Marco Protasi

System Center Operations Manager è lo strumento di monitoraggio di infrastruttura prodotto da Microsoft in grado di monitorare applicazioni e hardware e dei servizi in cloud quali Windows Azure

Attualmente la versione disponibile è la SCOM 2007 R2 ma da novembre è disponibile la RC della System Center Operation Manager 2012 (SCOM2012)

Il monitoraggio e analisi della propria infrastruttura è un’operazione essenziale per essere pronti e reattivi difronte alle problematiche di gestione nonché per avere costantemente il polso dello stato di salute della propria rete/servizi.

Per chi già usa la precedente versione e pensa ad un aggiornamento qui una checklist da seguire

Alcune delle funzionalità

• Scansione rete, monitoraggio e report
• supporto SNMP v3
• supporto IPv4 and IPv6
• Monitor per Interfeccie:, stato up/down , Traffico, statistiche di utilizzo, traffico broadcast
• Nuova dashboard
• nuove cmd-let per PowerShell

Requisiti hardware in base ai ruoli installati

Altre Requisiti per l’installazione sono

Supported Operating Systems: Windows Server 2008 R2

• Any server role
  • .NET 3.5 or 4.0
• Management Server, Reporting Server, Web Console, Gateway Server
  • Windows Server 2008 R2 (64 bit)
• Operational & Data Warehouse
• SQL 2008 SP1 and above
• SQL Collation – SQL_Latin1_General_CP1_CI_AS
• Agent
• Windows Server 2003 SP2 and above
• Windows Server 2008 SP2 and above
• Windows Server 2008 R2
• Windows XP Professional SP3 and above
• Windows Vista SP2 and above
• Windows 7

Maggiori informazioni e documentazione

https://technet.microsoft.com/it-it/library/hh205990(en-us).aspx

Microsoft System Center Operations Manager 2012 Overview

Sito ufficiale di System Center Operations Manager

TechCenter dedicato a Operations Manager

Video Archives from the Best of the Microsoft Management Summit, Belgium – June 15, 2011

Checklist: Distributed Upgrade (Simple)

Tramite PowerShell è possibili attivare l’invio anomino con una semplice riga di comando, ovviamente è bene valutare pro e contro prima di consentire tale diritto.

Consentire Invio anonimo

Get-ReceiveConnector “Default SERVERNAME” | Add-ADPermission -User “NT AUTHORITY\ANONYMOUS LOGON” -ExtendedRights “ms-Exch-SMTP-Accept-Any-Recipient”

Disabilitare l’invio anonimo

Get-ReceiveConnector “Default SERVERNAME” | Remove-ADPermission -User “NT AUTHORITY\ANONYMOUS LOGON” -ExtendedRights “ms-Exch-SMTP-Accept-Any-Recipient”

Personalmente trovo molto utile l’utilità di ripristino configurazione, sia per tornare ripristinare un punto funzionante: vuoi per infezione virus/malware, vuoi per altri motivi.

Altrettanto valida è l’altra parte, la creazione di un punto di ripristino, magari prima di installare un software o effettuare una modifica di configurazione.

Windows XP

Start->Tutti i Programmi (o Programmi) –>Accessori –> Utilità di Sistema –> Ripristino Configurazione di sistema

Selezionare “Crea un punto di ripristino” e poi “Avanti”

Windows Vista/7

1 Pannello di Controllo

2 Sistema

3 Impostazioni di Sistema avanzate

4 Protezione Sistema

5 Pulsante “Crea”

Ripristino

Per il rispristino sia in Windows XP, Vista , 7 è possibile usare rstrui.exe

Come già analizzato in questo precedente post si parlava della necessità di disabilitare il Media Sense per risolvere l’ ID event 1054 “Impossibile ottenere il nome del controller di dominio della rete. Il dominio specificato non esiste o è impossibile contattarlo. Elaborazione Criteri di gruppo interrotta.”

In questi giorni, causa anche l’installazione di alcuni nuovi client verso dei client con necessità di downgrade ad Windows XP ho visto l’errore ricorre con sistematica presenza, facendo quindi una ricerca tra le KB Microst trova la kb326152 che tratta proprio i casi in questione:

Windows XP-based systems that use Gigabit Ethernet devices may not be able to log on to an Active Directory domain, which aborts the Group Policy download process. When this occurs, a series of events are written to the event log

La soluzione proposta è proprio la disabilitazione della funzionalità media Sense

riporto anche qui la Key Reg

HKEY_LM\System\CurrentControlSet\Services\Tcpip\Parameters\

Creare la chiave DisableDHCPMediaSense di tipo REG_WORD Valore 1

I possibili valori sono

1 Media sense disabilitato

0 Media sense abilitato

In alcune circostante è utile, se non addirittura necessario, ripristinare le impostazioni di protezione ai modelli di default.

La procedura è semplice, i tempi variano a seconda delle prestazioni della macchina:

Windows XP

Dal prompt dei comandi:  secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose

Windows Vista/7

Dal prompt dei comandi: secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

La procedura necessità di diritti amministrativi

Parametri di Secedit , tratti dalla kb313222

/configure: Specifica che le opzioni di protezione del sistema vengono impostate da Secedit.exe.

/DB file_name: Fornisce il percorso di un database contenente il modello di protezione da applicare. È un argomento obbligatorio. Tuttavia, il file di database non deve necessariamente esistere se si utilizza il parametro /CFG per specificare un modello di protezione. /CFG file_name: Questo argomento è valido solo se viene visualizzato con il parametro /DB. Si tratta del percorso del modello di protezione che verrà importato nel database e applicato al sistema. Se questo argomento non è specificato, viene applicato il modello già archiviato nel database.

/overwrite: Questo argomento è valido solo se viene utilizzato anche l’argomento /CFG. L’argomento specifica se il modello di protezione nell’argomento /CFG sovrascrive qualsiasi modello o modello composito archiviato nel database anziché aggiungere i risultati al modello archiviato. Se non è specificato, il modello nell’argomento /CFG viene accodato al modello archiviato.

/areas NomeArea1NomeArea2…: Specifica le aree di protezione da applicare al sistema. Il valore predefinito è relativo a tutte le aree. È necessario inserire uno spazio tra un’area e l’altra

NomeAreaX	Descrizione
SECURITYPOLICY	Criterio locale e criterio di dominio per il sistema. Sono inclusi i criteri account, i criteri di controllo e altri.
GROUP_MGMT	Impostazioni dei gruppi con restrizioni per tutti i gruppi specificati nel modello di protezione.
USER_RIGHTS	Diritti di accesso degli utenti e concessione di autorizzazioni.
REGKEYS	Protezione delle chiavi del Registro di sistema locale.
FILESTORE	Protezione dell’archivio file locale.
SERVICES	Protezione di tutti i servizi definiti.

Nota Ogni area coincide con un nome analogo nel modello di protezione.

/log percorsoregistro È possibile utilizzare questo parametro per configurare il percorso del file di registro utilizzato per tenere traccia delle modifiche.

/verbose: specifica informazioni dettagliate sullo stato di avanzamento.

/quiet: limita la quantità di commenti visualizzati durante l’aggiornamento e nel file registro

 

Guida in linea disponibile %windir%\help\secedit.chm

Rifemento kb313222

Tombstone-Lifetime è il tempo, numero di giorni, dopo il quale un oggetto viene rimosso da Active Directory, un oggetto cancellato infatti può essere ripristinato entro tale tempo.

E’ importante che tale tempo sia superiore a quanto ne occorre per una replica completa nella propria foresta in quanto il tombstone (dove sono collocati temporaneamente gli oggetti AD cancellati) viene replicato tra i DC, il superamento del Tombstone-Lifetime causa la cancellazione dell’oggetto quindi impossibilità di recupero.

Le modalità di ripristino di oggetti e dei loro attributi variano a seconda della versione di Windows, e bisogna arrivare a Windows 2008 R2 per avere un Cestino di Active Directory.

Il Tombstone-Lifetime determina anche la validità di un backup SystemState, infatti la procedura di recovery non supporta il ripristino di un SystemState più vecchio del Tombstone-Lifetime della foresta.

Questi i valori di default

Windows 2000 Server 60

Windows Server 2003 w/o SP 60

Windows Server 2003 SP1/2180

Windows Server 2003 R2 (SP1) 60

Windows Server 2003 R2 SP2 180

Windows Server 2008/2008R2 180

L’impostazione può essere modificata operando sullo schema di Active Directory

Alcune risorse collegate

• Tombstone-Lifetime attribute
• Useful shelf life of a system-state backup of Active Directory
• Changing the Tombstone Lifetime Attribute in Active Directory
• Active Directory Recycle Bin Step-by-Step Guide
• How to restore deleted user accounts and their group memberships in Active Directory
• Performing an Authoritative Restore of Active Directory Objects

Aprendo dei documenti Word viene visualizzato un messaggio di errore quando si tenta di aprire un file che è stato bloccato dalle impostazioni dei criteri del Registro di sistema.

Si sta tentando di aprire un tipo di file bloccato dall’impostazione dei criteri del Registro di sistema.

Prosegui la lettura…

Spesso parlando con amici/colleghi o clienti IT-PRO scopro che non conosco una risorsa molto utile sia per conoscere le novità dei prodotti Microsoft che per un un approccio alle varie tecnologie, questa risorsa è Microsoft BE IT dove è possibile trovare webcast, eventi registrati in streaming sulle tecnologie Microsoft.

Usando i Roaming Profoli di default l’accesso alle directory dei profili è riservato al solo utente proprietario, tuttavia per motivi di gestione e supporto può essere utile poter accedere a tali directory. Per fare ciò basta creare una Policy da applicare al DC.

Prosegui la lettura…

La struttura di Active Directory è di tipo multimaster, (da qui l’abbandono del concetto PDC-BDC in uso hai tempi di Windows NT Server) tuttavia ci sono alcune operazioni, tipo la gestione di conflitti nella modifica degli oggetti, che necessitano di poter contattare un’autorità e cioè un Domain Controller che nell’intero dominio può eseguire una data operazione.

Questi ruoli sono chiamati FSMO Flexible Single Master Operation ed i Domain Controller che li detengono sono definiti Operations master roles

Prosegui la lettura…

Powershell è un importante strumento di configurazione e spesso più rapido dell’interfaccia grafica, ecco due righe su come abilitare il pop3 via powershell per Exchange 2007

Prosegui la lettura…

E’ stata rilasciata l’ultima  versione Linux Integration Services 3.2 per Virtual Machine Linux in ambiente Hyper-v. Le novità e fix sono :

Driver support: Linux Integration Services supports the network controller and the IDE and SCSI storage controllers that were developed specifically for Hyper-V.

Fastpath Boot Support for Hyper-V: Boot devices now take advantage of the block Virtualization Service Client (VSC) to provide enhanced performance.

Timesync: The clock inside the virtual machine will remain synchronized with the clock on the virtualization server with the help of the pluggable time source device.

Integrated Shutdown: Virtual machines running Linux can be shut down from either Hyper-V Manager or System Center Virtual Machine Manager by using the “Shut Down” command.

Symmetric Multi-Processing (SMP) Support: Supported Linux distributions can use up to 4 virtual processors (VP) per virtual machine.

Heartbeat: Allows the virtualization server to detect whether the virtual machine is running and responsive.

KVP (Key Value Pair) Exchange: Information about the running Linux virtual machine can be obtained by using the Key Value Pair exchange functionality on the Windows Server 2008 virtualization server.

Integrated Mouse Support: The cursor is no longer bound to the VMConnect window when used with the Linux Graphical User Interface

Con questo rilascio viene aggiunto il supporto alle versioni

• Red Hat Enterprise Linux 6.0 and 6.1 x86 e x64 (Up to 4 vCPU)
• CentOS 6.0 x86 e x64 (Up to 4 vCPU)

Versioni precedentemente supportate

• SUSE Linux Enterprise Server 10
• Red Hat Enterprise Linux 5

Reequsiti dell’Hypervisor sono:

• Windows Server 2008, Windows Server 2008 R2, Windows Server 2008 R2 SP1Windows Server 2008 with Hyper-V RTM Update (KB950050) applied Microsoft Hyper-V Server 2008
• Windows Server 2008 R2 Hyper-V RTM
• Microsoft Hyper-V Server 2008 R2 RTM

Link

Linux Integration Services Version v3.2 for Hyper-V

Microsoft Hyper-V Server 2008R2 SP1

Un’interessante post di Ermanno su come ripristinare l’accesso amministrativo ad un sistema in maniera off-line. Ritengo la procedura valida anche se invece di un virtual disk accediamo ad un disco fisico.

Il post completo qui

Un’interessante post sul Blog di Piergiorgio Malusardi su Cloud e Storage, utile come spunto di analisi nella valutazione per l’implementazione di soluzioni storage

Costruire un private cloud: ancora sullo storage

Un interessante articolo sul Power Manangement tramite Group Policy

https://blogs.technet.com/b/askds/archive/2008/03/17/managing-power-with-group-policy-part-1-of-3.aspx

Event ID 1054 Windows cannot obtain the domain controller name for your computer network

Durante il deploy di software tramite GPO (operazione eseguita tra l’altro in remoto) mi ritrovo questo errore su di un client connesso con cablaggio in cavo in fase di avvio e che spesso proprio a causa di questo non riusciva ad applicare le policy machina. Ed infatti non eseguiva l’installazione del software.

Prosegui la lettura…

Successivamente ad una migrazione d Windows 2003R2 a Windows 2008  mi viene segnalato un problema abbastanza anomalo, ad un certo punto viene persa la connessione delle unità mappata, programmi che hanno i file aperti verso il server (doc, xls ecc…) devono essere terminati o richiedono il salvataggio in altro percorso.

Dalle verifiche emerge che tentando di ristabilire le connessioni verso il server è richiesta l’autenticazione, riavviando il client tutto torna normale. All’inizio quello che sembrava un problema sporadico mostra un proprio schema e cioè il problema si manifesta ad un intervallo di tempo ben preciso dall’ultimo login, la causa: scadenza del Ticket Kerbero rilasciato al momento del login

Prosegui la lettura…

Due righe su come attivare RDP (Desktop Remoto) tramite una Group Policy. Bene ricordare che se, opzione consigliata, il firewall dei client è lasciato attivo è necessario creare una eccezione per il Desktop Remoto, quindi possiamo creare una policy con entrambe le impostazioni.

1 Eccezione per l’RDP

Computer Configuration > Administrative Templates > Network > Network Connections > Windows Firewall > Domain Profile > Windows Firewall: Allow Remote Desktop Exception

2 Attivazione RDP

Computer Configuration > Administrative Templates > Windows Components > Terminal Services > Allow users to connect remotely using Terminal Services

In windows 2008 e successivi il punto 2 cambia come segue:

Configuration > Administrative Templates > Windows Components > Remote Desktop Services >Connections ed impostare  ‘Allow users to connect remotely using Remote Desktop Services su Enabled

Su Technet, potete trovare la prima parte dell’articolo di Ermmano Golleto dedicata alla gestione di Hyper-V tramite tool nativi o di terze parti.

Hyper-V: panoramica e principali strumenti per la gestione locale

Blog di Ermmano dove è possbile trovare anche altri link con tool ed in per la gestione di Hyper-V

Un’utile link da cui è possibile fare il download di file xls che contengono interessanti informazioni sulle policy quali: nomi file template delle policy,scope di applicazione, nome della policy, chiavi di registry interessate, se richiede riavvio o logoff ecc…

https://www.microsoft.com/download/en/details.aspx?id=25250