Archivio

Archivio autore

Integrità e ripristino dei file di sistema, sfc.exe

24 Ottobre 2011 Commenti chiusi

sfc.exe è uno strumento a riga di comando che permette di verificare l’integrità dei file di sistema ed eventulamente provvede al loro ripsitino recuperandoli dal supporto di installazione, è quindi necessario avere a disposizione il supporto usato per l’installazione del sistema.

sfc.exe dipsone dei seguenti switch

/SCANNOW Analizza subito i file di sistema protetti.
/SCANONCE Analizza i file di sistema protetti una sola volta.
/SCANBOOT Analizza i file di sistema protetti a ogni riavvio.
/REVERT Ripristina le impostazioni predefinite di analisi.
/PURGECACHE Elimina il contenuto della cache dei file.
/CACHESIZE=x Imposta le dim. cache dei file.

tramite il comando: sfc.exe /scanow il sistema verrà analizzato e qualora identificati file anomali questi verranno ripristinati.

sfc.exe è uno strumento valido non solo per risolvere eventuali problemi derivanti da corruzione di file, causati sia da problemi del’hard disk o da errori nella procedura di spegnimento ecc…, ma anche per analizzare e riprisitinare un sistema oggetto di infezione da parte di virus o malware. In questo caso sarebbe opportuno prima di eseguire lo switch /scanow eseguire il /purgecache che cancella il contenuto della cache da cui, per default, vengono recuperati i file usati per il ripristino e successivamente /scanow, esempio dal prompt dei comandi:

sfc.exe /purcgecache premere invio, al termine

sfc.exe /scannow premere invio

Cosi facendo si sarà costretti ad usare pe run eventuale ripristino i file presenti sul supporto di installazione usato per installare il sistema operativo, ad esempio il cd rom, e si avrò la sicurezza che i file usati per il ripristino non saranno stati alterati da qualche agente virale

Disconnesione automatica dopo login

24 Ottobre 2011 Commenti chiusi

Per risolvere il problema dell’autodisconnessione automatica e immediatamente successiva al login (spesso causata da errori di sistema o come effetto di un infezione da software malevolo) è possibile intervenire come segue

al persorso HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\WindowsNT\CurrentVersion\Winlogon

modificare il valore di Userinit in “C:\WINDOWS\system32\userinit.exe,”

“C:\WINDOWS\system32\userinit.exe,” importante la , alla fine

La situazione però non consente un accesso diretto al registry della macchina, cionostante è possibile aprire il registro in remoto semplicemente via LAN selezionando Connetti a registro di sistema in rete dal menu File di regedit.exe avviato da un’altra postazione. In casi particolarmente complessi o qualora la procedura sopra descritta non abbia prodotto risutalti positivi è possibile tentare il ripristino del registry dall’hive dello stesso come indicato nella kb307545. In tale caso prendere visione anche delal kb836435

 

Disattivare Autorun/Autoplay

24 Ottobre 2011 Commenti chiusi

Per disabilitare l’autoplay è possibile agire in diversi modi anche a seconda del sistema opertivo in uso, sia modificando le opportune chiavi di registro che impostado policy che usando tool confunzionalità apposite quali i Tweak IU

Windows Server 2003, Windows XP e Windows 2000 tramite gpedit.msc

  • premere Start scegliere Esegui e digitare Gpedit.msc e premere OK.
  • Da Configurazione computer, espandere Modelli amministrativi, quindi scegliere Sistema.
  • Trovare la voce Disattiva Autoplay (a seconda delle versioni del sistema operativo può essere indicata anche come Disabilita Autoplay o Disattiva Riproduzione Automatica) fare doppio click sulla voce o sul pulsante proprietà una volta selezionata la voce.
  • Fare clic su Attivato, quindi selezionare Tutte le unità per disattivare l’autoplay da ogni unità
  • Click su OK per chiudere la finestra di dialogo e confermare così l’impostazione
  • Riavviare il computer o qualora non fosse possibile forza l’applicazione delle policy digitando dal prompt dei comandi gpupdate /force

Windows Server 2008 o Windows Vista

  • premere Start scegliere Esegui e digitare Gpedit.msc e premere OK.
  • Da Configurazione computer, espandere Modelli amministrativi, quindi scegliere Componenti di Windows e Criteri Autoplay.
  • Trovare la voce Disattiva Autoplay fare doppio click sulla voce o sul pulsante proprietà una volta selezionata la voce.
  • Fare clic su Abilitato, quindi selezionare Tutte le unità per disattivare l’autoplay da ogni unità
  • Click su OK per chiudere la finestra di dialogo e confermare così l’impostazione
  • Riavviare il computer o qualora non fosse possibile forza l’applicazione delle policy digitando dal prompt dei comandi gpupdate /force

Impostazione tramite chiave di regitro

  • Da Start, Esegui, digitare regedit.exe e premere OK
  • Posizionarsi alla chiave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
  • Creare un nuovo valore di tipo DWORD chimandolo NoDriveTypeAutoRun, vedere tabella seguente per i valori

 

Valore Descrizione
0x1 Consente di disattivare AutoPlay da unità di tipo sconosciuto
0x4 Consente di disattivare AutoPlay da unità rimovibili
0x8 Consente di disattivare la AutoPlay da unità fisse
0x10 Consente di disattivare AutoPlay da unità di rete
0x20 Consente di disattivare AutoPlay da unità CD-ROM
0x40 Consente di disattivare AutoPlay da dischi RAM
0x80 Consente di disattivare AutoPlay da unità di tipo sconosciuto
0xFF Consente di disattivare AutoPlay da tutti i tipi di unità

I valori di default sono

Sistema operativo Valore
Windows Server 2008 e Windows Vista 0x91
Windows Server 2003 0x95
Windows XP 0x91
Windows 2000 0x95

Tool

Alcuni tool per inervenire nella modifica dell’autorun, e anche in altre sono

 

Tweak iu della raccolta Microsoft PowerToys per Windows XP

 

Windows Vista Tweaker

Per maggiori informazioni è possibile fare riferimento alla kb953252

Attivare Desktop remoto in remoto

24 Ottobre 2011 Commenti chiusi

Può far comodo, soprattutto se ci si occupa di supporto o si è amministratori di sistema, poter attivare il desktop remoto da remoto appunto, ovviamente per fare ciò è necessario poter disporre di privileggi sufficienti sulla macchina remota.

avviare regedit , start -> esegui -> regedit.exe dal menù file selezionare Connetti a Registro di sistema in rete e indicare il nome computer o indirizzo ip della macchina remota, qualora richiesto inserire credenziali amministrative valide nella macchina remota (o in dominio qualodra ci trovassimo in un dominio Avtice Directory, anche se quest’ultima per ragioni si sicurezza sconsiglio di usarla per attività che non coinvolgono i domain controller). Verrà ahhiunto al’albero presente un nuovo computer con relativo registro, portiamoci quindi alla chiave

HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server modificare fDenyTSConnections (o crearla se assente di tipo DWORD) impostando come valore 0

E’ necessario riavviare la macchina remota, operazione che può essere eseguita tramite shutodown.exe dal prompt dei comandi

shutdown -m \\nomecomputer -r -t 01 (-t 01 imposta il tempo ad un secondo, per evitare i classici 30 secondi)

I valori disponibile per fDenyTSConnections sono

0 desktop remoto abilitato

1 desktop remoto disabilitato

Qualora la connessione al registro remoto non sia possibile non a causa del firewall attivo sulla macchina remota o per errore nelle credenziali fornite, verificare che nel pc da cui si sta operando il servizio Registro di sistema remoto sia avviato

 

Fedora – Network configuration

24 Ottobre 2011 Commenti chiusi

Fedora – Network configuration, Fonte openskill.info

Fonte openskill.info

Network configuration on Fedora is quite similar to the one for other versions of RedHat Linux, besides the standard files, the main configuration is done on /etc/sysconfig/network where is defined the hostname and can be placed the default gateway and in the files of the /etc/sysconfig/network-scripts/ directory.

The TCP/IP network setup is done with the script /etc/init.d/network, with obviously must be started before other network services on a connected machine.
The official graphical configuration tool is system-config-network (Menu System Settings – Network), from here is possible to define the IP parameters for all the interfaces found on the system (tab Devices, modifies the /etc/sysconfig/network-scripts/ifcfg-interface and /etc/sysconfig/networking/devices/ifcfg-interface files), the IP of the DNS servers (tab DNS, modifies /etc/resolv.conf), the static host IP assignement (tab Hosts, modifies /etc/hosts).
Fedora supports also user’s profiles, with differnet network settings. The Network Configuration tools easily let the user define a profile and its parameters, the relevant system files are placed in the directory /etc/sysconfig/networking/profiles/profilename/. Currently Fedora does not allow the definition of a profile at boot time, when the machine is started the default “Common” profile is used, to switch to a custom one either launch system-config-network graphical tool and select your profile or type system-config-network-cmd -p profilename –activate.
RedHat provides other network configuration tools:
netconfig is an old text configuration tool, which is obsolete and may be used to a fast configuration;
system-config-network-tui is the text version of the graphical Network Configuration Tool.
system-config-network-druid (Menu System tools – Internet configuration wizard) is a guided wizard which helps an easy configuration of Ethernet, modem, ISDN, DSL, wireless configuration.

Firewall configuration
Red Hat stores the firewall configuration in the /etc/sysconfig/iptables file which is formatted in order to be used by the iptables-restore command. Firewalling is managed with the /etc/init.d/iptables script which can be followed by arguments like start to activate firewalling, stop to disable it, panic to shutdown any Internet access, status to view the current iptables rules.
A simple and not extremely flexible configuration tool is system-config-firewall, which is adeguate for a desktop machine but surely not for a router/firewall.

Integrare Linux in un dominio WinNT/2000 con Winbind

24 Ottobre 2011 Commenti chiusi

Articolo tratto da OpenSkills.info adatto a scenari d’integrazione Linux in domini Windows. L’articolo originale è disponibile qui

Articolo di Fulvio Ferroni
adattato per OS.
https://didattica.swlibero.org/docs/linuxmagazine/ferroni24.html

In questo articolo voglio affrontare una problematica un po’ particolare ma secondo me molto interessante: l’integrazione di una macchina Linux (ovviamente equipaggiata con Samba) in un dominio NT o in una active directory Windows 2000 grazie all’utilizzo di Winbind.
Per integrazione qui intendo l’eventualità che la macchina Linux entri a far parte effettivamente del dominio o della active directory ma anche e soprattutto che l’autenticazione degli utenti Linux (attenzione: utenti Linux, non utenti Samba) avvenga presso il Primary Domain Controller Windows.
Credo che questa possibilità sia molto interessante in quelle situazioni in cui si voglia introdurre Linux in un ambiente di rete già consolidato su piattaforma Windows, senza dover essere costretti a ridefinire tutti gli utenti nel nuovo ambiente.
Il contesto cui faccio riferimento è una rete scolastica, visto che è nelle scuole che svolgo la mia attività professionale, ma la soluzione prospettata può essere validamente attuata anche in altri ambienti.
Immagino già le obiezioni dei “puristi” circa l’opportunità di “convivere con il nemico” anziché sostituire i prodotti proprietari con software libero, da preferire per i motivi etici, filosofici, didattici, economici già più volte illustrati nelle pagine di questa rivista; il fatto è che molte volte questo non è possibile, o almeno non “subito”. In certi casi è necessario almeno un periodo di “affiancamento” nel quale introdurre gradualmente Linux ed il software libero anche per permettere che nel frattempo si formi e si diffonda una “cultura” sufficiente per l’uso proficuo e la gestione di questi strumenti.
La procedura qui esposta è stata usata su una RedHat 7.3 ma è applicabile anche su altre distribuzioni.
Dalla versione 8.0 RedHat permette di configurare il login su un dominio NT direttamente tramite il comando custom authconfig, rendendo queste operazioni decisamente più semplici.

CONFIGURARE GLI STRUMENTI NECESSARI
Winbind è un nuovo software entrato a far parte dell’insieme degli strumenti della suite Samba dalla versione 2.2.2 ed è contenuto nel pacchetto rpm samba-common. Ne fanno parte 2 librerie per il Name Service Switch (nsswitch) e il Pluggable Authentication Modules (PAM), un programma di utilità, wbinfo ed un demone, winbindd, che permettono agli utenti di accedere alla macchina Linux (e a quei servizi che prevedono l’autenticazione PAM) usando le informazioni di account già presenti in un Domain Controller Windows.
Più in dettaglio winbindd fornisce informazioni su utenti e gruppi NT a nsswitch che è un servizio presente ormai in tutte le moderne librerie C e che permette di ottenere i dati relativi ad utenti, gruppi ed host da vari tipi di fonti diverse (NIS, DNS e adesso anche Winbind); il servizio di autenticazione viene invece garantito dalla presenza di un apposito modulo PAM.
Vediamo le operazioni da compiere per raggiungere il risultato voluto (le prove sono state fatte su una macchina Linux con RedHat 7.3, Samba 2.2.3, inserita in una rete gestita da un PDC NT 4.0 denominato ANDREA:

1) Modifiche a smb.conf
Nel file di configurazione di Samba /etc/samba/smb.conf, inserire nella sezione [global] le seguenti direttive:
; nome del dominio NT
workgroup name = PALLADIO
; gestione password criptate
encrypt password = yes
; impostazioni sul server PDC
security = domain
password server = *
; impostazioni per il demone winbindd
winbind separator = +
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
template shell = /bin/bash
template homedir = /home/%D/%U

Qualche commento sulle opzioni che permettono di configurare il demone winbindd:
con winbind separator si imposta il carattere con cui si combinano nome di dominio e nome utente NT in modo da formare il nome utente Linux; è consigliato scegliere un carattere diverso da quello di default “\” che può dare problemi in quanto ha un significato speciale nella shell; la scelta del carattere “+” dovrebbe essere la migliore.
winbind uid e winbind gid permettono di impostare i range di ID utenti e gruppi che winbind utilizza per “rimappare” gli utenti e gruppi windows in utenti e gruppi Linux.
winbind enum users e winbind enum groups permettono di attivare l’enumerazione di gruppi e utenti.
template shell e template homedir permettono di definire rispettivamente la shell e la home directory degli utenti; si noti l’uso delle “variabili samba” %D = nome dominio NT e %U = nome utente NT (nel caso in esame l’utente PALLADIO+pippo avrà come home directory /home/PALLADIO/pippo).

2) Modifiche a nsswitch.conf
Nel file /etc/nsswitch.conf, contenente la configurazione del servizio nsswitch, occorre aggiungere winbind tra le sorgenti dei dati riguardanti utenti e gruppi.
Quindi le relative righe, che solitamente appaiono nel seguente modo:
passwd: files
group: files
devono divenire:
passwd: files winbind
group: files winbind

L’ordine con cui vengono elencate le fonti è significativo e in questo caso viene opportunamente lasciata la priorità nel reperimento delle informazioni ai file di sistema (passwd e group).

3) Modifiche ai file di configurazione del PAM
Questa è la fase più delicata e “pericolosa”: operazioni maldestre compiute sui file di configurazione contenuti in /etc/pam.d/, possono condurre all’impossibilità di effettuare il login o a permettere a tutti di entrare senza password o ad altri inconvenienti simili. E’ quindi opportuna una copia dei file che ci si accinge a modificare ed è anche consigliabile tenersi aperta una task di riserva come “root” in modo da poter tornare sui propri passi in caso i test non diano esiti positivi.
Sarebbe inoltre opportuno un approfondimento circa l’uso del PAM che è uno strumento molto versatile e potente ma che non è possibile effettuare in questa sede.
Vediamo quindi solo le modifiche che ho apportato nell’ambito delle mie prove:
nel file /etc/pam.d/system-auth ho aggiunto la riga
auth sufficient /usr/lib/security/pam_winbind.so
dopo la prima riga auth già presente e ho trasformata la riga
auth sufficient /lib/security/pam_unix.so likeauth nullok
in
auth sufficient /lib/security/pam_unix.so likeauth nullok use_first_pass
nel file /etc/pam.d/login ho aggiunto le seguenti due righe, rispettivamente come prima riga account e come ultima riga session required:
account sufficient /lib/security/pam_winbind.so
session required /lib/security/pam_mkhomedir.so skel=/etc/skel/ umask=0022

In particolare l’ultima è molto interessante in quanto fa si che venga creata automaticamente la home directory dell’utente nel momento in cui questo si collega per la prima volta alla macchina Linux; facendo riferimento alle impostazioni illustrate in precedenza, nel momento in cui si collega l’utente PALLADIO+pippo viene creata la sua home directory /home/PALLADIO/pippo (questo naturalmente se e solo se la directory /home/PALLADIO già esiste).
Un’ultima osservazione circa la modifica al file system-auth; essendo la sua configurazione usata in molti altri file di configurazione di PAM (e non solo in login) attraverso il modulo pam_stack, può essere una buona idea lasciarlo inalterato, copiarlo e modificare la copia nominandola ad esempio system-auth-winbind. Ovviamente i riferimenti al file system-auth contenuti nel file login dovranno essere opportunamente modificati.

4) Attivazione e test
Occorre prima di tutto inserire la macchina Linux nel dominio NT agendo sul server NT con il Server Manager ed eseguendo su Linux il seguente comando:
smbpasswd -j PALLADIO -r ANDREA -U Administrator
Se tutto va bene dopo aver digitato la password (che Administrator ha su NT) si ottiene il messaggio:
Joined domain PALLADIO
A questo punto si possono attivare i servizi smb e winbind e testare il buon funzionamento di quest’ultimo con i comandi
wbinfo -u
wbinfo -g

per ottenere rispettivamente l’elenco degli utenti e dei gruppi del dominio.
E’ anche possibile avere un elenco di tutti gli utenti e gruppi sia quelli del dominio che quelli “nativi” di Linux con i comandi:
getent passwd
getent group

Infine si può procedere alla prova più importante cioè quella di accreditamento sulla macchina Linux di un utente già esistente nel dominio NT; al login si scrive il nome utente secondo la sintassi stabilita (nel nostro caso “PALLADIO+pippo” ) e la password di quell’utente nel dominio NT.
Nel mio caso, al login appare un messaggio di errore: “[: too many arguments” abbastanza misterioso; non sono riuscito a stabilirne l’origine anche dopo ricerche in Internet, comunque non influisce in alcun modo sul buon esito delle operazioni effettuate dall’utente.
E’ anche possibile ottenere l’accreditamento degli utenti per altri tipi di servizi a patto che questi abbiano il supporto per il PAM; ad esempio nella macchina oggetto delle prove era attivo il login grafico con gdm e per ottenere che il meccanismo funzionasse anche in questa modalità è stato necessario aggiungere al file /etc/pam.d/gdm la linea:
session required /lib/security/pam_mkhomedir.so skel=/etc/skel/ umask=0022

CONCLUSIONI
Grazie all’uso di Winbind in associazione con gli altri strumenti di Samba gli amministratori di rete hanno la possibilità di far convivere piattaforme diverse sfruttando il data base di utenti e gruppi definito in un preesistente ambiente Windows.
Questa è una ulteriore conferma della bontà della scelta di GNU/Linux, e del software libero in generale, a livello di “apertura” e di possibilità di integrazione tra ambienti diversi. E’ inoltre una conferma dell’attenzione che gli sviluppatori di questi programmi dedicano a tali argomenti e del grande vantaggio che in questo settore il software libero ha nei confronti di molto software proprietario che molto spesso è caratterizzato da soluzioni chiuse se non addirittura “blindate”.

 

Dimensioni Hard Disk

24 Ottobre 2011 Commenti chiusi

Negli ultimi tempi, complice l’aumento di capacità degli har disk che ne evidenzia il fatto, si nota una discrepanza tra il valore dichiarato dai produttori di hard disk e quanto riportato dal sistema operativo. Ciò perchè i produttori esprimo la dimensione in Byte fatto che porta ad una virutale riduzione della capacità espressa in Gigabyte, la tabella seguente rende meglio l’idea del concetto

1 Byte = 8 Bit
1 Kilobyte = 1024 Bytes
1 Megabyte = 1048576 Bytes
1 Gigabyte = 1073741824 Bytes

assumendo il valore di destra come quello usato dal produttore ecco che nella conversione i dischi appaiono avere una capacità minore

RAID introduzione

24 Ottobre 2011 Commenti chiusi

Cos’è

Redundant Array of Independent Disks più noto al pubblico con il nome di RAID è una struttra costituta da un’insieme di dischi il cui scopo è quello di aumentare la tolleranza a guasti e l’integrità dei dati e/o, a seconda della tipologia adottata, aumentare le prestazioni di trasferimento dati.

Volendo semplificare potremmo dire che il principio cardine sui cui si basa tale tecnologia è “l’unione fa la forza”, di fatti il sistema combina le unità che lo compongo al fine di raggiungere l’obbiettivo prefisso apparendo al sistema operativo come un’unica unità.

Tipologie di RAID

Dalla sua nascita il sistema si sono aggiunti ulteriori livelli a quelli originari, i livelli più adotatti sono i seguenti:

RAID 0: denominato stripting, per il suo funzionamento sono necessari almeno due dischi, la loro combinazione genera un’unica unità la cui capacità totale è la somma delle unità che lo compongono. Nelle operazioni di accesso i dati vengono divisi tra i dischi il risultato finale è un’incremento delle prestazioni nelle operazioni di trasferimento dati. Tale sistema non offre nessuna tolleranza agli errori, è infatti sufficiente che uno dei dischi che lo componga si guasti per rendere irrecuperabile il contenuto dell’intero array.

RAID 1: denominato mirroring è il primo livello RAID che offrè affidabilità e protezione dei dati, occorrono almeno due dischi per realizzarlo e la capacità totale del sistema è pari alla capacità dell’unità più piccola che ne fa parte. Il suo funzionamento si basa sulla duplicazione dei dati, copie dei dati vengono sritte su tutte le unità che compongono l’Array, quindi più unità lo compongono maggiore è la protezione dei dati. Il sistema non offre nessun miglioramento delle prestazioni, anche se alcune implementazioni permettono di incrementare le prestazioni in lettura attingendo ai dati da più dischi contemporaneamente.

RAID 2: utilizza lo striping operando sui dati a livello di bit, ha differenza del raid 0 attraverso il codice di Hamming è in grado di rilevare errori a livello di bit e corregerli. Dato però l’elevato grado di affidabilità dei dischi è raramente utilizzato.

 

RAID 3: basato sul byte stripting introduce protezione per i dati, delle minimo tre unità che lo compongono due vengono gestite in stripting mentre la terza è riservata al controllo della parità. Ogni volta che un dato viene scritto viene generata una parità nel disco dedicato, in caso di rottura di una delle unità il contenuto mancante può essere recuperato utilizzando le unità rimaste e la parità. Nonostante ciò il sistema è raramente usato, l’accesso ai dischi è eseguito in parallelo e ciò impedisce hai dischi di operare in maniere indipendente.

RAID 4: molto simile al RAID 3, ma a differenza di questo opera per Block stripting (i byte vengono organizzati in blocchi ed elaborati come tali) e consente un accesso indipendente ai vari dischi dell’Array in funzione dei blocchi da recuperare.

 

RAID 5: opera a libello di Block stripting e permette l’accesso indipendente ai vari dischi in funzione dei blocchi da recuperare. In questa struttura tutti i dischi (minimo 3) sono in stripting, ha differenza di quanto accade nel raid 3 e 4 la parità viene distribuita su tutte le unità dell’Array.

Nelle operazioni di lettura la parità viene ignorata fino a quando l’Array non perde uno dei dischi o non si presenta un errore CRC, in questa circostanza i dati vengono riscostruiti “al volo” utilizzando i blocchi rimanti e quello di parità.

 

 

RAID 6: opera anch’esso a livello di Block striping, ma introduce una doppia parità, in questo Array infatti i dati di parità vengono distribuiti 2 volte sui due dischi diversi utilizzando la doppia parità, vengono cioè creati due tipi di parità diverse. Ciò aumenta la tolleranza agli errori ma di contro richiede un numero maggiori di dischi rispetto al raid 5 per operare al meglio.

RAID 0+1: richiede un minimo di quatto dischi ed è realizzato facendo il mirroring di due array striping.

 

 

RAID 1+0: richiede un numero minino di quattro dischi, ed è realizzatore fecendo lo striping di due array mirroring.

Perché

In un’ottica di protezione e sicurezza dei dati l’uso di un RAID è quasi palese.

Sistemi come il RAID 5, con l’aggiunta di tecnologie hotswap, oltre a garantire la continuità delle operazioni in caso di guasto di unità permettono persino la sostituzione a caldo ed una volta sostituito il sistema provvede alla ricostruzione dei dati mancanti senza richiedere il fermo operatività.

Sistemi come lo striping sono volti all’incremento delle prestazioni e sono indicati li dove è necessario lo spostamento e l’elaborazione di file di grandi dimensioni,

Migrare / Aggiungere Domain Controller Windows 2000

24 Ottobre 2011 Commenti chiusi

La procedura per l’aggiunta e/o la sostituzione del domain controller qui vista anche se effettuata su sistemi Windows 2000 Server è valida anche per l’ambiente Windows Server 2003.

 

Vediamo come sia possibile sosituire un Domain Controller, magari perché giunto alla fine della sua vita operativa, con un altro trasferendo a quest’ultimo il ruolo di master del dominio.

La procedura si articola in 4 fasi principali,

  1. promozione a Domain Controller del nuovo server
  2. installazione servizio DNS
  3. replica del Global Catalog nel nuovo Domain Controller
  4. trasferimento dei ruoli FSMO con “demotion” del vechio Domain Controller

Nel nostro esempio disponiamo di due server, entrambi con Windows 2000 Server SP4, li chiameremo DC01 e DC02. Il DC01 oltre ad essere domain controller nel dominio ha anche il ruolo di server DHCP nonché di file server, avremo quindi modo di vedere come trasferire i dati dai due DC mantenendo i permessi assegnati, inoltre abbiamo creato dei degli utenti e aggiunto un computer in modo da rendere più realistico l’esempio.

Fig. 1 DC01 ed elementi di active directory creati ad esempio

Fig. 2 il client aggiunto al domino mostra il server a cui l’utente ha fatto logon

 

Parametri

I parametri del nostro esempio sono:

Nome dominio: nxproject.local

Primo Domain Controller

Nome dc01.nxproject.local
IP 192.168.1.1
Subnet 255.255.255.0
DNS 192.168.1.1

Secondo Domain Controller

Nome dc02.nxproject.local
IP 192.168.1.2
Subnet 55.255.255.0
DNS 192.168.1.1 prima della promozione
DNS 192.168.1.2 dopo la promozione

Client

Nome nxclient01.nxproject.local
IP DHCP
Subnet DHCP
DNS DHCP

 

1 Promozione del Nuovo Domain Controller (DC02)

Avviamo la procedura di elevazione a controller di dominio, (Start –à Esegui digitare dcpromo.exe e premere invio) seguiamo il wizard per la promozione, quando richiesto scegliere la voce Controller aggiuntivo di dominio in un dominio esistente” e proseguire (fig. 3)

Fig 3. opzione aggiunta controller

A questo punto ci viene richiesto di indicare un account per il dominio specifico, (fig. 4)

Fig 4 credenziali per il dominio specificato

Proseguendo ci viene chiesto di indicare il nome dns del nostro dominio, che in questo caso sarà nxprojec.local (fig. 5)

Fig 5. indicazione del nome dns del dominio

Proseguiamo con l’operazione confermando i dati che ci vengono indicati, come una normale operazione di promozione a Domain Controller.Terminata la procedura e riavviato il server DC02, portiamoci sul DC01 e apriamo “Utenti e computer di Active Directory” , selezioniamo “domain controller” e troveremo oltre al DC01 anche il DC02 (fig. 6), facendo la stessa operazione dal nuovo domain controller avremmo ovviamento lo stesso risultato.

Fig 6. il nuovo Domain Controller è presente in active directory

Ora il server è stato aggiunto ed è un controller di dominio ma ci sono ancora dei passi fondamentali prima spegnere il vecchio server.

2 Installazione server DNS

Prima di iniziare l’installazione del server DNS su DC02 è necessario attivare e/o verificare che sia attivo il trasferimento di zona

Fig 7. Verifica trasferimento di zona

Verificare che Consenti trasferimenti di zona” si attiva, selezionando la voce “a qualsiasi server” il DNS verrà replicato a tutti i server DNS della rete, “solo a server elencati nella scheda dei server de nomi” replicae il DNS solo ai server elencati nella scheda, “solo ai seguenti server” replica solo hai server che vengono specificati di seguito, al termine selezionare “OK” e passiamo a DC02 da pannello di controllo, installazione applicazioni selezioniamo “installazione componenti di Windows” , “Servizi di rete” click su dettagli e selezioniamo “Domain Name System (DNS)”

Fig 8. Installazione servizio DNS su DC02

Confermiamo la selezione con “OK”, click su “Avanti” . Al termine dell’installazione il server dns su DC02 dovrebbe contenere già una replica del DNS

Fig 9. DNS installato e pronto su DC02

Ora impostiamo come server DNS preferito l’indirizzo IP di DC02 .

Fig 10. Impostazione server DNS preferito

3 Trasferire il Global Catalog

L’impostazione che consente la replica del Global Catalog è possibile configurarla da uno qualunque dei due domain Controller, apriamo “Siti e servizi di Active Directory” espandiamo “Sites”, espandiamo “Nome-predefinito-primo-sito”, espandiamo “server” e seleziona DC02, sulla sinistra selezioniamo “NTDS Settings” con il tasto desto e selezioniamo la voce “proprietà”, ora attiviamo la voce “Catalogo Globale” ie confermiamo la schermata.Importante la replica del Global Catalog non è immediata, il tempo varia sia in base alle impostazioni del server sia in base alla complessa della rete, ad ogni modo per avere un’idea del tempo necessario, accedendo al registro degli eventi in “directory service” e cercare l’evento 1110 con origine “NTDS General”

Fig 11.

Si potrà avere una stima del tempo necessario per completare l’operazione di elevazione del server a Global Catalog Una volta che DC02 è Global Catalog procediamo con la rimozione del Global Catalog da DC01, in maniera analoga all’operazione svolta per elvare DC02 a Global Catalog, accediamo quindi a “Siti e servizi di Active Directory” ,“Sites”, “Nome-predefinito-primo-sito”, “server” e seleziona DC01, sulla sinistra selezioniamo “NTDS Settings” con il tasto desto e selezioniamo la voce “proprietà”, togliere il flag alla voce “Catalogo Globale” e confermiamo la schermata, come prima l’operazione non è immediata. Per sapere quando è terminata accedere al registro degli eventi di DC01, “directory Service” e cerchiamo l’evento 1119 origine NTDS Service

Fig 12.

Inolte è possibile trovare un avviso sempre in “directory services” 1534 origine “NTDS General” indicando l’incompatibilità per il vecchio server di essere master del Dominio e non Global Catalog

4 Trasferimento dei ruoli FSMO

Passiamo all’ultima fase, il trasferimento dei ruoli FSMO al nuovo server, questa procedurà può essere eseguita in due modi, il primo attraverso lo wizard per il demotion che disinstallerà active directory trasferendo automaticamente i ruoli al nuovo server, il secondo metodo consiste nel trasferimento manuale attravesrso lo strumento ntdsutil.exe operazione che può essere utile per la promozione di un secondo domain controller qualora il primo debba improvvisamente cessare di essere operativo, o se si volesse mantenere l’attuale domain controller. Qual’ora il primo domain controller sia anche file server o server DHCP ritengo opporturno trasferire i dati se file server e le impostazioni sulla configurazione dell’eventuale DHCP server, per tali operazioni potete consultare la nostra documentazione ai seguenti link

4.1 Utilizzo FSMO

Analizziamo entrambi i metodi, iniziamo con il ntdsutil.exe.Portiamoci sul vecchio server dopo aver installato i suppot tools , scaricabili qui per windows 2000 e qui per windows 2003, andiamo su start -> programmi -> Windows support Tool -> tools -> command prompt ed inserire i seguenti comandi

ntdsutil
roles
connections
connect to server DC02
quit

Fig. 13 ntdsutil.exe

ora siamo connessi al server DC02, ovviamente al comando connect to server DC02 dovrete sostituire DC02 con il nome del vostro server, procediamo ora all trasferimento dei ruoli

transfer domain naming master
transfer infrastructure master
transfer pdc
transfer rid master
transfer schema master

quit
quit

ora abbiamo definitivamente trasferito tutti i ruoli al nuovo domain controller, se vogliamo effettuare una verifica al prompt dei comandi digitiamo netdom query fsmo

Fig. 14 query netdom

questa procedura è consigliata nel caso in cui si voglia mantenere ancora operativo il vecchio server, magari come secondo domain controller oppure nel caso un cui si vogliano trasferire i ruoli ad altro server nel caso in cui quello attuale non sia operativo, infatti anche se trasferice i ruoli resta poi un’operazione di “pulizia” da effettuare sul nuovo domain controller, operazione volta alla eliminazione dei record dns ancora presenti nonché le voci in “siti e servizi di active directory” .

4.2 Disinstallazione Active Directory

Ora vediamo come è possibile abbassare il vecchio server e trasferire automaticamente i ruoli FSMO al nuovo attraverso la procedura di disinstallazione di active directory Portiamoci sul vecchio server start -> esegui -> dcpromo e premiamo invio, procediamo con Avanti

Nella schermata “Rimozione di active directory” è importante NON attivare “Questo server è l’ultimo controller di dominio nel dominio” e andiamo su “Avanti” indichiamo la password che avrà l’utente administrator locale al termine dell’operazione e andiamo “avanti”.

Fig. 15 disinstallazione AD

Ora è iniziata la procedura di disinstallazione di active directory dal nostro DC, al termine riavvio la macchina.Al termine portiamoci sul nuovo DV, apriamo il prompt dei comandi dei support tools e digitiamo Netdom query fsmo , vedremo che il nuovo DC è divenuto automaticamente detentore dei ruoli.

Fine

Abbiamo terminato, una base alla procecedura scelta possiamo ora decidere di mettere a nanna il vecchio server o mantenerlo operativo per un DC di backup per active directory, qual’ora il server fosse un server DHCP (come nell’esempio) o magari sia anche un file server vi rimandiamo a i seguenti articoli su come migrare la configurazione del server DHCP e come trasferire condivisioni, file e cartelle tra i due server.

Explorer.exe impossibile aprire

24 Ottobre 2011 Commenti chiusi

di recente, principalmente a causa di software malevolo è possibile imbattersi nel seguente errore cercando di avviare Internet Explorer “impossibile aprire internet explorer o uno dei suoi componenti …” , fortunatamente è di semplice risoluzione, vediamo come.

Click su Start selezioniamo e click Esegui , digitiamo regedit.exe , premiamo OK

a questo punto posizioniamo alla seguente posizione:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Verificare la presenza di una chiave denominata Explorer o Explorer.exe e rimuoverla.

Riavviare il computer.

 

Associare / Riassociare .exe

24 Ottobre 2011 Commenti chiusi

Prima di tutto dobbiamo sapere cosa dobbiamo ripristinare e cioè conoscere le chiavi di registro così come erano in origine, in questo ci è di aiuto filext.com da dove possiamo scaricare il file .reg relativi al sistema operativo che abbiamo in uso .

Una volta scaricato il file possiamo fare doppio click e confermare l’unione del chiavi al registo, qualora però l’operazione non riesca a casusa dell’impossibilità di avviare regedit.exe possiamo usare due escamotage

2 facciamo click con il tasto destro del mouse sul file .reg scaricato, selezioniamo la voce “Apri con” ed andiamo a cercare regedit.exe tramite il pulsante “SFOGLIA” e posizionandoci nella cartella di Windows o %windir%, selezioniamo regedit.exe, confermiamo ora l’unione delle nuove stringe al registro di sistema, a questo punto non ci resta che riavviare il computer

1 rinominiamo regedit.exe in regedit.com, start –> esegui, digitiamo cmd e premiamo OK, al prompt dei comandi digitiamo ren %windir%\regedit.exe regedit.com e premi invio

Abilitare il comando Telnet in Windows Vista

24 Ottobre 2011 Commenti chiusi

Telnet, protocollo ormai datato ma spesso usato per troubleshooting in caso di problemi o anche per configurare alcuni apparati è di default disabilitato in Microsoft Windows Vista, ma è possibile attivarlo con pochi passaggi.

Da Pannello di controllo -> Programmi e funzionalità -> Attivazione e disattivazione delle funzionalità Windows -> Spuntare “Client Telnet”.

Inoltre, dalla finestra “Attivazione e disattivazione delle funzionalità Windows” si possono abilitare/disabilitare molte altre funzionalità!

fonte: Stefano Bellisario – www.sysadmin.it

Windows Vista Impossibile rinominare file e cartelle in rete

24 Ottobre 2011 Commenti chiusi

è possibile che accedendo a degli share di rete sia possibile creare nuove cartelle o file ma che risulti poi impossbile modificarne il nome, in tal caso è necessario modificare/aggiungere la seguente chiave di registro

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CSC\Parameters “FormatDatabase”=dword:00000001

Fonte Adriano Arrigo www.sysadmin.it

Riattivare opzioni in Proprietà-schermo

24 Ottobre 2011 Commenti chiusi

È possibile che nel tentativo di comabiare le impostazioni dello sfondo eldesktop non sia possibile accedere a delle opzioni, risulterà quidni impossibile cambiare lo sfondo o accedere ad alcune opzioni.

 

La causa è una chiave di registro che può essere stata impostata sia da malware o virus che da un criterio amministrativo

 

I Valori di tipo DWORD sono presenti in due posizioni

 

User key

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

System Key

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System

e sono

Nome valore Descrizione Valori
NoDispCPL impedisce il funzionamento dell’icona Schermo nel Pannello di controllo 1 = attivato e 0 = disattivato
NoDispBackgroundPage impedisce la visualizzazione della scheda Sfondo 1 = attivato e 0 = disattivato
NoDispScrSavPage impedisce la visualizzazione della scheda Screen saver 1 = attivato e 0 = disattivato
NoDispAppearancePage impedisce la visualizzazione della scheda Aspetto 1 = attivato e 0 = disattivato
NoDispSettingsPage impedisce la visualizzazione della scheda Impostazioni 1 = attivato e 0 = disattivato

 

Per maggiori informazioni kb921049

Modificare percorso cartella Programmi

24 Ottobre 2011 Commenti chiusi

E’ possibile che si renda necessario modificare il percorso della cartella programmi, tale impostazione è modificabile tramite il valore ProgramFilesDir in:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

Un altro valore sui cui può essere utile intervenire è CommonFilesDir che indifca la posizione dei file comnuni, quella che di degault è %programfiles%\file comuni

Per amggiori informazioni kb933700

Richiesta hotfix

24 Ottobre 2011 Commenti chiusi

Alcune volte si rende necessaria l’insallazione di alcune hotfix che possono essere di difficle reperimento, questo caso possiamo usare i seguenti strumenti

https://support.microsoft.com/hotfix/KBHotfix.aspx?kbnum=HOTFIX

 

 

dove hotfix il numero della KB interessata.

 

Inoltre per la ricerca KB e altra documentazione è possibile usare

https://support.microsoft.com/search/?adv=1

Disconnessione unità di rete

24 Ottobre 2011 Commenti chiusi

Capita di problemi causati dalla disconnessione automatica delle unità di rete mappate nei client Windows 2000 e Windows XP, in tale circostanze è possibile intervnire nel registry del/dei client incriminati per modificare tale comportamento lavorando anche sui tempi di disconnessione.

Nel registro portarsi alla seguente posizione
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

creare il valore KeepConn come segue
Value: KeepConn
Data type : REG_DWORD
Range : 1 to 65535 (sec)
Default value: 600 sec = 10 mins

modificare o creare il valore autodisconnect assegnandogli come dato ffffffff

Maggiori informazioni alla kb294684

PDF, impossibile aprire in Internet explorer

24 Ottobre 2011 Commenti chiusi

In alcune circostanze può capitare che non si riesca ad aprire un file PDF all’interno della finestra del browser Internet Explorer, il problema è spesso causato dall’installazione di due versione, per lo più sia il reader che la versione professional, per ovviare a ciò è sufficiente modificare la seguente chiave di registro:

aprire regedit (start -> esegui, regedit.exe e premere ok)

HKEY_CLASSES_ROOT\Software\Adobe\Acrobat\Exe

modificare il valore di (Predefinito) affinchè corrisponda al percorso del programma che si vuole sare per apire i file PDF

Outlook completamento automatico indirizzi

24 Ottobre 2011 Commenti chiusi

La capacità di autocompletamento degli indirizzi in Microsoft Outlook non è legata al database, per cui quando reinstalliamo il sistema, oppure in ufficio un utente cambia il computer nonstante il ripristono delle mail e degli account tale funzione risulta non ripristinata, tale cache infatti si trova in un file con estensione .nk2 che si trova in c:\Documents and Settings\<user>\Application Data\Microsoft\Outlook

È sufficiente copiare il il file outlook.nk2 e ripristinarlo nella nuova installazione o nel vuovo computer.Come si vedrà nella cartella ci sono anche altri file, vediamo brevemente cosa sono e se puo essere utile recuperarli.

.srs contiene le impostazioni per le opzioni di invio/ricezione ma non l’account

.xml contiene alcune personalizzazione fatte all’interfaccia di Outlook

.dat personlizzazione barre degli strumenti e menu

Per chi volesse consultare la documentazione Microsoft in merito puoi andare qui troverà anche un elenco e descrizioni di altri file utili di Microsoft Outlook

Outlook 2003 e 2007, dimensioni PST

24 Ottobre 2011 Commenti chiusi

Il nuovo formato di file pst (file in formato UNICODE) introdotto a partire da Office 2003 permette di superare quello che ha volte diventa un odioso problema, cioè il limite dei 2GB di dimensioni.

Nelle versioni precedenti, e di default anche nelle versioni 2003 e 2007, tale limiite è impostato a 2GB che raggiunto non pemette di continuare le normali operazioni, era quindi pratica sovente archiviare le mail in altro database, ora invece possiamo modificare tale valore aggiugendo/modificando delle chiavi di registro:

MaxLargeFileSize REG_DWORD 0x00000001 – 0x00005000 0x00005000 20.480 (20 GB)
WarnLargeFileSize REG_DWORD 0x00000000 – 0x00005000 0x00004C00 19.456 (19 GB)
MaxFileSize REG_DWORD 0x001F4400 – 0x7C004400 0x7BB04400 2.075.149.312 (1,933 GB)
WarnFileSize REG_DWORD 0x00042400 – 0x7C004400 0x74404400 1.950.368.768 (1,816 GB)

Le chiavi MaxLargeFileSize e WarnLargeFileSize si riferiscono al nuovo formato del file pst mentre le chiavi MaxFileSize e WarnFileSize si riferisto ai file ost, la loro posizione nel registro è

Outlook 2007

HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Outlook\PST

HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Outlook\PST

Outlook2003

HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\11.0\Outlook\PST

HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Outlook\PST

Per maggiori informazioni le KB Microsoft relative all’argomento sono

KB832925 Configurazione del limite di dimensione dei file con estensione pst e ost in Outlook 2007 e in Outlook 2003

KB830336 Formato di file e limite di dimensioni della cartella del file pst diversi in Outlook 2007 e Outlook 2003

per intervenire su eventuali problemi del database pst inoltre sono disponibile le seguenti KB

KB867807 Gli utenti di Outlook 2003 possono non essere in grado di utilizzare Outlook nella modalità non in linea