum TechNet Italia @ForumTechNetIt Follow TechNet Forum on Twitter


Logo MVP

Article Categories

Archives

Post Categories

Blogs

Friends

Knowledge Base

MVP Sites

Resources

Wednesday, January 29, 2014

Il mio blog ha cambiato casa

Il mio blog ha cambiato casa: da oggi lo trovate su www.devadmin.it!

Ho deciso di acquistare il dominio devadmin.it e di migrare i contenuti di questo blog per due motivi.

Il primo che dopo anni che utilizzo la sigla DevAdmin mi ci sono affezionato e ho voluto regalarmi il nome a dominio.

Il secondo è che ultimamente collaboro anche con WindowServer.it e ho ritenuto corretto mantenere un blog non più legato ad una solta Community.

Questo non è l’addio a SysAdmin.it che mi ha dato molte soddisfazioni infatti continuerò a infestare i forum di SysAdmin.it con la mia presenza ;-)

Se volete continuare a seguirmi mi farà molto piacere.

Buon IT a tutti!!

posted @ Wednesday, January 29, 2014 5:31 PM | Feedback (0) | Filed Under [ Links ]

Wednesday, January 22, 2014

Hyper-V shut down lento ed errore 7043

Su un sistema Windows Server 2012 R2 col ruolo Hyper-V mi capitato di rilevare un arresto particolarmente lento (più di 30 minuti).

Analizzando poi l’Event Viewer ho rilevato negli eventi di sistema il seguente errore:

Log Name: System
Source: Service Control Manager
Event ID: 7043
Task Category: None
Level: Error
Keywords: Classic
Description: The Hyper-V Virtual Machine Management service did not shut down properly after receiving a preshutdown control.

L’errore in sintesi significa che il servizio Hyper-V Virtual Machine Management (VMMS) è stato arrestato in modo forzoso allo scadere del timeout. Il servizio VMMS si occupa della della gestione delle VM, ovvero è quello che permette l’interazione della console di Hyper-V con l’hypervisor per la gestione (creazione, arresto, avvio di VM etc.).

La soluzione ufficiale Microsoft per la risoluzione degli eventi 7043 è quella di arrestare manualmente prima il servizio e poi di eseguire lo shutdown (a riguardo si veda Event ID 7043 — Service Stop Operations).

Volendo creare uno script per l’arresto si potrebbe pensare ad un vbs che richiede conferma e poi arresta prima il servizio e quindi avvia lo shutdown:

If msgbox("Confermi l'arresto del sistema?", vbYesNo OR vbQuestion OR vbDefaultButton2, "Arresto del sistema") = vbYes Then
  Set shell = CreateObject("WScript.Shell")
  shell.run("sc stop vmms", 1, true)
  shell.run("shutdown -s -t 0")
  set shell = Nothing
End If

Nel caso l’arresto del sistema debba essere possibile anche ad un utente non amministratore è possibile concedere a tale utente il privilegio per arrestare il servizio tramite una Group Policy di dominio (a riguardo si veda la KB324802 How To Configure Group Policies to Set Security for System Services in Windows Server 2003) o tramite il comando SC SDSET (a riguardo si vedano la KB91439 Best practices and guidance for writers of service discretionary access control lists e il post Set permissions on a specific service (Windows)).

Analizzando più a fondo il caso nel mio caso il problema sembra legato ad una VM che in certe situazioni non gestire correttamente lo Shutdown automatico in quanto le applicazioni/servizi che esegue probabilmente non gestiscono a loro volta correttamente l’evento di shutdown, a riguardo si vedano:

Altre possibili cause potrebbero essere servizi o applicazioni che vengono eseguiti nella parent partition, come ad esempio Antivirus o software di terze parti del produttore hardware.

posted @ Wednesday, January 22, 2014 11:49 AM | Feedback (0) | Filed Under [ Tips Virtualization ]

Tuesday, January 21, 2014

Hyper-V 2012 R2 e dispositivi sconosciuti nelle VM

Ultimamente sto facendo alcuni test per migrare VM i Hyper-V 2012 R2 da Hyper-V di versioni precedenti e anche Virtual PC e Virtual Server.

Ovviamente vale sempre la regola che prima conviene rimuovere gli Integration Services o le Virtual Additions e poi una volta migrata la VM installare gli Integration Services di Hyper-V 2012 R2 (versione 6.2.9600.16384).

Nonostante questo su VM con XP e Windows Server 2003 ho notato che anche dopo l’installazione degli Integration Services rimangono due dispositivi non riconosciti.

image

Per installare correttamente i device è possibile estrarre i file contenuti nell’Integration Services Setup Disk all’interno del file:

  • support\x86\Windows6.2-HyperVIntegrationServices-x86.cab per sistemi a 32 bit
  • support\amd64\Windows6.2-HyperVIntegrationServices-x64.cab per sistemi a 64 bit

Quindi eseguire l’aggiornamento dei driver sui dispositivi.

image

Verranno così installati il Componente di attivazione Hyper-V Microsoft e il Canale di controllo Desktop remoto Hyper-V Microsoft.

image image

I due componenti verranno correttamente resi disponibili nelle periferiche di sistema in aggiunta alle periferiche già inserite durante l’installazione degli Integration Services.

image

Per VM con OS Windows Vista/ WS2008 e superiore si veda anche The VMBus device does not load on a virtual machine that is running on a Windows Server 2008-based computer that has Hyper-V installed.

posted @ Tuesday, January 21, 2014 11:39 AM | Feedback (0) | Filed Under [ Tips Virtualization ]

Friday, January 17, 2014

Rilasciato Windows Azure Hyper-V Recovery Manager service

Ieri Brad Anderson (Corporate Vice President, Windows Server & System Center) ha annunciato la disponibilità di Windows Azure Hyper-V Recovery Manager service.

image

HRM (di cui abbiamo parlata agli IT Camp) permette l’orchestrazione tramite Windows Azure del Disaster Recovery tra due Site gestiti mediante System Center Virtual Machine Manager 2012 R2 o System Center Virtual Machine Manager 2012 SP1.

Di fatto HRM si occupa di monitorare la funzionalità di un Site e nel caso questo non sia disponibile si occupa di orchestrare l’attivazione del Site di DR.

Nonostante la complessità di quello che a tutti gli effetti è un cluster di Site in cui Windows Azure svolge il ruolo di “terzo attore” e gestore la configurazione richiede appena 20 click.

“In one of our reviews six months ago, I asked the team to walk me though – side-by-side – what it was like to setup DR for 500 VMs using Hyper-V Recovery Manager compared to our primary competition. I literally counted the number of mouse clicks as one of the ways to understand which solution was more complex. To my surprise, the team demonstrated they could do this in less 20 clicks of the mouse! By comparison, I would have needed to come back the next day before it could be setup with the competition. More on this later.”

posted @ Friday, January 17, 2014 8:58 AM | Feedback (0) | Filed Under [ Links Virtualization ]

Thursday, January 16, 2014

IT Camp Genova 30 gennaio

Il 30 gennaio a Genova presso l’hotel NH in Via Martin Piaggio, 11 si terrà il prossimo IT Camp su virtualizzazione tramite i prodotti Microsoft (Windows Server 2012 R2 e System Center 2012 R2).

Di seguito il link per registrarsi:
https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032576508&Culture=it-IT&community=0

Il format dell’IT Camp che sarà tenuto da Daniele Scrivano, Mario Serra e Roberto Massa prevede sessioni alternate a laboratori virtuali virtuali da svolgersi sui propri computer, controllate quindi prima che il vostro sistema abbia tutti prerequisiti necessari per l’utilizzo dei Lab tramite il link https://vlabs.holsystems.com/vlabs/RequirementsChecker/.

posted @ Thursday, January 16, 2014 9:38 AM | Feedback (0) | Filed Under [ Links IT ]

Tuesday, December 17, 2013

Scenari di utilizzo di Sysprep

Sysprep è l’utility per la creazione delle immagini del sistema operativo da utilizzare per automatizzare il deploy sia su sistemi fisici che virtuali.

Prima di utilizzare Sysprep per creare un’immagine del sistema da utilizzare per il deploy massivo o per eventuali future reinstallazioni occorre tenere presente le seguenti limitazioni:

  • Utilizzare l’interfaccia a riga di comando, a partire da Windows 8.1 l'interfaccia utente di Sysprep è deprecata e anche se ancora supportata potrebbe essere rimossa nelle future versioni del sistema operativo.
  • Non tutti i ruoli server supportano Sysprep, a riguardo si veda il seguente Sysprep Support for Server Roles. Il supporto può variare a seconda della versione de sistema operativo e per alcuni ruoli possono essere necessarie alcune operazioni (per esempio per quanto riguarda Hyper-V è supportato a partire da WS2008R2 ed occorre eliminare le reti virtuali prima di usare Sysprep)
  • Non eseguire Syprep su sistemi formattati NTFS con file o cartelle criptate, in caso contrario i file o le cartelle diventeranno illeggibili e non sarà possibile recuperarle
  • Eseguire Sysprep prima eseguire di join a dominio, in caso contrario verrà rimosso dal dominio). Inoltre il Sysprep eseguito su computer a dominio con GPO che impone una password robusta a tutti gli utenti non rimuove tale GPO, quindi se anche gli utenti locali non hanno una password che rispetti tale policy non sarà possibile eseguire il logon.
  • Utilizzare sempre il Sysprep contenuto nel sistema e non una versione differente, in Windows Vista/Windows Server 2008 e successivi Sysprep è disponibili nella cartella %windir%\system32\sysprep
  • Come indicato nel seguente Capture an Image for Deployment (Generalize) in Windows 8 con product key retail o volume license è possibile eseguire Sysprep fino ad 8 volte, dopodiché occorre ripartire da una nuova immagine dal momento che sono stati esauriti il numero di Rearm disponibili (in Windows 7 il numero di rearm disponibili è pari a 3).

Scenario 1: Generalizzazione del sistema

  1. Eseguire Sysprep /generalize /shutdown
  2. Al riavvio il sistema rimuove le informazioni univoche, resetta il SID, resetta l’attivazione, elimina i restore points e azzera gli event logs

Scenario 2: Creazione di un’immagine di distribuzione

  1. Eseguire Sysprep /generalize /shutdown /oobe
  2. Catturare l’immagine del sistema
  3. All’avvio il sistema esegue l’ Out-Of-Box Experience

Scenario 3: Creazione di un’immagine di distribuzione per una VM Windows 8

  1. Eseguire Sysprep /generalize /shutdown /oobe /mode:vm
  2. Copiare il VHD/VHDX
  3. All’avvio della VM viene eseguito l’ Out-Of-Box Experience

Scenario 4: Creazione di un’immagine di distribuzione tramite un file di risposte

  1. Eseguire Sysprep /audit /reboot /unattend:Path\Unattend.xml
  2. Al riavvio vengono applicate le impostazioni definite nel file di risposte
  3. Eseguire Sysprep /generalize /shutdown /oobe
  4. Catturare l’immagine del sistema

Scenario 5: Personalizzazione di un’immagine generata con Sysprep

  1. Premere CTRL+MAIUSC+F3 nella prima schermata della Out-Of-Box Experience (Welcome screen)
  2. Viene avviato il desktop dell’amministratore locale
  3. Eseguire le personalizzazioni (per esempio impostare configurazioni e installare driver aggiuntivi, aggiornamenti o applicazioni
  4. Eseguire Sysprep /generalize /shutdown /oobe
  5. Catturare l’immagine del sistema

Per meglio comprendere come è strutturato il processo di avvio di Windows e in quale fase viene utilizzato il file di risposte si veda il seguente schema tratto dal link oobeSystem:

image

Di seguito invece lo schema della modalità Audit tratto dal link auditUser:

image

 

Per ulteriori approfondimenti si vedano:

posted @ Tuesday, December 17, 2013 5:59 PM | Feedback (0) | Filed Under [ Links Tips IT ]

Saturday, December 14, 2013

Gestire le notifiche dei server HP tramite Powershell

HP ha nel corso degli anni sviluppato una serie di software per consentire la diagnostica e la verifica dello stato di salute dell’hardware dei propri server. In particolare per quanto riguarda la serie Proliant momento esistono i seguenti tool:

  • HP System Management Homepage (SMH) ovvero una console web che si installa direttamente sul sistema da monitorare che permette di avere una panoramica sullo stato dell’hardware.
  • HP Insight Management WBEM Providers che consente di ottenere informazioni dall’hardware e renderle disponibili alla SMH, di registrare avvisi di notifica nell’event viewer in caso di problemi. I WBEM providers sono basati sullo standard Distributed Management Task Force’s (DMTF) Web-based Enterprise Management rappresentano sono un’alternativa più semplice all’approccio basato su Simple Network Management Protocol (SNMP) disponibile tramite gli HP Insight Management Agents.
  • HP Smart Storage Administrator una console web per la gestione e la configurazione dello storage e l’HP ProLiant Smart Array SAS/SATA Event Notification Service ovvero un servizio che registra nell’Event Viewer gli eventi relativi allo storage controller.
  • Hp insight diagnostics online edition una console web che permette di eseguire test diagnostici che si integra con SMH.
  • Per l’installazione e l’aggiornamento dei sistemi, dei driver e dei tool sono disponibili HP Intelligent Provisioning (IP), HP Service Pack for ProLiant e HP Smart Update Manager (HP SUM)

SMH consente di supervisionare lo stato del sistema in maniera completa, ma non consente di gestire l’invio di notifiche ad esempio tramite mail nel caso si verifichino problemi hardware.

image

Per gestire notifiche di alert è necessario utilizzare HP Systems Insight Manager (SIM), una console web tramite cui gestire Inventory, Reporting, Heath e update di Firmware e Software dei server dell’infrastruttura.

Per la problematica relativa al mancato riconoscimento del certificato digitale utilizzato da SMH e SIM in IE si veda HP Systems Insight Manager (HP SIM) and System Management Homepage (SMH) - Microsoft Internet Explorer Does Not Link Website Certificate to all IP or DNS Names Associated with the Certificate.

Vi sono però piccole realtà o scenari in cui SIM diventa una soluzione non così pratica perché basterebbe una semplice notifica mail degli eventi di warning e di errore registrati dai WBEM providers o dall’HP ProLiant Smart Array SAS/SATA Event Notification Service.

In questi scenari può tornare utile l’utilizzo di PowerShell per eseguire una query sugli eventi registrati da agent o tool HP e inviarli poi tramite mail. Per un elenco degli eventi registrati si veda ad esempio HP Insight Management WBEM Providers 9.3 for Microsoft Windows Eventlog.

Di seguito riporto uno script personalizzabile che esegue la ricerca degli eventi di errore e di warning contenti la parola HP nel campo Source registrati negli ultimi 60 minuti e li invia per mail:

HPEventNotifier.ps1

# *** Impostazioni ***
$LastMinutes = 60
$Source = "*HP*"
$SmtpServer = "NameOrIPServerSMTP"
$MailFrom = “MailFromAddress
$MailTo = "MailToAddress"
# ********************

# *** Ricerca eventi Error e Warning ***
$Events = Get-EventLog -LogName System -EntryType Error, Warning -Source $Source -After (Get-Date).AddMinutes(-1*$LastMinutes) -ErrorAction SilentlyContinue
$EventsCount = 0
If($Events -ne $null) {$EventsCount = ($Events | Measure).Count}

# *** Invio mail per ogni evento trovato ***
If($EventsCount -gt 0)
{
  ForEach ($event In $Events)
  {
   # *** Impostazione Subject Mail ***
   $MailSubject = $env:COMPUTERNAME
   $MailSubject = $MailSubject + " - " + $event.EntryType
   $MailSubject = $MailSubject + " " + $event.Index
   $MailSubject = $MailSubject + " " + $event.Source

   # *** Impostazione Body Mail ***
   $MailBody = "Time: " + $event.TimeGenerated + "`n`n"
   $MailBody = $MailBody + "Message:`n"
   $MailBody = $MailBody + $event.Message

   # *** Invio Mail ***
   Send-MailMessage -To $MailTo -Subject $MailSubject -From $MailFrom -Body $MailBody -SmtpServer $SmtpServer
  }
}

Per automatizzare la scansione degli eventi e l’invio sarà sufficiente schedulare l’esecuzione di un file cmd che esegue lo script:

HPEventNotifier.cmd

%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe C:\Scripts\HPEventNotifier\HPEventNotifier.ps1

Ovviamente occorrerà schedulare l’esecuzione ripetitiva del file cmd con un intervallo inferiore a 60 minuti, ad esempio 55 minuti, per evitare il rischio di perdere qualche evento accettando l’eventualità di poter ricevere una doppia notifica di qualche evento data l’importanza di ricevere tempestivamente gli alert di problemi correlati all’hardware.

HP ha inoltre reso disponibile una serie di 112 cmdlets tramite l’HP Scripting Tools for Windows PowerShell che permetteno di interfacciarsi con sistema di gestione HP Integrated Lights-Out (iLO).

posted @ Saturday, December 14, 2013 11:42 PM | Feedback (0) | Filed Under [ Code, Snippets & Scripts Tips IT ]

Sunday, December 08, 2013

SQL Server e GPO Attività manutenzione volume

Per velocizzare le attività che comportano l’allocazione di file data (creazione db, restore db, aggiunta file ad un DB, estensione dimensione di un file DB, autogrow) è possibile aggiugere l’account con cui viene eseguito SQL Server Server alla policy locare di sicurezza Perform Volume Maintenance Tasks che abilita l’instant file initialization.

Questa impostazione non influisce sulla allocazione dei file logs, ma apporta benefici in termini di performance durante l’esecuzione dei comandi CREATE DATABASE, ALTER DATABASE, RESTORE e AUTOGROW.

image

Dopo aver impostato la policy occorre riavviare il servizio di SQL Server (la rimozione di tale impostazione comporta invece un riavvio del sistema). Tale policy ha un’implicazione di sicurezza di cui occorre tenere presente, infatti se attivata quando viene eliminato un file questo viene solo deallocato e lo spazio occupato da questo non viene riempito di zeri permettendo quindi di recuperare i dati come indicato in How and Why to Enable Instant File Initialization:

“This permission keeps SQL Server from "zeroing out" new space when you create or expand a data file (it is not applied to log files).  This helps performance for CREATE DATABASE, ALTER DATABASE, RESTORE, and AUTOGROW. It can have a significant positive impact on how long it takes to create or expand a data file, but there is a small security risk in doing so. That is because a file "delete" really just deallocates the space and a new allocation can reuse that space which may still have data in it. When you do not zero out the existing space there is a possibility that someone could read data that you thought had been deleted. It is very common to turn Instant File Initialization on. Many shops consider the increased performance benefit to far outweigh the small security risk, but you must weigh the cost and benefits within your own environment.”

L’impostazione di tale policy è anche consigliata tra le best practices dell’implementazione di SQL Server su VM in Azure disponibile al seguente Performance Considerations for SQL Server in Windows Azure Virtual Machines, in quanto non è impostata di default nelle SQL Server platform image:

“For databases of any significant size, enabling instant file initialization can improve the performance of some operations involving database files, such as creating a database or restoring a database, adding files to a database or extending the size of an existing file, autogrow, and so on. For information, see How and Why to Enable Instant File Initialization.

To take advantage of instant file initialization, you grant the SQL Server (MSSQLSERVER) service account with SE_MANAGE_VOLUME_NAME and add it to the Perform Volume Maintenance Tasks security policy. If you are using a SQL Server platform image for Windows Azure, the default service account (NT Service\MSSQLSERVER) isn’t added to the Perform Volume Maintenance Tasks security policy. In other words, instant file initialization is not enabled in a SQL Server Windows Azure platform image.

After adding the SQL Server service account to the Perform Volume Maintenance Tasks security policy, restart the SQL Server service.”

Sempre  nella white paper Performance Guidance for SQL Server in Windows Azure Virtual Machines vengono resi disponibili i test sulla creazione e il restore di un DB di 100 GB con e senza l’impostazione dell’instant file initialization:

image

Per ulteriori informazioni si veda Database File Initialization.

Per chi desidera approfondire le potenzialità offerte da Azure vi ricordo i prossimi IT Camp su Azure.

posted @ Sunday, December 08, 2013 10:22 AM | Feedback (0) | Filed Under [ Links Tips Database ]

Saturday, December 07, 2013

Il formato VHDX

imageCon Windows Server 2012 è stato introdotto un nuovo formato per i dischi virtuali denominato VHDX che apporta una serie di miglioramenti:

  • Supportano fino a 64 TB (contro i 2 TB dei VHD)
  • Garantiscono una maggior protezione dei dati da fail dovuti a mancanza di corrente
  • Migliorano l’allineamento dei VHD per lavorare su dischi con settori di grandi dimensioni
    • I dischi dinamici e differenziali possono utilizzare block size di dimensioni maggiori
    • E’ stato introdotto un 4-KB logical sector virtual disk che aumenta le performance nelle applicazioni/workloads progettati per settori 4 KB.
  • Consentono il salvataggio di metadati custom che l’utente potrebbe voler memorizzare (versione OS, patch applicate)
  • Consentono il Trim ovvero permette allo storage fisico di recuperare lo spazio non utilizzato

Per la precisione anche i VHD in Windows Server 2012 hanno subito dei miglioramenti come indicato nella Performance Tuning Guidelines for Windows Server 2012, infatti i VHD creati in WS2012 sono ottimizzati per l’allineamento a 4 KB:

“The VHD format was the only virtual hard disk format that was supported by Hyper-V in past releases. In Windows Server 2012, the VHD format has been modified to allow better alignment, which results in significantly better performance on new large sector disks.

Any new VHD that is created on a Windows Server 2012 operating system has the optimal 4 KB alignment. This aligned format is completely compatible with previous Windows Server operating systems. However, the alignment property will be broken for new allocations from parsers that are not 4 KB alignment-aware (such as a VHD parser from a previous version of Windows Server or a non-Microsoft parser).

Any VHD that is moved from a previous release does not automatically get converted to this new improved VHD format.

You can check the alignment property for all the VHDs on the system, and it should be converted to the optimal 4 KB alignment. You create a new VHD with the data from the original VHD by using the Create-from-Source option.

By default, VHDs are exposed with a physical sector size of 512 bytes. This is done to ensure that physical sector size dependent applications are not impacted when the application and VHDs are moved from a previous version of Windows Server to Windows Server 2012.

After you confirm that all VHDs on a host are not impacted by changing the physical sector size to 4 KB, you can set the following registry key to modify all the physical sector sizes of all the VHDs on that host to 4 KB. This helps systems and applications that are 4 KB-aware to issue 4 KB sized I/Os to the VHDs.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vhdmp\Parameters\ Vhd1PhysicalSectorSize4KB = (REG_DWORD)

A non-zero value will change all VHDs to report 4k physical sector size.

By default, disks with the VHDX format are created with the 4 KB physical sector size to optimize their performance profile regular disks and large sector disks.”

In WS2012 è stato introdotto il supporto per i Native 4 K Disks (avevo parlato di questa problematica nel post Windows 2008 R2: Errore 517 durante il backup). Quindi Hyper-V può memorizzare i virtual disk su questi dischi come riportato nella Performance Tuning Guidelines for Windows Server 2012:

“Hyper‑V in Windows Server 2012 makes it possible to store virtual hard disks. This is done by implementing a software RMW algorithm in the virtual storage stack layer that converts 512-byte access and update requests to corresponding 4 KB accesses and updates.

Because VHD file can only expose themselves as 512-byte logical sector size disks, it is very likely that there will be applications that issue 512-byteI/O requests. In these cases, the RMW layer will satisfy these requests and cause performance degradation. This is also true for a disk that is formatted with VHDX that has a logical sector size of 512 bytes.

It is possible to configure a VHDX file to be exposed as a 4 KB logical sector size disk, and this would be an optimal configuration for performance when the disk is hosted on a 4 KB native physical device. Care should be taken to ensure that the guest and the application that is using the virtual disk are backed by the 4 KB logical sector size. The VHDX formatting will work correctly on a 4 KB logical sector size device.”

Di seguito lo schema del formato dei file VHDX:

image

 

Le parti che compongono un VHDX sono strutture che, come detto precedentemente supportano, large allocation e sono 1 MB aligned. Nel dettaglio tali strutture sono:

  • L’Header region che identifica la posizione della altre region (log, BAT e metadata table). E’ composta da due header, ma che non sono mai contemporaneamente attive per aumentare la resilienza ed evitare la corruzione.
  • L’Intent log è un buffer circolare in cui vengono scritte le modifiche alle metastrutture del VHDX prima di essere scritte nella locazione finale. In questo modo nel caso si verifichi un’interruzione di corrente durate la scrittura alla successiva riapertura le modifiche saranno riapplicate dal log permettendo al VHDX di ritornare in uno stato consistente. Il log non mantiene le modifiche del payload blocks, quindi no protegge i dati in essi contenuti
  • La Data region che è composta dalla BAT che contiene i puntatori ai user data blocks e ai sector bitmap block. Nel VHD invece i sector bitmaps sono aggregati nei loro blocks invece di essere posizionati in testa ad ogni payload block.
  • La Metadata region che contiene una tabella di puntatori ai user-defined metadata e ai virtual hard disk file metadata (block size, physical sector size e logical sector size)

I requisiti per l’utilizzo dei VHDX sono:

  • Sistema operativo Windows Server 2012/Windows 8 o superiore
  • Ruolo Hyper‑V
  • Per poter utilizzare la funzionalità di trim occorre:
    • Hardware Trim-capable, ovvero in grado di inviare le unmap notifications che Hyper-V in WS 2012 è in grado di gestire.
    • I VHDX devono essere connessi come virtual SCSI devices  o come directly attached physical disks (detti anche pass-through disks) o come natively attached VHDX-based virtual disks.

Per ulteriori approfondimenti sulla funzionalità di Trim si veda quanto riportato nella Performance Tuning Guidelines for Windows Server 2012:

“Virtual hard disk files exist as files on a storage volume, and they share available space with other files. Because the size of these files tends to be large, the space that they consume can grow quickly. Demand for more physical storage affects the IT hardware budget, so it’s important to optimize the use of physical storage as much as possible.

Currently, when applications delete content within a virtual hard disk, which effectively abandons the content’s storage space, the Windows storage stack in the guest operating system and the Hyper-V host have limitations that prevent this information from being communicated to the virtual hard disk and the physical storage device. This prevents the Hyper-V storage stack from optimizing the space usage by the VHDX-based virtual disk files. It also prevents the underlying storage device from reclaiming the space that was previously occupied by the deleted data.

In Windows Server 2012, Hyper-V supports unmap notifications, which allow VHDX files to be more efficient in representing that data within it. This results in smaller files size, and it allows the underlying physical storage device to reclaim unused space.

Only Hyper-V-specific SCSI, Enlightened IDE and virtual Fibre Channel controllers allow the unmap command from the guest to reach the host virtual storage stack. Hyper-V-specific SCSI is also used for pass-through disks. On the virtual hard disks, only virtual disks formatted as VHDX support unmap commands from the guest.

For these reasons, we recommend that you use VHDX files attached to a SCSI controller when not using regular pass through or virtual Fibre Channel disks.

Conclusioni

Nel caso in cui si migrino le VM su WS2012 da sistemi precedenti è consigliabile convertire i VHD al nuovo formato VHDX come indicato nella Performance Tuning Guidelines for Windows Server 2012:

“When you upgrade to Windows Server 2012, we recommend that you convert all VHD files to the VHDX format due to these benefits. The only scenario where it would make sense to keep the files in the VHD format is when a virtual machine has the potential to be moved to a previous release of the Windows Server operating system that supports Hyper-V.”

E’ possibile convertire i VHD in VHDX tramite la console Hyper-Manager tramite la funzionalità “Edit Disk…” (a riguardo si veda Converting a VHD to a VHDX).

L’unico caso in cui può avere un senso non migrare il formato da VHD a VHDX è quello in cui si prevedere di spostare le VM su versioni precedenti di Hyper-V (come ad esempio WS2008 R2). Per un prova sul campo dei benefici ottenuti nella migrazione da VHD a VHDX grazie al supporto large sector disks e ai 4 KB logical sector si veda Why you want to be using VHDX in Hyper-V whenever possible and why it’s important to know your baselines.

Se desiderate provare le funzionalità di WS2012 R2 vi ricordo che su TechNet Evaluation Center è possibile scaricare la versione di valutazione di Windows Server 2012 R2, mentre il 17-18-19 dicembre a Catania si terranno una serie di IT Camp su WS2012 R2, System Center 2012 R2 e W8.1.

posted @ Saturday, December 07, 2013 8:44 PM | Feedback (0) | Filed Under [ Links IT Virtualization ]

Monday, December 02, 2013

IT Camp WS2012\R2 e System Center 2012 Torino

image Il 29 Novembre al Microsoft Innovation Center di Torino io, Mario Serra, Roberto Massa e Daniele Scrivano abbiamo tenuto l’IT Camp su Windows Server 2012\R2 e System Center 2012 SP1\R2.

Innanzitutto desideravo ringraziare quanti sono intervenuti dedicandoci il loro tempo e i miei compagni di sessione che hanno fatto un ottimo lavoro nel presentare lo stato dell’arte per quanto riguarda la realizzazione e la gestione di infrastrutture virtuali secondo Microsoft.

Come promesso elenco di seguito alcune risorse per approfondire gli argomenti trattati:

Di seguito invece una serie di documenti per approfondire gli argomenti trattati:

Per quanto riguarda le slide chi fosse interessato ad averle in formato PDF mi contatti e provvederò a inviarle per mail.

Vi ricordo anche i futuri appuntamenti ovvero gli IT Camp Catania 17-19 dicembre e gli IT Camp Windows Azure.

In un prossimo post vedrò di darvi alcune indicazioni per mettere in piedi un’infrastruttura di test.

posted @ Monday, December 02, 2013 11:58 AM | Feedback (0) | Filed Under [ Links IT Virtualization ]

Sunday, November 24, 2013

IT Camp Catania 17-19 dicembre

Tra il 17 e il 19 dicembre a Catania si terranno ben 4 eventi di formazione gratuiti con speaker d’eccezione:

Amici siciliani quest’anno non potete proprio lamentarvi Babbo Natale è stato proprio magnanimo con voi Occhiolino.

Correte ad iscrivervi e verificate di avere i prerequisiti necessari sul vostro computer per poter usufruire del labs  come indicato nel link d’iscrizione di ciascun evento.

posted @ Sunday, November 24, 2013 8:28 PM | Feedback (0) |

Saturday, November 23, 2013

I video delle sessioni del SID 2013

imageDa qualche giorno su Channel 9 sono disponibili le sessioni che si sono tenute ai Server Infrastructure Days 2013. Al seguente link http://channel9.msdn.com/Events/Server-Infrastructure-Days/Server-Infrasctructure-Days-2013 trovate l’elenco di tutte le sessioni, tra cui trovate anche una delle mie e di Mario Serra su Active Directory:

Presto però dovrebbero venire pubblicate anche le sessioni mancanti.

Per chi desidera vedere le sessioni del SID 2012 sono disponibili al seguente http://technet.microsoft.com/it-it/video/server-infrastructure-day-2012.aspx.

posted @ Saturday, November 23, 2013 4:41 PM | Feedback (2) | Filed Under [ Links IT ]

IT Camp Windows Azure

imagePer chi vuole chiarirsi le idee su Private Cloud, Public Cloud e in particolare la soluzione Microsoft del Public Cloud ovvero Windows Azure la risposta sono gli IT Camp Windows Azure. Un’ottima occasione di formazione gratuita con la formula sessioni più lab per provare a mettere subito in pratica le funzionalità presentate.

Di seguito le prossime date con i relativi link per l’iscrizione:

Per usufruire del laboratori è necessario portare il proprio PC verificando di avere i prerequisiti necessari come indicato nei link d’iscrizione.

posted @ Saturday, November 23, 2013 12:00 PM | Feedback (0) | Filed Under [ Links IT Virtualization ]

Thursday, November 21, 2013

BGInfo gestione delle custom query WMI

Se avete provato ad usare BGInfo su un sever col ruolo Hyper-V installato e reti virtuali definite avrete notato che vengono visualizzati una serie di IP nulli, il motivo è che la query WMI usata da BGInfo non esclude gli IP di Network Adapter non abilitati all’utilizzo del TPC/IP (come ad esempio le NIC fisiche su cui è connesso un Virtual Switch per gestire una Rete Esterna).

image

Per risolvere il problema è possibile definire un nuovo Field in BGInfo che selezioni solo gli IP di Network Adapter abilitate al TCP/IP con la seguente query WMI sulla classe Win32_NetworkAdapterConfiguration:

SELECT IPAddress FROM Win32_NetworkAdapterConfiguration where IPEnabled = TRUE

a riguardo si veda How to Remove the (none) IP Address Entries in BGInfo Background.

Analogamente è possibile selezionare solo gli indirizzi IP dei server DNS configurati sulle Network Adapter abilitate al TCP/IP:

SELECT DNSServerSearchOrder FROM Win32_NetworkAdapterConfiguration where IPEnabled = TRUE

Di seguito invece la query per determinare i Default Gateway delle Network Adapter abilitate al TCP/IP:

SELECT DefaultIPGateway FROM Win32_NetworkAdapterConfiguration where IPEnabled = TRUE

Per ulteriori informazioni sull’uso di WMI in BGInfo per gestire la visualizzazione delle imposazioni di rete si veda anche Custom WMI to eclude (none) and IPv6.

posted @ Thursday, November 21, 2013 11:21 AM | Feedback (0) | Filed Under [ Links Tips IT ]

Thursday, November 14, 2013

Cloud Conference 2013

imageIl 25 novembre a Milano si svolgerà la Cloud Conference 2013 dedicata a chi sviluppa, pubblica e gestisce applicazioni in ambiente public cloud usando le piattaforme più diffuse: Amazon Web Services, Google Cloud Platform, VMware vCloud Hybrid Service e Microsoft Windows Azure.

La finalità della conference è valutare come organizzare infrastrutture e architettura IT cloud-based o ibride, che sfruttano il cloud e in particolare i servizi di Infrastructure as a Service per creare soluzioni di replica geografica, disaster recovery remoto, backup remoto, alta affidabilità ed elevata scalabilità. Inoltre saranno valutati aspetti di integrazione e federazione delle infrastrutture on-premises con piattaforme e soluzioni Software as a Service come per esempio Microsoft Office 365.

In altre parole un’ottima occasione per Sistemisti, Infrastructure Architect, Developer e Project Manager per approfondire la tematica del cloud e quali sono le attuali offerte sul mercato.

L’evento è organizzato da EventHandler che anche questa volta è riuscito a portare sul palco esperti che lavorano sin dalle prime beta sui prodotti oggetto della conferenza e son autori di libri tecnici di successo, trainer con esperienza internazionale e consulenti di rilievo.

La conferenza di articolerà su 12 sessioni suddivise in due track parallele erogate da più di 10 speaker, i video delle sessioni saranno poi disponibili dal 13 gennaio 20214.

L’agente è disponibile al seguente http://www.cloudconference.it/events/2013/agenda.aspx, mentre per la registrazione è possibile utilizzare il seguente http://www.cloudconference.it/events/2013/register.aspx.

posted @ Thursday, November 14, 2013 8:11 PM | Feedback (0) | Filed Under [ Links IT Web Virtualization ]

Tuesday, November 12, 2013

IT Camp Windows Server 2012\R2 29 Novembre–Torino

imageIl 29 Novembre al Microsoft Innovation Center di Torino io, Mario Serra, Roberto Massa e Daniele Scrivano saremo speaker all’IT Camp su Windows Server 2012\R2 e System Center 2012 SP1\R2.

Sarà un’intera giornata di approfondimento tecnico con possibilità di provare le tecnologie oggetto dell’IT Camp dal vivo tramite laboratori.

L’IT Camp sarà quindi organizzato come un corso MOC e rappresenta un’ottima possibilità di formazione gratuita per chi ancora non si è avvicinato a Windows Server 2012 o vuole approfondire le novità introdotte in Windows Server 2012 R2 o ancora desidera valutare quale sono sono le funzionalità contenute nella suite System Center per quanto riguarda la gestione di una infrastruttura virtuale.

Il link per iscriversi lo trovate al seguente IT Camp Windows Server 2012\R2 TORINO, affrettavi perché i posti disponibili sono limitati.

I partecipanti dell’evento dovranno portare il proprio computer per poter accedere ai per accedere ai laboratori, per verificare che il PC abbia tutti i requisiti necessari accedere al seguente link: https://vlabs.holsystems.com/vlabs/RequirementsChecker/.

posted @ Tuesday, November 12, 2013 9:45 PM | Feedback (0) | Filed Under [ Links IT Virtualization ]

Saturday, November 02, 2013

System Center 2012 R2 e SQL Server

Tra i requisiti di System Center 2012 R2 c’è SQL Server come riportato nel seguente System Requirements for System Center 2012 R2 e in particolare le versioni Enterprise e Standard a 64 Bit di SQL Server 2012 Sp1 supporta tutti i componenti di System Center 2012 R2.

Di seguito ad esempio l’architettura su cui si basa SCVMM 2012 R2:

image

Per il supporto dei componenti con versioni precedenti di SQL Server ovvero SQL Server 2012 Enterprise o Standard a 64-bit, SQL Server 2008 R2 SP2/SP1 Standard o Datacenter si veda la matrice di compatibilità disponibile al seguente SQL Server che riporto di seguito:

image

Come riportato nel System Center 2012 R2 Licensing Datasheet se SQL Server viene utilizzato esclusivamente in combinazione con System Center non sono necessarie licenze o CAL di SQL Server:

System Center 2012 R2 is licensed by:

  • License required only for endpoints being managed. No additional licenses are needed for management servers or SQL Server technology.
  • Consistent licensing model across editions. Processor-based license, covering up to two processors for server management. User- or OSE- based license for client management.

imageSempre nel System Center 2012 R2 Licensing Datasheet viene indicato che System Center 2012 R2 sia nella versione Datacenter che Standard garantisce i diritti di utilizzare il software di gestione e il supporto al SQL Server Runtime (SQL Server Standard Edition).

Questo significa che System Center 2012 R2 (come accadeva anche per System Center 2012, a riguardo si veda System Center 2012 licensing FAQ) permette di utilizzare una versione di SQL Server in versione Standard che ovviamente potrà essere utilizzata solo ed esclusivamente al fine di fornire il database delle configurazioni ai componenti della suite System Center.

Ovviamente se nell’infrastruttura si ha già SQL Server in una delle versioni compatibili con i componenti di System Center che di desidera utilizzare è possibili e utilizzare questa installazione preesistente.

Se invece nell’infrastruttura non è disponibile SQL Server o non è disponibile una versione di SQL Server compatibile con i componenti di System Center che di desidera utilizzare sarà possibile utilizzare il runtime di SQL Server che è incluso in tutti i componenti della suite di System Center.

Di seguito quanto riportato nel libro Microsoft System Center 2012 UNLEASHED:

“Microsoft has simplified the SQL Server licensing requirements for System Center, now allowing an organization to run the included SQL Server 2008 Standard Edition server without having to purchase SQL Server or any SQL client licenses. The version of SQL Server that comes with System Center 2012 is the same SQL Server Standard Edition that can be installed on any system, just from a licensing perspective, no separate licenses are required for SQL Server.”

“The SQL license that is included in the Configuration Manager Server 2012 with SQL Server Technology is a SQL Server 2008 Standard Edition license.”

Per quanto riguarda i dettagli tecnici di come si utilizza la licenza di SQL Server contenuta in  System Center 2012 la risposta si trova nel tread SQL Server 2012 License with System Center 2012 dei forum di Technet a cui ha risposto Ronni Pedersen | Microsoft MVP - ConfigMgr:

Q: If the SQL media requires a license to install, how does one go about installing SQL Server 2012 for SCCM 2012?

A: The license key is embedded in the ISO which you download from the Volume Licensing center.

Ovvero acquistando System Center 2012 R2 viene fornita, tramite il Volume Licensing Service Center, la possibilità di scaricare un’ISO di SQL Server con una Product Key embedded (un grazie a Silvio Di Benedetto aka S.Net | Microsoft MVP - System Center Cloud and Datacenter Management per avermi confermato questa informazione).

Appurato che SQL Server occorre, ma che se non presente nell’infrastruttura è possibile procurarselo tramite il Volume Licensing Service Center, rimane da smarcare la questione di come sia meglio strutturare l’infrastruttura di management.

Considerazioni circa il Domain Controller

Sicuramente vale sempre la regola di non installare su un Domain Controller i componenti di management e SQL Server.

Considerazioni circa SQL Server

In piccole infrastrutture è possibile installare SQL Server e i componenti della suite di System Center sullo stesso sistema, ma nell’ottica di di suddividere i carichi se possibile è meglio installare i componenti di System Center su di un sistema e SQL Server su un sistema diverso. In questo modo sarà anche più semplice gestire l’alta affidabilità dell’infrastruttura di management nel caso la si volesse implementare.

Per quanto riguarda la questione “quante instanze di SQL Server utilizzare” ho trovato particolarmente utile il seguente post SQL Instances and System Center 2012 (#SYSCTR #SQL #SCOM #SCCM #SCSM) che non è altro che una raccolta di varie considerazioni di vari MVP in ambito SQL Server e System Center in cui vengono date le motivazioni per cui non è conveniente utilizzare più istanze dedicate ai vari componenti di System Center, ma in ogni caso come descritto nell’articolo Planning SQL Server for System Center 2012 di Daniele Grandini | Microsoft MVP - System Center Cloud and Datacenter Management non è possibile avere un unica istanza di SQL Server per tutta la suite System Center:

“Returning to our original question, the answer is: even if on a performance and scalability point of view we have a configuration that can be supported by single SQL system we cannot have a single SQL Server instance, at a bare minimum we need:

1 SQL Server 2012 SP1 Engine for OM, SM, CM, Orc, AC and VMM

1 SQL Server 2012 SP1 SSRS for OM

1 SQL Server 2012 SP1 SSRS for SM

1 SQL Server 2012 SP1 SSRS for DPM

1 SQL Server 2012 SP1 SSRS for CM”

Quindi per quando riguarda infrastrutture di ridotte dimensioni in cui non sia prevista l’implementazione dell’HA sull’infrastruttura di management o che questa sia realizzata virtalizzando in un cluster le VM in cui sono installati i componenti della suite la soluzione più semplice può essere quella del “Divide et Impera”. Ovvero installare ogni componente della suite di System Center su un sistema/VM diversa e installare SQL Server in ogni sistema/VM.

Per altre informazioni sulle best practices circa l’utilizzo e la configurazione di SQL Server con la suite System Center si vedano:

Vi ricordo che su TechNet Evaluation Center è possibile scaricare la versione di valutazione di System Center 2012 R2 e la versione di valutazione di Windows Server 2012 R2

Inoltre sono resi disponibili anche le seguenti risorse per approfondire le novità di System Center 2012 R2:

posted @ Saturday, November 02, 2013 7:08 PM | Feedback (0) | Filed Under [ Links Design Database IT Virtualization ]

Thursday, October 31, 2013

Errore 0x8024D001 in Windows Update su XP SP3

Scenario: Macchina virtuale appena installata con Windows XP SP3 32 bit.

Issue: avviando Windows Update viene restituito l’errore 0x8024D001

image

Analizzando il log di Windows Update (%windir%\WindowsUpdate.log) il problema è dovuto al fatto che il Windows Update Agent non è l’ultimo disponibile (versione 7.6.7600.256) e non viene aggiornato automaticamente.

Required Version for binary C:\WINDOWS\system32\cdm.dll is: 7,6,7600,256
Binary: C:\WINDOWS\system32\cdm.dll: Target version: 7.4.7600.226 Required: 7.6.7600.256
Required Version for binary C:\WINDOWS\system32\wuapi.dll is: 7,6,7600,256
Binary: C:\WINDOWS\system32\wuapi.dll: Target version: 7.4.7600.226 Required: 7.6.7600.256
Required Version for binary C:\WINDOWS\system32\wuauclt.exe is: 7,6,7600,256
Binary: C:\WINDOWS\system32\wuauclt.exe: Target version: 7.4.7600.226 Required: 7.6.7600.256
Required Version for binary C:\WINDOWS\system32\wuaucpl.cpl is: 7,6,7600,256
Binary: C:\WINDOWS\system32\wuaucpl.cpl: Target version: 7.4.7600.226 Required: 7.6.7600.256
Required Version for binary C:\WINDOWS\system32\wuaueng.dll is: 7,6,7600,256
Binary: C:\WINDOWS\system32\wuaueng.dll: Target version: 7.4.7600.226 Required: 7.6.7600.256
Required Version for binary C:\WINDOWS\system32\wucltui.dll is: 7,6,7600,256
Binary: C:\WINDOWS\system32\wucltui.dll: Target version: 7.4.7600.226 Required: 7.6.7600.256
Required Version for binary C:\WINDOWS\system32\wups.dll is: 7,6,7600,256
Binary: C:\WINDOWS\system32\wups.dll: Target version: 7.4.7600.226 Required: 7.6.7600.256
Required Version for binary C:\WINDOWS\system32\wups2.dll is: 7,6,7600,256
Binary: C:\WINDOWS\system32\wups2.dll: Target version: 7.4.7600.226 Required: 7.6.7600.256
Section name syntax Only @<file-name> is supported
CheckIfClientUpdateNeeded failed: error 0x8024d001

Per risolvere il problema dopo diversi tentativi ho utilizzato la seguente procedura:

Passo 1: Verificare che gli aggiornamenti automatici siano attivati da Pannello di Controllo.

Passo 2: Assicurarsi che il sistema acceda ad Internet non tramite un proxy (ho verificato che a volte tramite un proxy il Windows Update Agent non riesce ad auto aggiornarsi)

Passo 3: Installare il Windows Update Agent versione 7.4.7600.226 disponibile tramite la KB 946928 (come riportato nella KB non è disponibile il setup dell’ultima versione del Windows Update Agent ovvero la 7.6.7600.256, ma questa è disponibile solo tramite Windows Update).

Passo 4: Registrare la wups2.dll tramite la Microsoft Fix it 50597 disponibile nella KB 943144 (Metodo 2).

Passo 5: Riavviare il computer.

Passo 6: Installare Internet Explorer 8 disponibile al seguente Download Internet Explorer 8.

Passo 7: Eseguire la Microsoft Fix it 50777 disponibile nella KB 2497281.

Passo 8: Eseguire il clear della cache di Windows Update tramite i seguenti comandi:

net stop wuauserv
net stop bits
rmdir /S /Q %windir%\softwaredistribution
net start wuauserv
net start bits
wuauclt /detectnow

Passo 8: Verificare che il Windows Update Agent venga aggiornato alla versione 7.6.7600.256 tramite il log di Windows Update (%windir%\WindowsUpdate.log):

1048 aa4 Service *************
1048 aa4 Service ** START ** Service: Service startup
1048 aa4 Service *********
1048 aa4 Misc Registering binary: C:\WINDOWS\system32\regsvr32.exe /s "C:\WINDOWS\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.6.7600.256\wups.dll"
1048 aa4 Misc Registering binary: C:\WINDOWS\system32\regsvr32.exe /s "C:\WINDOWS\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.6.7600.256\wups2.dll"
1048 aa4 Agent * WU client version 7.6.7600.256
1048 aa4 Agent * Base directory: C:\WINDOWS\SoftwareDistribution
1048 aa4 Agent * Access type: No proxy
1048 aa4 Agent * Network state: Connected

Una volta aggiornato il Windows Update Agent è possibile aggiornare il sistema tramite Windows Update o tramite la nuova console Microsoft Update anche utilizzando un eventuale proxy.

posted @ Thursday, October 31, 2013 5:51 PM | Feedback (0) | Filed Under [ Links Tips IT ]

Sunday, October 20, 2013

PowerShell 4: Desired State Configuration

Con la versione 4.0 di PowerShell, introdotta con Ws2012 R2 e W8.1 e disponibile come download per WS2008R2/W7 e WS2012/W8 tramite il Windows Management Framework 4.0 (WMF), è stata resa disponibile la funzionalità Windows PowerShell Desired State Configuration (DSC).

DCS premette di verificare la corretta configurazione dei componenti di un sistema locale o remoto, di implementare il continuous deployment e di evitare il configuration drift in modo dichiarativo, autonomo e idempotente.

imageTramite DCS è infatti possibile realizzare degli “script” dichiarativi (DSC Configuration) nei quali è possibile specificare i componenti (DSC Resource) che devono essere presenti o a assenti su di un computer locale o remoto (DSC Node), inoltre è possibile specificare come i componenti debbano essere configurati.

Tramite le DCS Resources è possibile configurare un gran numero di funzionalità e risorse del sistema tra cui:

  • Estrazione di file .zip in path specifici
  • Gestione delle variabili d’ambiente del sistema
  • Gestione file e directory
  • Gestione gruppi e utenti locali
  • Log di messaggi di configurazione
  • Installazione/gestione package (Windows Installer e setup.exe)
  • Configurazione di processi e gestione di servizi
  • Gestione chiavi di registry e valori
  • Aggiunta/rimozione ruoli e funzionalità
  • Esecuzione PS script block
  • Definizione di DSC Resource custom (file MOF, Script Module .psm1, Module manifest .psm1)

Per i dettagli sull’implementazione dei DSC script block si veda Get Started with Windows PowerShell Desired State Configuration e Windows PowerShell Desired State Configuration Data, mentre per ulteriori informazioni sulla configurazione delle DSC Resources si veda Windows PowerShell Desired State Configuration Resources.

L’esecuzione dello script genera un file MOF (Managed Object Format) cui nome è pari al nome del nodo in una subdirectory con nome pari allo script nella directory corrente (nel caso vi siano nello script più nodi verranno creati più file MOF).

E’ possibile specificare la directory su cui redirigere la creazione dei file MOF tramite specificando il parametro –OutputPath.

image

Tramite il CmdLet Start-DscConfiguration è possibile applicare le configurazioni contenute nel file MOF al server o ai server locali o remoti, questo tipo di distribuzione dei file MOF viene definito Push Model. Utilizzando questo modello per lo Staging i DCS Data (file MOF) saranno inviati al sistema da configurare che dovrà disporre anche degli eventuali custom providers utilizzati che dovranno essere memorizzati nella directory %SYSTEMROOT%\System32\WindowsPowerShell\v1.0\Modules\PSDesiredStateConfiguration\PSProviders.

image

DCS mette a disposizione una serie di CmdLet per il test e la verifica delle configurazioni:

$session = New-CimSession –ComputerName "Server01" –Credential Domain\UserName

# Rilevazione configurazione corrente
Get-DscConfiguration -CimSession $session

# Restore di una configurazione precedente
Restore-DscConfiguration -CimSession $session

# Confronto della configurazione attuale con la configurazione desiderata (il CmdLet ritorna True le due configurazioni coincidono)
Test-DscConfiguration -CimSession $session

Per ulteriori informazioni sul CmdLets di DSC si veda Windows PowerShell Desired State Configuration Cmdlets.

E’ possibile testare la funzionalità DSC basata sul Push Model tramite il virtual lab Desired State Configuration with Window Server 2012 R2 disponibile al seguente Explore Virtual Labs!.

E’ possibile in alternativa gestire la distribuzione dei file MOF con un modello di tipo Pull configurando un Pull server ovvero un server web basato su IIS con un’interfaccia OData (Open Data Protocol), questo tipo di approccio è più indicato nel caso sia necessario gestire tramite DSC più server, i dettagli del DCS Pull Model Protocol sono pubblici in conformità all’iniziativa Microsoft Open Specifications e disponibili al seguente [MS-DSCPM]: Desired State Configuration Pull Model Protocol.

Per installare un Pull Server è necessario aggiungere la feature Windows PowerShell Desired State Configuration Service tramite Server Manager o tramite il comando Add-WindowsFeature Dsc-Service. (la feature aggiungerà le necessarie dipendenze quali IIS, i moduli necessari e il Management OData Extension)

Il sistema da gestire contatterà il Pull server tramite un URI e un ID per ottenere la sua configurazione e verificare se tutti i custom provider sono disponibili, in caso contrario li scaricherà. E’ possibile distribuire ai server remoti la configurazione per utilizzare un DSC Pull Server utilizzando lo stesso DSC tramite uno script PS di configurazione DSC di questo tipo:

Configuration SetPullMode

{

  Node Server01

  {

      # Set the DSC engine (LCM) to Pull mode
      DesiredStateConfigurationSettings LCM

     {

        ConfigurationID = "e528dee8-6f0b-4885-98a1-1ee4d8e86d82"

        ConfigurationMode = "Pull"

        DownloadManagerName = "WebDownloadManager"

        DownloadManagerCustomData = @{ServerUrl = "http://<PullServer>:8080/PSDSCPullServer/PSDSCPullServer.svc" }

        PullActionRefreshFrequencyInSeconds = 60

     }

  }

}

SetPullMode

Set-DSCLocalConfigurationManager -ComputerName Server01 -Path .\SetPullMode –Verbose

Per alcune guide step by step sull’implementazione di un DSC Pull Server si vedano i seguenti:

Per ulteriori informazioni si vedano anche i seguenti:

Io e Mario Serra parleremo di DSC nella sessione Windows Server 2012 R2: Manage Your Server with PowerShell che terremo alla Server Infrastructure Days Online il 24 ottobre.

Se intendete provare testare DSC in un vostro lab vi ricordo che nel TechNet Evaluation Center sono disponibili la versione di valutazione a 180 giorni di Windows Server 2012 R2 e la versione a 90 giorni di Windows 8.1 Enterprise.

posted @ Sunday, October 20, 2013 6:48 PM | Feedback (2) | Filed Under [ Links Code, Snippets & Scripts Tips IT ]

Monday, October 14, 2013

Windows Server 2012: Errore 8024401c durante Windows Update

In Windows Server 2012 e Windows 8 può verificarsi l’errore 8024401c durante l’esecuzione di Windows Update.

image

Come indicato nel post Windows Update Clients Unable to Receive Updates with Error 8024402C il primo passo per risolvere questo problema è analizzare il log di Windows Update aprendo in Notepad il file %systemroot%\WindowsUpdate.Log.

Nello scenario in cui ho rilevato tale errore il server con Windows Server 2012 è in una rete che utilizza un proxy TMG per accedere a Internet, ma nostante l’utente da cui si esegue Windows Update acceda tramite browser ad Internet senza problema sui protocolli Http e Https viene riportato l’errore 8024401c.

Analizzando il log il problema risulta legato alla connessione col proxy e in particolare all’autenticazione col proxy:

image

A nulla serve anche aver impostato tramite il comando NetSh il proxy per WinHTTP come indicato in Configurazione delle impostazioni proxy per WinHTTP.

Il problema come spiegato nella KB 2778122 Using authenticated proxy servers together with Windows 8 vi possono essere problemi di connessione a Internet in W8/WS2012 se il proxy richiede autenticazione nell’accesso a Windows Store, con App che devono accedere a Internet, con le Live Tile che mostrano contenuti da Internet e Windows Update che può restituire il codice di errore 8024401C.

Al momento la soluzione è consentire l’accesso non autenticato ai seguenti URL:

  • login.live.com
  • account.live.com
  • clientconfig.passport.net
  • wustat.windows.com
  • *.windowsupdate.com
  • *.wns.windows.com
  • *.hotmail.com
  • *.outlook.com
  • *.microsoft.com
  • *.msftncsi.com/ncsi.txt

La problematica, come indicato nella KB 2778122, dovrebbe comunque venire risolta in W8.1 e WS2012 R2.

posted @ Monday, October 14, 2013 3:18 PM | Feedback (0) | Filed Under [ Links Tips IT ]

Sunday, October 13, 2013

Server Infrastructure Days Online

imageIl 24 e 25 Ottobre 2013 si terrà la Server Infrastructure Days Online la prima conferenza Live gratuita organizzata dalla community WindowServer.it in collaborazione con Microsoft Italia, dedicata alle ultime tecnologie server proposte da Microsoft.

Le sessioni saranno dedicate alle ultime novità introdotte con la Wave "Blue" che comprende i seguenti prodotti Windows Server 2012 R2, Windows 8.1, System Center 2012 R2, SQL Server 2014, Windows Azure e Windows Intune.

Io sarà presente in coppia con Mario Serra con una sessione su PowerShell in cui approfondiremo quali sono state le evoluzioni di questo strumento, come utilizzarlo per la gestione e il monitoraggio dell’infrastruttura e quali sono le novità introdotte con la versione 4.0.

Potete iscrivervi tramite il seguente link Iscriviti alla Server Infrastructure Days Online, l'evento sarà trasmesso tramite la piattaforma Microsoft Lync e sarà possibile interagire con gli speaker in modalità Live. Per chi non dispone di un account Lync, o del Lync Attendee, sarà possibile accedere tramite Lync Web Attendee.

Allora vi aspettiamo Online!!

posted @ Sunday, October 13, 2013 8:57 PM | Feedback (0) | Filed Under [ Links IT ]

Thursday, October 10, 2013

Monitoraggio degli accessi tramite PowerShell

Come ho illustrato nel post Hardening di un server Remote Desktop PowerShell può tornare davvero utile come strumento per monitorare gli accessi ad un server particolarmente importante sotto il profilo della sicurezza.

Di seguito un semplice script PowerShell che può essere schedulato ad esempio ogni 30 minuti per analizzare l’EventViewer e verificare se vi sono stati accessi con l’utente Administrator o se vi sono stati tentativi di accesso falliti.

Lo script genera uno report che viene inviato tramite mail e permette le seguenti impostazioni:

  • $LastMinutes = Numero di minuti precedenti all’ora corrente da cui analizzare gli eventi
  • $FailedAccessThreshold = Numero di eventi di accesso fallito oltre cui inviare la mail di notifica
  • $AdminAccessThreshold = Numero di eventi di accesso con utente Administrator oltre cui inviare la mail di notifica
  • $SmtpServer = Sever SMTP a cui connettersi per inviare la mail
  • $MailFrom = Indirizzo mail da cui inviare il report
  • $MailTo = Indirizzo mail da cui inviare il report

# *** Impostazioni ***
$LastMinutes = 30
$FailedAccessThreshold = 15
$AdminAccessThreshold = 1
$SmtpServer = "Nome o IP Server SMTP"
$MailFrom = “MailFromAddress
$MailTo = "MailToAddress"
# ********************

#Ricerca tentativi di accesso con credenziali errate
$FailedAccessEvents = Get-EventLog -LogName Security -InstanceId 4625 -EntryType FailureAudit -After (Get-Date).AddMinutes(-1*$LastMinutes) -ErrorAction SilentlyContinue
$FailedAccessEventsCount = 0
If($FailedAccessEvents -ne $null) {$FailedAccessEventsCount = ($FailedAccessEvents | Measure).Count}

#Ricerca accessi con utente Administrator
$AdminAccessEvents = Get-EventLog -LogName Security -InstanceId 4624 -EntryType SuccessAudit -After (Get-Date).AddMinutes(-1*$LastMinutes) -ErrorAction SilentlyContinue
If($AdminAccessEvents -ne $null) {$AdminAccessEvents = $AdminAccessEvents | Where {$_.Message.Contains("Administrator") -And $_.Message.Contains("winlogon.exe")}}
$AdminAccessEventsCount = 0
If($AdminAccessEvents -ne $null) {$AdminAccessEventsCount = ($AdminAccessEvents | Measure).Count}

If($FailedAccessEventsCount -ge $FailedAccessThreshold -Or $AdminAccessEventsCount -ge $AdminAccessThreshold)
{
  # Invio Mail
  $MailSubject = "Allarme: $AdminAccessEventsCount accessi amministrativi e $FailedAccessEventsCount accessi falliti negli ultimi " + $LastMinutes + " minuti"
  If ($AdminAccessEventsCount -ne 0)
  {
    $MailBody = "Accessi con account Administrator:`n"
    ForEach ($event In $AdminAccessEvents) {
     $MailBody = $MailBody + $event.TimeGenerated + "`t da IP: " + $event.ReplacementStrings[18] + "`n"
    }
  }

  If($FailedAccessEventsCount -ne 0)
  {
    $MailBody = $MailBody + "`n"
    $MailBody = $MailBody + "Tentativi di accesso con credenziali errate:`n"
    ForEach ($event In $FailedAccessEvents) {
      $MailBody = $MailBody + $event.TimeGenerated + "`t da IP: " + $event.ReplacementStrings[19].PadRight(15) + "`t Utente: "  + $event.ReplacementStrings[5] + "`n"
    }
  }

  Send-MailMessage -To $MailTo -Subject $MailSubject -From $MailFrom -Body $MailBody -SmtpServer $SmtpServer
}

Di seguito un esempio del report ricevuto:

image

E’ possibile schedulare lo script tramite un file cmd contente un comando di questo tipo:

%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe C:\Scripts\AnalisiAccessi.ps1

Per evitare che la finestra del prompt del dos venga visualizzata quando l’operazione schedulata viene eseguita mentre si è connessi in console impostare l’esecuzione del file cmd tramite l’utente System.

Lo script è stato testato su un sistema WS2008 R2 Sp1 potrebbe essere necessario ritoccare su altri sistemi il numero degli eventi analizzati (4625 per i tentativi di accesso e 4624 per gli accessi riusciti) oppure l'indice della proprietà ReplacementStrings che rappresenta l’array dei valori specifici per l’evento all’interno del testo fisso del messaggio.

Di seguito alcuni link che possono tornare utili per la compresione dello script:

[Update 01]

Aggiunta del common parameter –ErrorAction SilentlyContinue al CmdLet Get-EventLog per gestire il caso in cui non siano presenti gli eventi 4624 e 4625 senza generare errori.

posted @ Thursday, October 10, 2013 5:50 PM | Feedback (0) | Filed Under [ Links Code, Snippets & Scripts Tips Security IT ]

Tuesday, October 08, 2013

Hardening di un server Remote Desktop

A partire da Marzo 2013 si è verificato un incremento degli di tipo Ransomware, ovvero attacchi che mirano a creare dei disservizi nell’infrastruttura e a richiedere poi un riscatto per permettere di risolvere il problema.

Ultimamente si sta assistendo ad un attacco di questo tipo non solo sfruttando le vulnerabilità dei browser o tramite allegati in mail, ma anche eseguendo attacchi attivi tramite DUBrute su servizi Remote Desktop Protocol (RDP).

In sostanza vengono eseguiti attacchi a dizionario verso account utente comuni come "admin", "Administrator", "backup", “Support”, “Test”, "Console", "Guest", "Sales", "user" e vari a altri. Una volta ottenuto l’accesso l’attaccante è in grado di eseguire  operazioni sul server RDP e sulla rete in base ai diritti dell’account che è riuscito a violare e tenta normalmente di bloccare l'accesso agli utenti, cancellare i backup e crittografare  i file a cui riesce ad accedere.

image Ovviamente gli antivirus non possono fermare attacco di questo tipo che però può trasformarsi in problema serio per l’azienda che lo subisce. Ultimamente sui forum in rete pare siano diverse le aziende italiane che hanno subito questo tipo di attacco ritrovandosi file e backup in rete criptati e ricevendo una richiesta di riscatto per ottenere la chiave di decriptazione.

Purtroppo in certi casi sono state utilizzare chiavi di cifratura a 1024 che rendono inutile qualunque tool che esegue tentativi a forza bruta per recuperare la chiave in quanto sarebbe necessario un tempo decisamente lungo utilizzando un normale computer.

Per proteggersi da questo tipo di attacco è consigliabile gestire la sicurezza a più livelli come da best practices. Di seguito elencherò una serie di misure che è possibile attuare per eseguire l’hardening dell’accesso al server RDP.

Si tenga presente che condurre un attacco attivo “costa” all’attaccante in termini di tempo, quindi più misure mettiamo in atto compatibilmente con un aumento

Hardening della pubblicazione del servizio RDP lato Firewall

Se possibile conviene pubblicare il server RDP tramite un server RDP Gateway per esporre il servizio RDP tramite HTTPS (TCP 443) anziché la porta TCP 3389 che viene provata dai tool di attacco.

In alternativa è possibile non pubblicare il server RDP tramite la porta TCP 3389 ma tramite una porta diversa nel range delle porte disponibili 41952 - 65535 non utilizzate da altri servizi. In questo modo all’attaccante occorrerà prima eseguire una scansione delle porte TCP esposte per identificare quella che espone il servizio TCP, questa operazione richiede tempo e inoltre molti firewall hanno funzionalità IDS che identificano e bloccano i tentativi di scansione delle porte TCP.

Se il servizio RDP non viene utilizzato 24 ore al giorno configurare le regole di pubblicazione per disabilitare l’accesso RDP nelle fascie orarie in cui il servizio non viene utilizzato. Da verifiche pare che i tentativi di attacco si concentrino prevalentemente nei fine settimana e durante le ore notturne.

Hardening del server RDP

Installare gli aggiornamenti di sicurezza necessari per il sistema in uso pubblicati sul Microsoft Security Bulletins, in particolare controllare che sia installato il Bollettino Microsoft sulla sicurezza MS12-036 di martedì 10 luglio 2012 che risolve una vulnerabilità relativa all’RDP in WS2003,WS2008 e WS2008 R2.

Configurare il protocollo RDP in modo da utilizzare l’autenticazione a livello di rete (NLA), questo oltre a dare il vantaggio di evitare attacchi Man in the Middle e Denial of Service inibisce gli attacchi a forza bruta di tool di attacco non che non supportano l’NLA. Se il server RDP viene acceduto da client XP su questi dovranno essere instalati il Service Pack 3, l’RDP Client 7.0 (KB 969084) e occorrerà abilitare l’uso dell’NLA (KB 951608).

Mettere in sicurezza l’utente Administrator locale impostando una password complessa diversa da quella dell’amministratore di dominio, evitare che tale utente possa navigare ed accedere a risorse di rete senza fornire credenziali.

Se non necessario impedire all’amministratore di dominio di accedere tramite RDP, in questo modo si eviterà di esporre ad attacchi a forza bruta una credenziale importante dal punto di vesta della sicurezza.

Un’altra misura di sicurezza che può essere attuata è il rename dell’account Administrator locale, a riguardo si veda HOW TO: Rename the Administrator and Guest Account in Windows Server 2003.

Hardening della sessione utente

Evitare di pubblicare il desktop agli utenti, utilizzare se possibile la pubblicazione delle applicazioni mediante RemoteApp.

In alternativa se possibile non rendere disponibile il desktop, ma avviare un’applicazione alla creazione della sessione che se chiusa causa la disconnessione.

Nel caso venga pubblicato il desktop configurare il blocco alle funzionalità non pertinenti all’attività svolta dall’utente mediante GPO.

Evitare di lasciare abilitare redirezioni non utilizzate che potrebbero essere sfrattate dall’attaccante come Clipboard, dischi, dispositivi plug & play, stampanti (per quanto riguarda la gestione delle stampanti utilizzare EasyPrint).

Password Utente

Assicurarsi che le password degli utenti RDP siano complesse, è possibile controllare la robustezza della password tramite lo Strumento di controllo delle password: utilizzo di password complesse | Microsoft Security).

Per maggior sicurezza è possibile configurare le GPO di blocco account dopo un certo numero di tentativi a riguardo si veda Account Lockout Policy.

Diritti di accesso utente

Se viene reso disponibile il desktop o se le applicazioni permettono tramite dialog di accedere ai volumi del server limitare al minimo i diritti dell’utente sul server RDP in modo che non possano essere cancellati o modificati file di sistema.

Monitoraggio

Come ultima best practices impostare l’invio di una mail se viene registrato un tentativo di accesso con credenziali errati errate, in WS2008 e successivi è possibile eseguire azioni in conseguenza ad un evento come ad esempio il 4625: An account failed to log on (a riguardo si veda anche la KB 2157973 The Security event that has Event ID 4625 does not contain the user account name on a computer that is running Windows Vista, Windows Server 2008, Windows 7, or Windows Server 2008 R2.

Un’atra operazione di monitoraggio utile può essere quella di monitorare giornalmnete gli accessi amministrativi al server RDP per controllare non si siano verificati accessi da parte di utenti sconosciuti. E’ possibile eseguire tale verifica in modo semplice tramite PowerShell:

Get-EventLog -LogName Security -InstanceId 4624 -EntryType SuccessAudit -After (Get-Date).Date | Where {$_.Message.Contains("Administrator")} | Select TimeGenerated, Message | FL

A riguardo si veda lo script Security Log Logon/Logoff Event Reporter che pemette la generazione di report degli utenti che si sono autenticati sul sistema.

posted @ Tuesday, October 08, 2013 2:31 PM | Feedback (3) | Filed Under [ Links Tips Security IT ]

Wednesday, September 25, 2013

MikroTik The Dude e PowerShell

The Dude è un’applicazione gratuita per il monitoraggio della rete con funzionalità di scansione dei dispositivi e di rilevamento dei servizi ospitati da questi.

E’ possibile installare l’applicazione anche come servizio e accedervi tramite una console web. Per quanto riguarda il monitoraggio è possibile utilizzare ICMP, SNMP, DNS, TCP (http, ftp, smtp etc..), UDP (netbios, radius) ed utilizzare delle custom function tramite cui è possibile costruire una logica per testare un servizio o avviare ad esempio eseguibili esterni che eseguono il monitoraggio di determinati workload.

I concetti base su cui si basa The Dude sono i Device che rappresentano gli host da monitorare, le Probe che rappresentano i test da eseguire sui Device per monitorare i servizi, le Notification che rappresentano le azioni da eseguire se i test rilevano un cambio di stato nei servizio monitorato. Per ulteriori informazioni si veda il manuale online, per un elenco di Probe per monitore servizi e dispositivi hardware si veda il Probe Thread.

Come detto precedentemente le Probe possono essere customizzate ad esempio avviando un eseguibile che monitora un determinato workload, al seguente thread A short tutorial on extending the Dude using WMI viene mostrato un esempio di sviluppo di una semplice applicazione console VB.NET che tramite WMI monitora un Citrix XenServer.

Un altra possibilità è quella di utilizzare la possibilità offerta da PowerShell a partire dalla versione 2.0 mediante il cmdlet Get-Counter di poter leggere i Performance Counter di un computer locale o remoto e di configurare una Probe che sfrutti questa possibiltà per aggiungere a The Dude la funzionalità di raccogliere dati sui servizi eseguiti su host Windows mediante la lettura di Performance Counters.

Di seguito illustrerò i passi necessari per creare una Probe che legge la dimensione di un Database SQL Server (TestDB) ospitato da un host Windows (VMSQL01.sysadmin.local):

Passo 1: creare un file VMSql01TestDBSize.ps1 che conterrà la query PowerShell per leggere il valore del Perfomance Counter Data File(s) Size (KB) sul computer remoto:

try
{
  Return (Get-counter -Counter "\\vmsql01.sysadmin.local\SQLServer:Databases(TestDB)\Data File(s) Size (KB)" -ErrorAction Stop).CounterSamples | Select -ExpandProperty RawValue
}
catch [Exception] {
  Return "Error"
}

Passo 2: creare il file GetPerformanceConters.cmd che conterrà la chiamata al comando PowerShell (o ai comandi PowerShell se si intende per leggere vari Performance Counter su vari computer):

powershell c:\scripts\VMSql01TestDBSize.ps1 > c:\scripts\VMSql01TestDBSize.log

Come si può notare il valore del Perfomance Counter viene memorizzato in un file di testo (VMSql01TestDBSize.log), questo perché tramite la Probe configurata mediante una Function non si riesce leggere correttamente i dati restituiti da PowerShell. Ho provato in vari modi a gestire la chiamata diretta di PowerShell da una Probe, ma senza risultato come anche riportato nel seguente thread remote powershell script.

Il file GetPerformanceConters.cmd verrà eseguito tramite un’operazione.

image 

Passo 3: Creare il file GetLog.cmd che legge e restituisce il contenuto di un file log il cui nome viene passato come parametro:

@type %1

Il file GetLog.cmd verrà utilizzato per costruire la Proble

image

Il comando impostato per controllare la disponibilità del servizio (Disponibile) verifica che l’esecuzione di GetLog.cmd che restituisce un array di tre elementi non contenga nel secondo (indice 1) il testo “Error”:

if(array_element(execute("GetLog.cmd","VMSql01TestDBSize.log","C:\\Scripts"),1)="Error",0,1)

Il comando impostato per controllare il valore del Performance Counter (Valore) legge il valore del secondo elemento (indice 1) dell’array dividendolo per 1024 per ottenere i Mega Bytes:

array_element(execute("GetLog.cmd","VMSql01TestDBSize.log","C:\\Scripts"),1)/1024

Passo 4: assegnazione della Proble al device:

image

image

posted @ Wednesday, September 25, 2013 12:58 AM | Feedback (0) |

Wednesday, September 18, 2013

Internet Explorer: mancata impostazione della home page

Talvolta può capitare che Internet Explorer (IE) non utilizzi l’home page imposta, di seguito elencherò un paio di scenari in cui questo problema può verificarsi.

Scenario 1: incorrette impostazioni nel registro di sistema

Come descritto nella KB2493729 You cannot change your home page in Internet Explorer 8 or in Internet Explorer 7 può essere dovuto all’errata impostazione di alcune chiavi de registro e può essere risolto come segue:

  1. Eliminare se esiste la chiave HKCU\Software\Policies\Microsoft\Internet Explorer
  2. Verificare che il valore Default_Page_URL nella chiave HKCU\SOFTWARE\Microsoft\Internet Explorer\Main sia impostato all’url dell’home page desiderata

Scenario 2: mancata connessione al sito Microsoft

Quando IE viene avviato per la prima volta deve eseguire la configurazione del browser e per farlo si connette al link http://go.microsoft.com/fwlink/?LinkId=74005 che avvia la prima configurazione ed esegue il redirect su http://runonce.msn.com/runonce3.aspx.

image

Per la precisione l’url potrebbe essere uno dei seguenti:

Se l’utente non ha accesso agli URL su go.microsoft.com e runonce.msn.com che vengono utilizzati per la prima configurazione del browser ogni volta che IE viene avviato tenterà di andare sul link di configurazione e non sull’home page impostata.

Una soluzione può essere quella di consentire all’utente, almeno temporaneamente, l’accesso agli url di configurazione per eseguire le impostazioni iniziali di IE.

L’url della configurazione iniziale del browser viene memorizzato nella chiave di registro HKCU\Software\Microsoft\Internet Explorer\Main\FirstHomePage, a riguardo si veda la KB289902How to Change the Internet Explorer Initial Start Web Page:

“The first time that a user starts Internet Explorer, it opens the welcome page for the version of Internet Explorer that is in use. After that, Internet Explorer opens the preferred home page when a user starts Internet Explorer. The welcome page is located on the Microsoft Web site; a user must have Internet access for Internet Explorer to display the welcome page.”

In alternativa per IE6 e successivi è possibile disabilitare la prima configurazione di IE impostando la GPO Utente Prevent performance of First Run Customize settings in Windows Components\Internet Explorer, a rigurado si veda How to Disable Internet Explorer 8 Welcome Screen Through Group Policies

Per ulteriori informazioni si vedano anche:

posted @ Wednesday, September 18, 2013 2:37 PM | Feedback (0) | Filed Under [ Links Tips IT Web ]

Powered by:
Powered By Subtext Powered By ASP.NET