Windows Server 2012 R2: Roaming User Profiles

Come già anticipato nel precedente articolo Windows Server 2012 R2: Folder Redirection, la sicurezza dei dati aziendali è uno degli aspetti che maggiormente preoccupa gli IT.

Riprendiamo i concetti che stanno alla base delle due soluzioni.

Folder Redirection: Viene utilizzata per memorizzare i dati dell’utente all’interno di cartelle condivise centralizzate su server. La scelta delle cartelle da centralizzare dipende dalle singole esigenze. Generalmente si dà priorità alla cartella “Documenti”. Quindi i dati dell’utente non risiedono sul PC ma su uno o più Server. La conseguenza pratica è quella di poter eseguire un unico backup centralizzato. Questo si traduce in finestre di backup più brevi, minor traffico sulla rete e politiche di sicurezza più semplici.

Roaming User Profiles: A differenza della soluzione precedente, in questo caso, l’intero profilo utente è memorizzato in una cartella condivisa centralizzata. Il profilo, quindi, è sganciato dal singolo PC. Tutte le impostazioni applicate al profilo sono “replicate” su ogni singolo PC a cui l’utente accede, di conseguenza l’utente avrà una migliore esperienza d’utilizzo in quanto ritroverà il proprio Desktop, i propri files, le proprie impostazioni su ogni PC. Rispetto al Folder Redirection, implementare il Roaming User Profiles risulta più complesso in tutte quelle situazioni in cui ci sia coesistenza di differenti Sistemi Operativi Client (Windows 7, Windows 8, Windows 8.1, Windows 10).

Descrizione infrastruttura
L’articolo si basa su un dominio in ambiente Microsoft Windows Server 2012 R2 Datacenter. Durante tutte le fasi sono stati utilizzati i valori di default proposti.

Dominio: testerlab.local

Domain Controller 2012 R2
Nome Computer: DC-01
IPv4: 192.168.1.236
Subnet Mask: 255.255.255.0
Gateway: 192.168.1.1
DNS: 192.168.1.236

Unità Organizzativa: OU-02
Gruppo di Sicurezza: Gruppo_Roaming_Profiles
Utenti: ut03

Quasi sicuramente una infrastruttura esistente sarà formata da client con  sistemi operativi differenti. Affinché tutto funzioni regolarmente è necessario applicare gli aggiornamenti indicati nelle seguenti KB.

KB2887239 – Incompatibility between Windows 8 roaming user profiles and roaming profiles in other versions of Windows
KB2890783 – Incompatibility between Windows 8.1 roaming user profiles and those in earlier versions of Windows
Update for Windows 8.1 for x64-based Systems (KB2887595)
Update for Windows Server 2012 R2 (KB2887595)

Sarà inoltre necessario applicare la seguente chiave al registro di sistema di Client e Server:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ProfSvc\Parameters\UseProfilePathExtensionVersion

– DWORD con valore 1

Creazione Gruppo di Sicurezza
Per gestire gli accessi alla cartella condivisa che conterrà i dati degli utenti utilizziamo un Gruppo di Sicurezza. Questo ci permetterà di utilizzare permessi di accesso più restrittivi. Selezioniamo l’ambito di applicazione della Group Policy, nel nostro caso l’Unità Organizzativa (OU) precedentemente creata OU-02. Dal menu a discesa selezioniamo “Nuovo” > “Gruppo”. Indichiamo il nome e premiamo “OK”.
ro_pr-01

Il gruppo appena aggiunto dovrà essere popolato con gli utenti a cui vorremo dare la possibilità di utilizzare il Roaming Profiles.
ro_pr-03

Nell’esempio il gruppo “Gruppo_Roaming_Profiles” è composto dall’utente “Ut03”. Utente che sarà aggiunto all’interno dell’Unità Organizzativa “OU-02”.ro_pr-02

Creazione cartella condivisa
La fase successiva è quella di creare lo spazio disco per la memorizzazione dei dati utenti. Per questa attività utilizzerò Server Manager che offre una visione di insieme delle risorse disponibili.

Selezionare “Condivisioni” e nell’ambito delle attività “Nuova condivisione”.
ro_pr-05

Scegliere “Condivisione SMB – rapida” e premere “Avanti”. Successivamente selezionare lo storage tra quelli disponibili.
fo_re-08fo_re-09

Nella schermata successiva indicare il nome della condivisione ed una eventuale descrizione. Per evitare che la cartella condivisa sia visibile a tutti aggiungere il carattere $ alla fine del nome. Nell’esempio il nome utilizzato è “PUtenti$“.
Eliminare il flag “Consenti memorizzazione nella cache della condivisione” se non ci sono utenti che lavorano in modalità offline.
ro_pr-06
fo_re-11

Come già detto in precedenza andremo a personalizzare la sicurezza della cartella condivisa appena creata.
Premere il pulsante “Personalizza autorizzazioni”, nella pagina seguente premere il pulsante “Disabilità ereditarietà” e confermare la scelta.
ro_pr-04
ro_pr-05
ro_pr-06

Alla fine, come evidenziato nella seguente screen non avremo nessuna eredità.
ro_pr-07

A questo punto andiamo ad impostare le autorizzazioni corrette eliminando dall’elenco delle entità il gruppo Users ed aggiungendo il Gruppo di Sicurezza precedentemente creato (Gruppo_Roaming_Profiles). Per completare l’attività premere il tasto “Ok”.

Aggiungere ed assegnare al Gruppo di Sicurezza le seguenti autorizzazioni:
– Visualizza contenuto cartella/Lettura dati
– Creazione cartelle/Aggiunta dati

Per visualizzare le autorizzazioni speciali è necessario premere sul link “Mostra autorizzazioni avanzate“.
ro_pr-08ro_pr-09

Dopo aver modificato le autorizzazioni completiamo il wizard per la creazione della cartella condivisa.
ro_pr-10

Rispetto alla funzionalità del Folder Redirection, il Roaming User Profiles presenta alcune differenze di applicazione:
A livello UTENTE, possiamo impostare il puntamento alla cartella condivisa andando ad indicare il percorso UNC nella scheda “Profilo”.
A livello COMPUTER possiamo indicare il percorso attraverso una Group Policy.

L’utilizzo della Group Policy va a sovrascrivere (quindi ha precedenza) rispetto all’eventuale impostazione applicata a livello Active Directory.

Impostazione UTENTE – Active Directory
Nel profilo utente andare nella scheda “Profilo”, aggiungere il percorso UNC e premer “OK”. La variabile d’ambiente %username% permette di aggiungere il nome utente alla fine del percorso UNC.

ro_pr-11

Impostazione COMPUTER – Group Policy
Selezioniamo l’Unità Organizzativa (OU-02) e creiamo un oggetto Criterio di gruppo. Indichiamo il nome e premiamo il pulsante “Ok”. Nel nostro caso, il nome scelto è “Roaming Profiles“.
ro_pr-12

Di default il filtro di sicurezza della Group Policy è impostata su Authenticated Users. Noi vogliamo restringere il campo di applicazione al Gruppo di Sicurezza creato in precedenza. Sarà dunque questa la prima modifica che andremo ad effettuare.
ro_pr-14ro_pr-15

Modifichiamo il criterio precedentemente creato.
In particolare, per la nostra attività, ci concentreremo su:
> Configurazione computer
>> Criteri
>>> Modelli amministrativi
>>>> Sistema
>>>>> Profili Utente
ro_pr-17ro_pr-18

Il Percorso UNC è quello visto in precedenza, ovvero “\\DC-01.testerlab.local\PUtenti$\%username%”. Per forzare l’applicazione della nuova Group Policy possiamo eseguire un GPUpdate /force.

Approfondimenti
GPUpdate
GPResult
Deploy Folder Redirection with Offline Files
Deploy Roaming User Profiles
Percorso UNC?

Windows Server 2012 R2: Folder Redirection

La sicurezza dei dati utente è uno dei fattori che principalmente spinge gli IT ad utilizzare i Folder Redirection ed il Roaming User Profiles. Eseguire un costante e puntuale backup dei dati utente presenti su ogni singola postazione risulta, molto spesso, difficoltosa. Difficoltà, oltre che operativa, anche economica. Negli ultimi anni molti produttori di soluzioni di backup offrono prodotti completi ed integrati per Server e Client. Qualcuno integra la funzionalità di backup all’interno degli Antivirus Endpoint.

Quali sono le sostanziali differenze tra Folder Redirection e Roaming User Profiles?

Folder Redirection: Viene utilizzata per memorizzare i dati dell’utente all’interno di cartelle condivise centralizzate su server. La scelta delle cartelle da centralizzare dipende dalle singole esigenze. Generalmente si dà priorità alla cartella “Documenti”. Quindi i dati dell’utente non risiedono sul PC ma su uno o più Server. La conseguenza pratica è quella di poter eseguire un unico backup centralizzato. Questo si traduce in finestre di backup più brevi, minor traffico sulla rete e politiche di sicurezza più semplici.

Roaming User Profiles: A differenza della soluzione precedente, in questo caso, l’intero profilo utente è memorizzato in una cartella condivisa centralizzata. Il profilo, quindi, è sganciato dal singolo PC. Tutte le impostazioni applicate al profilo sono “replicate” su ogni singolo PC a cui l’utente accede, di conseguenza l’utente avrà una migliore esperienza d’utilizzo in quanto ritroverà il proprio Desktop, i propri files, le proprie impostazioni su ogni PC. Rispetto al Folder Redirection, implementare il Roaming User Profiles risulta più complesso in tutte quelle situazioni in cui ci sia coesistenza di differenti Sistemi Operativi Client (Windows 7, Windows 8, Windows 8.1, Windows 10).

Ovviamente, è possibile utilizzare contemporaneamente i due approcci, ottenendo così il meglio delle due soluzioni.

Descrizione infrastruttura
L’articolo si basa su un dominio in ambiente Microsoft Windows Server 2012 R2 Datacenter. Durante tutte le fasi sono stati utilizzati i valori di default proposti.

Dominio: testerlab.local

Domain Controller 2012 R2
Nome Computer: DC-01
IPv4: 192.168.1.236
Subnet Mask: 255.255.255.0
Gateway: 192.168.1.1
DNS: 192.168.1.236

Unità Organizzativa: OU-01
Gruppo di Sicurezza: Gruppo_Folder_Redirection
Utenti: ut01, ut02

Per gestire gli accessi alla cartella condivisa che conterrà i dati degli utenti utilizziamo un Gruppo di Sicurezza. Questo ci permetterà di utilizzare permessi di accesso più restrittivi.

Creazione Gruppo di Sicurezza
Selezioniamo l’ambito di applicazione della Group Policy, nel nostro caso l’Unità Organizzativa (OU) precedentemente creata OU-01. Dal menu a discesa selezioniamo “Nuovo” > “Gruppo”. Indichiamo il nome e premiamo “Ok”.
fo_re-02
fo_re-03
fo_re-04

Il gruppo appena aggiunto dovrà essere popolato con gli utenti a cui vorremo dare la possibilità di utilizzare il Folder Redirection.
fo_re-05

Nell’esempio il gruppo “Gruppo_Folder_Redirection” è composto dagli utenti “Ut01 –  Ut02”. Gli stessi utenti saranno aggiunti all’interno dell’Unità Organizzativa “OU-01”.
fo_re-07

Creazione cartella condivisa
La fase successiva è quella di creare lo spazio disco per la memorizzazione dei dati utenti. Per questa attività utilizzerò Server Manager che offre una visione di insieme delle risorse disponibili.

Selezionare “Condivisioni” e nell’ambito delle attività “Nuova condivisione”.
fo_re-07

Scegliere “Condivisione SMB – rapida” e premere “Avanti”. Successivamente selezionare lo storage tra quelli disponibili.
fo_re-08
fo_re-09

Nella schermata successiva indicare il nome della condivisione ed una eventuale descrizione. Per evitare che la cartella condivisa sia visibile a tutti aggiungere il carattere $ alla fine del nome. Nell’esempio il nome utilizzato è “SUtenti$“.
Eliminare il flag “Consenti memorizzazione nella cache della condivisione” se non ci sono utenti che lavorano in modalità offline.
fo_re-10
fo_re-11

Come già detto in precedenza andremo a personalizzare la sicurezza della cartella condivisa appena creata.
Premere il pulsante “Personalizza autorizzazioni”, nella pagina seguente premere il pulsante “Disabilità ereditarietà” e confermare la scelta.
fo_re-12fo_re-13fo_re-13a

Alla fine, come evidenziato nella seguente screen non avremo nessuna eredità.
fo_re-14

A questo punto andiamo ad impostare le autorizzazioni corrette eliminando dall’elenco delle entità il gruppo Users ed aggiungendo il Gruppo di Sicurezza precedentemente creato (Gruppo_Folder_Redirection). Per completare l’attività premere il tasto “Ok”.
fo_re-15

Aggiungere ed assegnare al Gruppo di Sicurezza le seguenti autorizzazioni:
Visualizza contenuto cartella/Lettura dati
Creazione cartelle/Aggiunta dati

Per visualizzare le autorizzazioni speciali è necessario premere sul link “Mostra autorizzazioni avanzate“.

fo_re-17
fo_re-18

Dopo aver modificato le autorizzazioni completiamo il wizard per la creazione della cartella condivisa.
fo_re-19
fo_re-20
fo_re-21

Creazione Group Policy
Completate le prime due fasi passiamo alla creazione della Group Policy che andremo ad applicare all’Unità Organizzativa.

Selezioniamo l’Unità Organizzativa (OU-01) e creiamo un oggetto Criterio di gruppo. Indichiamo il nome e premiamo il pulsante “Ok”. Nel nostro caso, il nome scelto è “Folder Redirection“.
fo_re-22

Di default il filtro di sicurezza della Group Policy è impostata su Authenticated Users. Noi vogliamo restringere il campo di applicazione al Gruppo di Sicurezza creato in precedenza. Sarà dunque questa la prima modifica che andremo ad effettuare.
fo_re-25
fo_re-26

Modifichiamo il criterio precedentemente creato.
In particolare, per la nostra attività, ci concentreremo su:
> Configurazione utente
>> Criteri
>>> Impostazioni di Windows
>>>> Reindirizzamento
fo_re-27

Essendo la cartella “Documenti” quella più utilizzata per la memorizzazione dei dati utente, andremo a reindirizzare proprio tale cartella.

Dal menu a discesa selezioniamo “Proprietà” per impostare i valori che riterremo più idonei alle nostre esigenze.
Nell’esempio vengono utilizzate le “Impostazioni Base” e la creazione di una cartella differente per ogni singolo utente.
Nel campo “Percorso radice” indicheremo il percorso della cartella condivisa precedentemente creata (SUtenti$).
fo_re-28
fo_re-29
fo_re-30

Una segnalazione ci indicherà che sono presenti delle impostazioni incompatibili con alcune precedenti versioni si Sistema Operativo.
fo_re-30a

Siamo dunque pronti per applicare la nostra nuova Group Policy e per forzarne l’applicazione possiamo eseguire un GPUpdate /force.
Lato client possiamo verificare l’applicazione delle Group Policy attraverso il comando GPResult. In particolare, dato che si tratta di un’applicazione di Group Policy lato utente possiamo eseguire GPResult /USER nome_utente /SCOPE USER /Z.

Di seguito la screen della cartella condivisa contenete le sottocartelle di riferimento dei due utenti di test.
fo_re-31

…a seguire (spero presto) Roaming User Profiles :)

Approfondimenti
GPUpdate
GPResult
Deploy Folder Redirection with Offline Files
Deploy Roaming User Profiles

Windows 10 – Aggiornamento ed Installazione pulita

Il passaggio gratuito a Windows 10 ha lasciato dietro di se una serie di interrogativi tecnici e pratici. Molto spesso gli interrogativi nascono dal fraintendimento delle informazioni lette sul web.

Un argomento che ha suscitato molti dubbi è stata l’interpretazione data alla possibilità di effettuare l’aggiornamento gratuito a Windows 10 entro un anno. Molti utenti hanno confuso il termine “entro” con “per“.
Di conseguenza una delle domande più gettonate sui vari forum è:
D – Dopo il primo anno gratuito dovrò comprare Windows 10?
R – Assolutamente NO. Windows 10 può essere utilizzato per sempre (come dice qualcuno… finche morte non ci separi).

Prima di vedere come eseguire l’aggiornamento a Windows 10 vorrei puntualizzare alcune cose:
– L’aggiornamento a Windows 10 Pro è gratuito per tutti gli utenti che hanno una licenza valida di Windows 7 SP1, Windows 8 e Windows 8.1
– L’aggiornamento di Windows 10 può essere effettuato entro un anno a partire dal 20/07/2015
– L’aggiornamento permette di mantenere le applicazioni ed i dati presenti nel sistema al momento dell’aggiornamento
– Dopo l’aggiornamento è comunque possibile effettuare una installazione pulita.
– Non è possibile effettuare una installazione pulita direttamente in fase di aggiornamento
– Non è necessario avere un Product Key per l’installazione dell’aggiornamento. Verrà utilizzata la licenza già attiva

L’articolo si basa su un PC fisico su cui è stato installato ed attivato Microsoft Windows 7 Pro 64bit.
W7-01
W7-DISPOSITIVI

Aggiornamento
Questa installazione di basa su un media Windows 10 Pro 64bit.

Avviare l’installazione ed attendere la copia dei file necessari.
W10-AGG-01

Durante questa fase è consigliabile avere una connettività internet attiva in quanto verranno cercati gli aggiornamenti disponibili. Alla fine dell’installazione la connettività potrebbe non essere più disponibile se i driver della scheda di rete non dovessero essere disponibili per Windows 10.
W10-AGG-03

Accettare le condizioni di licenza e proseguire
W10-AGG-06
W10-AGG-07
W10-AGG-08
W10-AGG-09

Dopo un paio di riavii eccoci finalmente pronti ad effettuare il login con il nostro vecchio account
W10-AGG-11

Come si può vedere dalle successive screen il nuovo Sistema risulterà già attivo ed in questo caso con tutti i Device perfettamente installati.
W10-AGG-12
W10-DISPOSITIVI

Qualcuno si starà chiedendo come e quando ho inserito il Product Key ed attivato la copia appena installata di Windows 10.
La risposta alle due domande è semplice.
– Non è necessario inserire nessun Product Key perché l’aggiornamento si basa sulla licenza valida già installata.
– La copia di Windows 10 si è attivata automaticamente attraverso la connessione ad internet.

Installazione pulita
Tutto bene… Si, ma se volessi installare nuovamente Windows 10?

La domanda è al top delle richieste degli utenti consumer :)

Niente paura, non è necessario reinstallare tutto dall’inizio. Ovvero installare Windows 7 e poi eseguire nuovamente l’aggiornamento. Una volta eseguito il primo aggiornamento sarà possibile effettuare una installazione pulita. Vi chiederete come sarà possibile farlo, semplice durante la prima attivazione vengono memorizzate le informazioni necessarie per validare le installazioni successive.
Dove? Non fate domande indiscrete :)

Per verificare quanto detto ho eseguito una installazione pulita sullo stesso PC. Ovviamente eliminando tutte le partizioni esistenti ed effettuando il boot dal media (DVD).

In questo caso la sequenza di installazione è leggermente diversa. L’unica cosa da evidenziare è la richiesta del Product Key. Ma noi non avendo nessun Product Key da inserire utilizzeremo l’opzione “Più tardi“. La richiesta di inserimento del Product Key verrà riproposta in seguito. Anche in questo secondo caso utilizzeremo l’opzione “Più tardi“.

Di seguito le screen riguardanti il Sistema ed i Device del PC appena. Come si può notare il nome PC è differente rispetto a quello dell’aggiornamento e la licenza è stata automaticamente attivata. Anche per quanto riguarda i Device c’è una differenza. Infatti per alcuni Device non sono stati trovati i driver. Questo perché la fase di ricerca preventiva effettuata in fase di aggiornamento non viene eseguita durante la fase di installazione pulita. Ovviamente la licenza è stata attivata perché era attiva una connessione internet.
W10-01
W10-INS-DISPOSITIVI

Nel caso non avessimo la disponibilità di una connessione internet, la licenza non viene attivata.
Durante una nuova fase di test ho staccato il cavo di rete per isolare il PC. Come si può vedere dalle successive screen, la licenza risulta da attivare. Una volta collegato il PC alla rete la licenza viene automaticamente attivata
W10-Schermo
W10-Attivazione-01
W10-Attivazione-02

Proviamo a barare… Ovvero effettuare un aggiornamento a Windows 10 su un PC non attivo.

Ho utilizzato il solito PC con Windows 7, ma questa volta la licenza non è stata ancora attivata
W7-sistemanottivo

Durante la fase di preparazione all’installazione ci viene inesorabilmente chiesto di inserire un Product Key valido. Quindi non ci tentate…
W10-AGG-02

Approfondimenti
Windows 10 – Domande e risposte
Download Windows 10 Strumento di installazione USB e DVD
Windows 10 Enterprise – Copia di valutazione

Windows 10 – Impostazione icone Desktop

L’installazione di Windows 10 lascia il Desktop desolatamente vuoto. Una finestra aperta nel nulla…
L’unica icona presente è quella del cestino. Si, ma cosa ci butto dentro? Non c’è niente da buttare…

L’aggiunta delle classiche icone presenti sul Desktop passa attraverso l’opzione Personalizza.
W10-IMP-01

L’impostazione delle icone è stata inserita sotto la voce di menu Temi.
W10-IMP-02

W10-IMP-03

…adesso mi sento meno solo :)
W10-IMP-04

Buon Windows 10

Windows 10 – Annullare l’aggiornamento gratuito

Windows 10 è uscito e come prevedibile molti, moltissimi utenti non hanno atteso un attimo per installarlo.
I più inconsapevoli di quello che sarebbe potuto succedere ai propri dati. Senza una adeguata informazione su come affrontare gli eventuali problemi.
Ed ecco che nel giro di poche ore i forum ed i blog si sono riempiti delle più disparate richieste di aiuto.

Se per qualsiasi motivo si volesse rinunciare ad eseguire (anche momentaneamente) l’aggiornamento gratuito basta seguire i successivi passi.

Prima di vedere come annullare la prenotazione, è giusto evidenziare alcuni punti:
– L’aggiornamento a Windows 10 Pro è gratuito per tutti gli utenti che hanno una licenza valida di Windows 7 SP1, Windows 8 e Windows 8.1
– L’aggiornamento permette di mantenere le applicazioni ed i dati presenti nel sistema al momento dell’aggiornamento
– Dopo l’aggiornamento è comunque possibile effettuare una installazione pulita.
– Non è possibile effettuare una installazione pulita direttamente in fase di aggiornamento
– La KB di riferimento per la prenotazione dell’aggiornamento è la KB3035583 Update installs Get Windows 10 app in Windows 8.1 and Windows 7 SP1

Annullare la prenotazione
Premere l’icona “Ottieni Windows 10”
W10-PRE-00

Aprire il menu attraverso l’icona formata da tre linee che si trova posizionata in alto a sinistra
W10-PRE-01

Selezionare l’opzione “Visualizza la conferma” e nella maschera successiva premere “Annulla la prenotazione
W10-PRE-02
W10-PRE-03

La successiva maschera ci confermerà l’annullamento della prenotazione.
W10-PRE-04

In breve
W10-PRE-05

Ovviamente l’attività appena vista non elimina l’icona della prenotazione in quanto legata all’aggiornamento KB3035583.
Per rimuovere completamente la possibilità di ricevere l’aggiornamento si deve disinstallare la su menzionata KB (scelta consigliata) oppure intervenire nelle chiavi di registro secondo le seguenti indicazioni:
– Posizionarsi nella chiave  HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Windows\Gwx (se non esiste crearla)
– Creare una voce di registro REG_DWORD con nome DisableGwx ed impostare il valore 1.

Windows 10 Hyper-V – Installazione e configurazione

Windows 10 è arrivato… Vediamo subito come attivare l’ambiente di virtualizzazione Hyper-V.

Rispetto alla versione precedente (8/8.1) non ci sono variazioni, quindi non mi dilungherò ad illustrare concetti già visti.

w10

Gli attuali processori implementano le caratteristiche necessarie per l’attivazione della piattaforma di virtualizzazione, ma se volessimo effettuare un controllo, come al solito dobbiamo iniziare dall’utility Coreinfo.
L’utility di Mark Russinovich la trovate all’indirizzo http://technet.microsoft.com/en-us/sysinternals/cc835722.

Il comando per la verifica della piattaforma di virtualizzazione è coreinfo –v.
Per i processori Intel verificare la voce EPT mentre per i processori AMD la voce da verificare è NP.

Di seguito sono riportati i risultati dei test riferiti con una CPU Intel i5-4440
w10-hv-in-00

Prima dell’attivazione di Hyper-V
w10-core-01

Dopo l’attivazione di Hyper-V
w10-core-02

Installazione
Da Programmi e funzionalità, attraverso l’opzione “Attivazione o disattivazione delle funzionalità di Windows” andremo a selezionare la voce Hyper-V.
Oltre alla piattaforma di virtualizzazione (Hypervisor) verranno installati lo strumento di gestione GUI ed il modulo di gestione PowerShell.

Un semplice riavvio e si è (quasi) subito pronti all’utilizzo di Hyper-V.
w10-hv-in-01
w10-hv-in-02

Configurazione
La fase post installazione è semplice. L’unica cosa da configurare prima di poter creare le nostre Macchine Virtuali è un Commutatore Virtuale.
Il Commutatore Virtuale (Virtual Switch) è una interfaccia tra la scheda di rete fisica e quelle virtuali che verranno generate all’interno delle Macchine Virtuali.

Le configurazioni possibili sono:
Esterna: Crea un commutatore virtuale che esegue il binding alla scheda di rete fisica in modo che le macchine virtuali possano accedere a una rete fisica.
Interna: Crea un commutatore virtuale che può essere utilizzato solo dalle macchine virtuali in esecuzione nel computer fisico e tra le macchine virtuali e il computer fisico. Un commutatore virtuale interno non consente di stabilire una connessione di rete fisica.
Privata: Crea un commutatore virtuale che può essere utilizzato solo dalle macchine virtuali in esecuzione nel computer fisico.

w10-hv-co-01
w10-hv-co-02
w10-hv-co-03

Approfondimenti
Client Hyper-V
What’s New for Hyper-V on Windows 10

Ti potrebbero interessare:
WINDOWS 8 Hyper-V – Installazione e configurazione
Windows Server 2012 R2 Hyper-V – Installazione

Altaro Hyper-V Backup: Verifica e Restore

Pianificare ed eseguire i backup dei dati aziendali è essenziale per poter affrontare un problema tecnico (Hardware o Software che sia), una perdita accidentale, una infezione virale od un furto, etc. Tale attività però è fine a se stessa se non viene costantemente verificato l’esito delle operazioni svolte. Ed in particolare tra le verifiche che andrebbero sempre eseguite c’è la consistenza dei backup.

Il crescente aumento di ambienti virtuali, oggi più che mai, impone una maggiore attenzione ai dati ed alla loro conservazione.

Se prima il rapporto tra Host fisico e Server attivo era di 1:1 (1 Host 1 Server), oggi, sempre più, questo rapporto è di 1:n (1 Host n Server). E’ facile capire cosa potrebbe accadere se l’unico Host andasse giù… Non un semplice fermo momentaneo, ma il reale rischio di fermo prolungato.

bavere

In un contesto come quello precedentemente descritto, Altaro Hyper-V Backup, grazie alle sue funzionalità di verifica e ripristino, ci aiuta ad avere un elevato grado di sicurezza dei nostri dati.

al-restore

Nell’articolo Altaro Hyper-V Backup: Installazione e configurazione abbiamo visto la semplicità con la quale è possibile installare ed utilizzare il programma in pochissimi passaggi.
Vedremo adesso quali opzioni sono disponibili per eseguire il restore di singoli files o di una intera Macchina Virtuale.

Verifica Backup
Come anticipato nella premessa, Altaro Hyper-V Backup include due opzioni di verifica dei backup:
Verify Backup Folder: con questa opzione è possibile eseguire la verifica dell’integrità dati contenuti all’interno del Backup Location.
Perform Full Test Restore: questa seconda opzione esegue un restore completo della Macchina Virtuale come clone dell’originale. In questo caso possiamo verificare se la Macchina Virtuale restorata è in grado di avviarsi all’interno di Hyper-V.

al-ver-01

Restore
La versione attuale (5.0), implementa un restore granulare per i file e per Exchange. Oltre che, naturalmente, il restore dell’intera Macchina Virtuale. Ovviamente è possibile eseguire il backup di tutti i programmi che utilizzano VSS Writer (es. SQL).

La filosofia dell’azienda è quella di creare un duplicato dei dati restorati, lasciando intatti gli eventuali dati presenti all’interno della Macchina Virtuale. Questa soluzione permette di preservare i dati originali in caso di errore.

Il Restore Granulare dei dati avviene, cosi come per le altre funzioni, attraverso un Wizard illustrato nelle seguenti screen. Nell’esempio eseguo il restore di un file presente sul Desktop dell’utente Administrator.
al-rg-01a
al-rg-01b
al-rg-01c
al-rg-01d
al-rg-01f
al-rg-01g
al-rg-02a
al-rg-02b

Il Restore dell’intera Macchina Virtuale segue la stessa filosofia del Restore Granulare. Ovviamente la differenza sostanziale è nell’aggiunta di una nuova Macchina Virtuale all’interno di Hyper-V.
al-rev-01
al-rev-02
al-rev-03
al-rev-05
al-rev-07

Bene… non ci resta che continuare a provarlo in produzione.

Altaro Hyper-V Backup: Installazione e configurazione

Spesso non si riesce a comprendere che il patrimonio di una azienda è rappresentato anche dai dati aziendali. E’ essenziale dunque salvaguardare tali dati.

Parlando di salvaguardia dei dati, oggi vorrei presentarvi Altaro Hyper-V Backup.

Realizzato esclusivamente per l’omonimo hypervisor, come vedremo nel prosieguo dell’articolo, è dotato di una semplice ed intuitiva interfaccia.
La seguente screen rappresenta alcune delle caratteristiche presenti in Altaro Hyper-V Backup ed in particolare quelle che riguardano la funzionalità di backup. L’elenco completo delle funzionalità è disponibile alla pagina Compare Editions & Pricing for Altaro Hyper-V Backup.
al-fea

Il programma può essere utilizzato indifferentemente su Sistema Operativo con interfaccia grafica (GUI) che CORE.

Descrizione infrastruttura
L’infrastruttura utilizzata si basa su un Host Microsoft Windows Server 2012 R2 Datacenter su cui è stato installato esclusivamente il ruolo Hyper-V. Lo stesso Host ospita sia Altaro Hyper-V Backup che una Macchina Virtuale di test.
I Backup saranno destinati ad un secondo disco interno.

infra-01

Con l’occasione voglio ricordare alcuni punti fondamentali per quel che riguarda il modello di licenza Microsoft Windows Server 2012 (R2):
– La licenza fisica (POE) della versione Standard include due licenze virtuali (VOE), mentre la versione Datacenter non ha limiti sul numero di licenze virtuali;
– Per poter utilizzare le licenze virtuali incluse, sull’Host l’unico ruolo attivo deve essere Hyper-V.

Il modello di licenza utilizzato da Altaro è suddiviso in tre prodotti, di cui una versione gratuita.
al-lic

Personalmente, tra la versione Free Edition e la versione Standard avrei aggiunto una versione intermedia. Due Macchine Virtuali con tutte le funzionalità attive (es. File Level Restore). Giusto per essere allineati alla versione Standard di Microsoft ed avere una configurazione per singolo Host ad un prezzo ancora più interessante.

Installazione
L’installazione avviene attraverso quattro semplici passaggi e non presenta alcuna difficoltà.
al-in-01
al-in-03
al-in-06

Al primo avvio è possibile eseguire un Wizard per configurare le opzioni necessarie. Sarà comunque possibile intervenire in qualsiasi momento per modificare la configurazione impostata secondo le specifiche esigenze.

Installazione licenza
Prima di eseguire tutte le attività di configurazione attivo la licenza.
Come si può vedere dalla successiva screen il programma è partito in modalità trial 30 giorni.
al-co-02b
al-co-02c
al-co-02d

Quick Setup
I passi sono semplici ed intuitivi:
– Aggiungere l’Host che esegue Hyper-V
– Selezionare la destinazione dei backup
– Configurare un backup

Step 1 > Host
Viene eseguito un discoveryng per verificare lo stato della licenza, dell’agent di comunicazione con l’Hyper-V ed il numero di Macchine Virtuali eventualmente presenti.
al-co-03

Step 2 > Backup Locations
La scelta si basa sulle due classiche tipologie di supporto, fisico/locale (es. chiavetta USB) o logico (share di rete).
Come tipologia seleziono il disco fisico e successivamente la destinazione finale.
al-co-04a
al-co-04b
al-co-04c

A questo punto il programma ci segnala che la Macchina Virtuale (VM-TEST-01) presente sull’Host non è stata assegnata a nessuna destinazione di backup.
al-co-05

Un semplice Drag & Drop ci permette l’assegnazione.
al-co-06

All’interno dello stesso step di configurazione sono presenti le opzioni per la pianificazione dei backup (Schedules), la policy di conservazione dei backup (Retention Policy), etc.
La schedulazione standard prevede due orari differenti: dal lunedì al venerdì alle ore 22:00. Mentre sabato e domenica alle ore 20:00.
Ovviamente possiamo aggiungere, eliminare e modificare gli orari a nostro piacimento.
al-co-07

Per quanto riguarda la Retention, il default prevede due settimane. Per eseguire i test, quindi backup multipli senza il problema di occupazione spazio disco o copie multiple non utilizzerò nessuna Retention.
al-co-08b

Step 3 Take Backup
Veniamo al dunque, ovvero ad eseguire il primo backup della nostra Macchia Virtuale che, come l’Host esegue Windows Server 2012 R2.
Selezionare la Macchina Virtuale e premere il pulsante “Take Backup”.
al-co-09b

…attendere il tempo necessario per l’esecuzione.
al-co-09c
al-co-09i

In un prossimo articolo vedremo come eseguire il restore della nostra Macchina Virtuale e quali opzioni sono disponibili per tale attività.

Buon backup a tutti voi con Altaro Hyper-V Backup…

Windows Server 2012 R2 Hyper-V – Installazione

In molti degli articoli scritti ho utilizzato le funzionalità messe a disposizione da Windows Server 2012 R2 attraverso dei Server virtualizzati con Hyper-V.
Una piattaforma di virtualizzazione è fondamentale per testare e studiare nuovi prodotti. L’alternativa sarebbe quella di avere la disponibilità dei componenti Hardware necessari per ogni singolo test.

Le CPU di ultima generazione, in particolare quelle montate sui Server, non dovrebbero avere problemi, ma dato che spesso per i test si tenderà ad utilizzare PC assemblati effettuare una verifica del processore è sempre meglio.
Per fare ciò utilizziamo l’utility Coreinfo di Mark Russinovich. L’utility è scaricabile all’indirizzo http://technet.microsoft.com/en-us/sysinternals/cc835722.
Il comando per la verifica della piattaforma di virtualizzazione è coreinfo –v.
Per i processori Intel verificare la voce EPT mentre per i processori AMD la voce da verificare è NP.

Di seguito sono riportati i risultati dei test riferiti ad una CPU Intel i5-4440.

Prima dell’attivazione del ruolo Hyper-V
core-01

Dopo dell’attivazione del ruolo Hyper-V
core-02

Installazione
L’installazione del ruolo Hyper-V, come tutti i ruoli presenti in Windows Server 2012 R2, può essere effettuata in maniera visuale e guidata partendo da Server Manager.
hv-in-01
hv-in-02
hv-in-03
hv-in-04

Verranno installati gli strumenti di gestione con interfaccia grafica ed il modulo PowerShell.
hv-in-04a

L’installazione continua con la scelta di una scheda di rete da utilizzare per l’accesso remoto e la creazione di un Commutatore Virtuale (Virtual Switch).
hv-in-06
hv-in-07

Se siamo in presenza di un infrastruttura composta da più Server Hyper-V possiamo abilitare la migrazione delle Macchine Virtuali attraverso la Live Migration. Possiamo anche creare un Cluster Hyper-V a più nodi.
hv-in-08

L’installazione continua con la scelta delle cartelle predefinite per la memorizzazione di dischi e configurazioni. Nella screen successiva sono visibili i percorsi di default proposti dal sistema.
Personalmente preferisco memorizzare i dati all’interno di una struttura di cartelle destinate alla singola Macchina Virtuale.
hv-in-09
hv-in-10

Una volta completata l’installazione e dopo aver riavviato il sistema Host potremo lanciare la console di gestione.
hv-in-11

Concludo con un breve ma essenziale accenno ai Commutatori Virtuali.

Le configurazioni possibili sono:
Esterna: Crea un commutatore virtuale che esegue il binding alla scheda di rete fisica in modo che le macchine virtuali possano accedere a una rete fisica.
Interna: Crea un commutatore virtuale che può essere utilizzato solo dalle macchine virtuali in esecuzione nel computer fisico e tra le macchine virtuali e il computer fisico. Un commutatore virtuale interno non consente di stabilire una connessione di rete fisica.
Privata: Crea un commutatore virtuale che può essere utilizzato solo dalle macchine virtuali in esecuzione nel computer fisico.

Approfondimenti
Novità di Hyper-V

Ti potrebbero interessare:
WINDOWS 8 Hyper-V – Installazione e configurazione
Windows 10 Hyper-V – Installazione e configurazione

Windows Server 2012 R2 WSUS

Il ruolo WSUS (Windows Server Update Services) è uno di quei ruoli che, per certi aspetti, può considerarsi semplice sia nell’implementazione che nella successiva gestione. All’apparente semplicità, però si contrappone una difficile analisi degli eventi e degli eventuali problemi.

Uno dei punti cruciali riguardanti la sicurezza di una infrastruttura è sicuramento quello degli aggiornamenti. Spesso il reparto IT (ammesso che ne esista uno…) non è in grado di gestire un numero discreto di server e client (per non parlare di altre componenti come storage, switch, multifunzioni, etc.). Non parliamo poi di un consulente esterno, magari con un intervento programmato di due, tre ore/mese…
Sovente la soluzione (per molti la migliore…) è quella di disattivare gli aggiornamenti automatici. Sarebbe impossibile andare a verificare l’avvenuta (e corretta) installazione su ogni singolo dispositivo. Come dire, occhio non vede cuore non duole.

Pur con la sua poca flessibilità WSUS risolve egregiamente (a costo zero) il problema della distribuzione centralizzata degli aggiornamenti e della relativa analisi.
Rimane dunque un valido strumento per la maggioranza delle infrastrutture PMI italiane.

Descrizione infrastruttura
L’articolo si basa su un dominio in ambiente Microsoft Windows Server 2012 R2 Datacenter. Durante tutte le fasi sono stati utilizzati i valori di default proposti.

Dominio: testerlab.local

Domain Controller 2012 R2
Nome Computer: DC-01
IPv4: 192.168.1.236
Subnet Mask: 255.255.255.0
Gateway: 192.168.1.1
DNS: 192.168.1.236

Server Membro 2012 R2
Nome Computer: DC-02
IPv4: 192.168.1.237
Subnet Mask: 255.255.255.0
Gateway: 192.168.1.1
DNS: 192.168.1.236

Di seguito vedremo una classica installazione basata su un unico server WSUS che utilizza il database interno (che è pur sempre una istanza SQL). Questa configurazione può essere replicata in tutte quelle strutture che non necessitano di particolari configurazioni e che tranquillamente possono sfruttare l’opportunità offerta delle due licenze virtuali incluse nella versione standard.
Lasciamo quindi il Domain Controller senza ulteriori ruoli aggiunti ed utilizziamo un server membro per tutti i ruoli/funzionalità necessari.

STEP
Qualsiasi sia la complessità che vogliamo dare al servizio i passi da fare sono sostanzialmente gli stessi:
Installazione ruolo
Configurazione iniziale
Configurazione Group Policy
Configurazione approvazione

Installazione ruolo
L’installazione avviene, come per tutti i ruoli, partendo da Server Manager
wsus_01
wsus_02
wsus_03
wsus_03a

In particolare sarà necessario installare un database che conterrà tutte le informazioni necessarie alla configurazione, alle sincronizzazioni ed alle distribuzioni.
wsus_06a
wsus_06b

Scegliere una unità NTFS sulla quale memorizzare gli aggiornamenti. Nella scelta è da tenere presente il numero di Sistemi Operativi, di Applicativi, di lingue e di tipi di aggiornamenti (es. solo critici) che si vogliono gestire.
wsus_07

Proseguire con l’installazione di IIS su cui poggerà l’interfaccia web di gestione.
wsus_08

Configurazione iniziale
Terminata la fase di installazione è necessaro avviare la fase di configurazione iniziale (attività che potremo comunque modificare anche in seguito)
wsus_12a

Essendo l’unico Server WSUS dovremo indicare in  Microsoft Update la fonte da cui scaricare gli aggiornamenti. Lo scopo finale è quello di configurare questo server come testa di ponte verso il mondo esterno (Microsoft Update).
wsus-con-03

Indicare un eventuale Server Proxy e continuare con la configurazione
wsus-con-04
wsus-con-05
wsus-con-06
wsus-con-06b

Proseguire la configurazione guidata indicando le lingue, i prodotti, la classificazione degli aggiornamenti e l’orario per la sincronizzazione automatica
wsus-con-07
wsus-con-08
wsus-con-09
wsus-con-10
wsus-con-11

…bene, possiamo proseguire con i passi successivi.

Configurazione Group Policy
La Group Policy che verrà assegnata ha lo scopo di assegnare a tutti i client il percorso di ricerca degli aggiornamenti.
E’ possibile modificare le opzioni e/o abilitare altre voci secondo le esisgenze specifiche.
Per lo scopo ho utilizzato la Default Domain Policy, ovviamente in ambito reale si dovrà scegliere l’ambito adeguato alle esigenze (OU, Site, Domain…)
pol-02a

Le voci attivate sono:
– Configura Aggiornamenti automatici
– Specifica il percorso del servizio di aggiornamento Microsoft nella rete Intranet

pol-04
pol-05
pol-06

Eseguiamo un aggiornamento per l’applicazione delle nuove impostazioni partendo dalla configurazione di default.
pol-07
pol-08
pol-09
pol-10

Configurazione approvazione
La fase successiva è quella della creazione dei gruppi di appartenenza dei dispositivi (es. Server, Client, etc.) e di gestire l’approvazione degli aggiornamenti preposti.
wsus-con-13
wsus-con-16

Alla fine dell’installazione sarà comunque necessario installare anche il Microsoft Report Viewer Redistributable 2008 per poter visualizzare la reportistica integrata.

Approfondimenti
Deploy Windows Server Update Services in Your Organization
Microsoft Report Viewer Redistributable 2008

Iscriviti

Ricevi al tuo indirizzo email tutti i nuovi post del sito.