Windows Server 2022: Configurazione Server DHCP

Terminata l'installazione del ruolo Server DHCP è necessario procedere alla sua configurazione. Dopo l'installazione, accanto al link delle notifiche (l'icona della bandierina) di Server Manager apparirà un triangolo giallo con un punto esclamativo ad indicare che c'è un'operazione da portare a termine.

Cliccare sulla bandierina delle notifiche quindi sul link Completa configurazione DHCP.

FIG 1 - Server Manager

Verrà avviata la configurazione guidata post-installazione DHCP con una breve descrizione delle operazioni da eseguire. Cliccare su Avanti.

FIG 2- Configurazione guidata post-installazione DHCP

Dato che al momento non è ancora disponibile il servizio di Dominio Active Directory, selezionare l'opzione Ignora Autorizzazione Active Directory e cliccare su Commit.

FIG 3 - Autorizzazione

Nel caso compaia una finestra di errore ignorarla e chiuderla. Dato che non è ancora installato il ruolo di Active Directory, il server DHCP non potrà distribuire alcun indirizzo. Al termine dell'installazione cliccare sul pulsante Chiudi.

FIG 4 - Riepilogo

Dal menu Strumenti di Server Manager cliccare su DHCP.

FIG 5 - Server Manager, Strumenti

Fare clic sulla freccia accanto al nome del server e poi sulla freccia accanto a IPv4.

FIG 6 - DHCP

Fare clic con il pulsante destro del mouse su IPv4 e scegliere Nuovo ambito. Un ambito DHCP definisce gli indirizzi IP disponibili per il leasing ("l'affitto") ai sistemi che si trovano sulla sottorete definita. Per ogni sottorete della rete è necessario definire un ambito DHCP separato prima di poter assegnare indirizzi IP ai sistemi che si trovano in quella sottorete.

FIG 7 - Creazione Nuovo ambito

Nella finestra di benvenuto alla procedura guidata del nuovo ambito, scegliere Avanti.

FIG 8 - Creazione guidata ambito

Nella schermata Nome dell'ambito, è possibile lasciare vuota la descrizione e fare clic su Avanti. Per questo esempio, all'ambito verrà assegnato il nome Skyscraper1.

FIG 9 - Nome ambito

Nella finestra successiva, Intervallo indirizzi IP, inserire il pool di indirizzi che si intende far gestire al server DHCP e la maschera di sottorete, quindi cliccare su Avanti per proseguire. Per questo esempio è stato creato un ambito molto piccolo. Normalmente l'ambito sarebbe molto più ampio, potenzialmente un'intera subnet.

FIG 10 - Intervallo indirizzi IP

Nella schermata Aggiungi esclusioni e ritardo, digitare gli indirizzi (o intervalli di indirizzi) che non dovranno essere distribuiti dal server. È possibile inserire un indirizzo di router o altri indirizzi di dispositivi che esistono nell'ambito ma che non devono essere assegnati da questo server. Inserito l'indirizzo o l'intervallo di indirizzi da escludere cliccare su Aggiungi. Una volta specificati e aggiunti tutti gli indirizzi/intervalli di indirizzi desiderati, cliccare su Avanti per proseguire.

FIG 11 - Aggiungi esclusioni e ritardo

Nel passo successivo bisogna procedere alla configurazione della durata del leasing. Nella schermata Durata lease, si può notare che l'impostazione predefinita è di otto giorni. Nella maggior parte dei casi, questo valore andrà bene. Fare click su Avanti.

FIG 12 - Durata lease

In Configura opzioni DHCP, lasciare l'opzione Sì, configurare le opzioni adesso e cliccare su Avanti.

FIG 13 - Configura opzioni DHCP

Nella schermata Router (Gateway predefinito), digitare l'indirizzo IP del gateway che verrà assegnato ai client, quindi cliccare su Aggiungi. É possibile aggiungere più indirizzi IP. Terminata la configurazione, cliccare su Avanti per proseguire.

FIG 14 - Router (gateway predefinito)

In Nome dominio e server DNS, specificare, se non presente, il nome di dominio padre creato in precedenza sul server DNS e indicare gli indirizzi IP di eventuali altri server DNS presenti all'interno dell'infrastruttura. Cliccare su Avanti.

FIG 15 - Nome dominio e server DNS

Nella schermata Server WINS, è possibile inserire il nome o l'indirizzo IP di un server WINS sulla rete. I server WINS possono essere utilizzati daci computer che eseguono Windows per convertire i nomi computer NetBIOS in indirizzi IP. Cliccare su Avanti.

FIG 16 - Server WINS

Nella finestra successiva, Attiva ambito, lasciare selezionata l'opzione Si, attiva l'ambito adesso e cliccare su Avanti.

FIG 17 - Attiva ambito

La configurazione è terminata. Cliccare su Fine per chiudere la finestra della creazione guidata ambito.

FIG 18 - Completamento della Creazione guidata ambito

Come visibile, il servizio DHCP non è attivo in quando, per questioni di sicurezza, il server deve essere autorizzato all'interno di Active Directory. L'autorizzazione è una precauzione di sicurezza che assicura l'esecuzione sulla rete soltanto dei server DHCP autorizzati.

FIG 19 - DHCP

PowerShell: Individuare gli account AD senza un corretto tipo di crittografia

Gli aggiornamenti di Windows rilasciati a partire dall'8 novembre 2022 risolvono una vulnerabilità di bypass e elevazione dei privilegi con negoziazione di autenticazione mediante la negoziazione RC4-HMAC debole.

L'aggiornamento imposta AES come tipo di crittografia predefinito per le chiavi di sessione in account che non sono già contrassegnati con un tipo di crittografia predefinito. 

Per proteggere l'intero ambiente, bisogna procedere all'installazione degli aggiornamenti di Windows rilasciati a partire dall'8 novembre 2022 su tutti i dispositivi, inclusi i controller di dominio. 

È possibile che siano stati definiti in modo esplicito i tipi di crittografia degli account utente vulnerabili a CVE-2022-37966. Per cercare gli account in cui DES/RC4 è abilitato in modo esplicito o gli account che hanno un valore nullo di msds-SupportedEncryptionTypes è possibile utilizzare il seguente comando:

Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"

Dopo l'installazione degli aggiornamenti di Windows con data 8 novembre 2022 o successiva, per il protocollo Kerberos è disponibile la chiave del Registro di sistema seguente:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KDC]

"DefaultDomainSupportedEncTypes"=dword:00000027

Se è necessario modificare il tipo di crittografia supportato predefinito per un utente o un computer di Active Directory, aggiungere e configurare manualmente la chiave del Registro di sistema per impostare il nuovo tipo di crittografia supportata.

I controller di dominio Windows usano questo valore per determinare i tipi di crittografia supportati negli account in Active Directory il cui valore msds-SupportedEncryptionType è vuoto o non impostato. Un computer che esegue una versione supportata del sistema operativo Windows imposta automaticamente gli msds-SupportedEncryptionTypes per tale account di computer in Active Directory. Si basa sul valore configurato dei tipi di crittografia consentiti per il protocollo Kerberos.

Gli account utente, gli account del servizio gestito del gruppo e altri account in Active Directory non hanno il valore msds-SupportedEncryptionTypes impostato automaticamente. 

Il valore predefinito 0x27 (DES, RC4, Chiavi di sessione AES) è stato scelto come modifica minima necessaria per questo aggiornamento della sicurezza. Per una maggiore sicurezza è consigliabile impostare il valore di DefaultDomainSupportedEncTypes su 0x3C (in questo modo  sia per i ticket crittografati con AES che per le chiavi di sessione AES). Se si passa ad un ambiente solo AES in cui RC4 non viene utilizzato per il protocollo Kerberos, è consigliabile impostare il valore su 0x38.

PowerShell: Elencare gli elementi del Pannello di Controllo

Il Pannello di controllo di Windows è il centro dell'interfaccia grafica per qualsiasi configurazione di sistema. Tramite il cmdlet Get-ControlPanelItem di PowerShell è possibile elencare tutti gli elementi del Pannello di controllo del computer locale oppure ricercarli in base al nome, la categoria o la descrizione, anche nei sistemi senza interfaccia utente. Questo cmdlet è stato introdotto in Windows PowerShell 3.0 e funziona solo su Windows 8/Windows Server 2012 e versioni successive. Vengono visualizzati solo gli elementi del Pannello di Controllo che possono aperti nel sistema. Nei computer che non hanno Pannello di controllo o Esplora file, questo cmdlet ottiene solo gli elementi del pannello di controllo che possono essere aperti senza questi componenti.

FIG 1- Pannello di controllo

Sintassi

Get-ControlPanelItem

   [[-Name] <String[]>]

   [-Category <String[]>]

   [<CommonParameters>]

Get-ControlPanelItem

   -CanonicalName <String[]>

   [-Category <String[]>]

   [<CommonParameters>]

Parametri

-CanonicalName

Specifica, come matrice di stringhe, gli elementi del pannello di controllo in base ai nomi canonici o ai modelli di nome che questo cmdlet ottiene. I caratteri jolly sono consentiti. Se si immettono più nomi, questo cmdlet ottiene gli elementi del pannello di controllo che corrispondono a uno qualsiasi dei nomi, come se gli elementi dell'elenco dei nomi fossero separati da un operatore "o".

Per impostazione predefinita, questo cmdlet ottiene tutti gli elementi del pannello di controllo nel sistema.

-Category

Specifica, come matrice di stringhe, le categorie degli elementi del pannello di controllo nelle categorie specificate recuperate da questo cmdlet. Immettere un nome di categoria o un modello di nome. I caratteri jolly sono consentiti. Se si immettono più nomi, questo cmdlet ottiene gli elementi del pannello di controllo che corrispondono a uno qualsiasi dei nomi, come se gli elementi dell'elenco dei nomi fossero separati da un operatore "o". Per impostazione predefinita, questo cmdlet ottiene tutti gli elementi del pannello di controllo nel sistema.

-Name

Specifica, come matrice di stringhe, i nomi o i modelli di nome del pannello di controllo che ottiene questo cmdlet. I caratteri jolly sono consentiti. È anche possibile inviare tramite pipe un nome o un modello di nome a questo cmdlet.

Esempi

Esempio 1

Get-ControlPanelItem

Visualizza tutti gli elementi del Pannello di controllo nel computer locale.

FIG 2 - PowerShell, Get-ControlPanelItem

Esempio 2

Get-ControlPanelItem -Name "*Program*", "*Mail*"

Vengono visualizzati gli elementi del Pannello di Controllo i cui nomi contengono i termini Program o Mail.

Esempio 3

Get-ControlPanelItem -Category "*Sicurezza*"

Visualizza gli elementi del pannello di Controllo nelle categorie i cui nomi contengono il termine specificato Sicurezza.

Esempio 4

Get-ControlPanelItem -Name "Windows Defender Firewall" | Show-ControlPanelItem

Il cmdlet Get-ControlPanelItem ottiene l'elemento del pannello di controllo specificato (Windows Defender Firewall). Il cmdlet Show-ControlPanelItem lo apre.

Esempio 5

Invoke-Command -ComputerName "Server01" {Get-ControlPanelItem -Name "Windows Defender Firewall*" }

Tramite il cmdlet Invoke-Command è possibile eseguire Get-ControlPanelItem in modalità remota. Questo comando visualizza l'elemento del Pannello di Controllo che ha per nome Windows Defender Firewall nel computer remoto specificato Server01.

Esempio 6

Get-ControlPanelItem | Where-Object {$_.Description -like "*Dispositivi*"}

Il cmdlet Get-ControlPanelItem ottiene tutti gli elementi del pannello di controllo. Il cmdlet Where-Object filtra gli elementi in base al valore della proprietà Description. In questo esempio viene eseguita una ricerca degli elementi del Pannello di Controllo che all'interno della proprietà Description contengono il termine specificato (Dispositivi).

Windows Server 2022: Installazione ruolo Server DHCP (Dynamic Host Configuration Protocol)

Un server DHCP è un server di rete che fornisce e assegna automaticamente indirizzo IP, gateway predefinito e altri parametri di rete ai dispositivi client. Si basa sul protocollo standard noto come Dynamic Host Configuration Protocol o DHCP per rispondere alle richieste di trasmissione dei client.

Un server DHCP invia automaticamente i parametri di rete richiesti dai client per comunicare correttamente in rete. Senza di esso, l'amministratore di rete deve impostare manualmente ogni client che si unisce alla rete, il che diventa impraticabile per le reti di grandi dimensioni. I server DHCP di solito assegnano a ogni client un indirizzo IP dinamico unico che cambia quando il lease del client per quell'indirizzo IP è scaduto. Se un sistema ha bisogno di un indirizzo IP statico, come ad esempio i servizi di infrastruttura (AD DS, DNS, DHCP), l'indirizzo IP deve essere impostato come prenotazione sul server DHCP, in modo da non assegnare un indirizzo IP già in uso.

Installazione del ruolo Server DHCP tramite GUI 

• Da Server Manager, nella sezione Dashboard, cliccare sul link Aggiungi ruoli e funzionalità.
  

  

  FIG 1 - Server Manager

  
  
• Verrà avviato il Wizard che ci guiderà nell'installazione del ruolo. Nella finestra Prima di iniziare vengono fornite alcune informazioni preliminari sull'installazione/rimozione dei ruoli e funzionalità. Cliccare su Avanti.
  

  

  FIG 2 - Aggiunta guidata ruoli e funzionalità

  
  
• Nel passaggio successivo ci viene chiesto di selezionare il tipo di installazione desiderato: è possibile installare ruoli e funzionalità in un computer fisico o una macchina virtuale in esecuzione oppure in un disco rigido virtuale offline. In questa fase possiamo scegliere tra installare ruoli e funzionalità su un server oppure installare una specifica risorsa sull'infrastruttura VDI. Selezionare l'opzione Installazione basata su ruoli o basata su funzionalità e cliccare su Avanti per proseguire.
  

  

  FIG 3 - Selezione tipo di installazione

  
  
• Nella schermata Selezione server di destinazione possiamo selezionare su quale server installare i ruoli e le funzionalità. Selezionare il server desiderato quindi proseguire cliccando su Avanti.
  

  

  FIG 4 - Selezione server di destinazione

  
  
• Nella schermata Selezione ruoli server, selezionare Server DHCP.
  

  

  FIG 5 - Selezione ruoli server

  
  
• Apparirà una nuova finestra di dialogo in cui l'utente viene avvisato sulla necessità di installare, se non presenti, ulteriori funzionalità per il corretto funzionamento del ruolo selezionato. Cliccare su Aggiungi funzionalità.
  

  

  FIG 6 - Aggiungere le funzionalità necessarie per Server DHCP

  
  
• Si ritorna alla schermata precedente. Cliccare su Avanti per proseguire.
  

  

  FIG 7 - Selezione ruoli server

  
  
• Nella finestra Selezione funzionalità ci viene data la possibilità di installare, se necessario, ulteriori funzionalità. Proseguire cliccando su Avanti.
  

  

  FIG 8 - Selezione funzionalità

  
  
• Nella nuova schermata vengono visualizzate informazioni sul ruolo Server DHCP. Cliccare su Avanti.
  

  

  FIG 9 - Server DHCP

  
  
• Ci viene mostrato un resoconto su tutte le funzionalità che verranno installate. É possibile selezionare la casella Riavvia automaticamente il server di destinazione se necessario. In questo modo se dopo l'installazione del ruolo e delle funzionalità dovesse essere necessario un riavvio del sistema, questo verrà eseguito automaticamente. Cliccare sul pulsante Installa per proseguire e attendere che l'installazione venga portata a termine.
  

  

  FIG 10 - Conferma selezioni per l'installazione

  
  
• Al termine dell'installazione, è possibile cliccare sul link Completa configurazione DHCP per avviare la configurazione del server DHCP (operazione che mostrerò nel prossimo articolo). Cliccare su Chiudi per terminare la procedura guidata.
  

  

  FIG 11 - Stato installazione

  
  

Installazione ruolo Server DHCP tramite PowerShell

Tramite il cmdlet Get-WindowsFeature andiamo a cercare il nome del ruolo relativo al Server DHCP con il comando

 Get-WindowsFeature *DHCP*  

FIG 12 - Get-WindowsFeature

Individuato il nome (DHCP) è possibile avviare l'installazione mediante il comando

 Install-WindowsFeature –Name DHCP -Restart     

Utilizzando l'opzione -Restart, al termine dell'installazione il server verrà automaticamente riavviato se necessario.

FIG 13 - Install-WindowsFeature

Microsoft 365 Quick Tip: Shortcut per accedere a Microsoft 365

Per accedere velocemente a Microsoft 365 è possibile premere, da tastiera, la seguente combinazione di tasti
CTRL + WIN + ALT + SHIFT

FIG 1 - Microsoft 365

Per modificare il comportamento di tale combinazione di tasti, è possibile agire tramite il registro di sistema:

• Avviare l'Editor del registro di sistema (WIN+R e digitare regedit seguito da invio); 
• Posizionarsi sulla seguente chiave di registro 
  HKEY_CURRENT_USER\SOFTWARE\Classes\ms-officeapp
• Creare, se non presenti, le sottochiavi Shell\Open\Command
• Posizionarsi su 
  HKEY_CURRENT_USER\SOFTWARE\Classes\ms-officeapp\Shell\Open\Command
• Modificare il valore stringa (Predefinito) assegnando il comando da eseguire. Ad esempio, assegnando il valore D:\test.docx, alla pressione della combinazione di tasti verrà aperto il file specificato tramite l'applicazione predefinita (MS Word).

FIG 2 - Editor del registro di sistema

Windows Server 2022: Configurazione Server DNS (Domain Name System)

Per configurare il DNS, procedere come segue:

• Da Server Manager, cliccare sul menu Strumenti e quindi su DNS.
  

  

  FIG 1 - Server Manager

• Eseguire un doppio click sul nome del server per espandere le opzioni e visualizzare le aree di configurazione.
  

  

  FIG 2 - Gestore DNS

• Configuriamo prima la Zona di ricerca diretta che consente di convertire i nomi DNS in indirizzi IP. Cliccare, con il tasto destro del mouse, su Zona di ricerca diretta e selezionare Nuova zona.
  

  

  FIG 3 - Zone di ricerca diretta

• Verrà avviata la Creazione guidata nuova zona. Cliccare su Avanti.
  

  

  FIG 4 - Creazione guidata nuova zona

• Nella schermata Tipo di zona è possibile selezionare il tipo di zona da creare:
  Zona primaria. Crea una copia di zona che può essere aggiornata direttamente su questo server.
  Zona secondaria. Crea una copia di zona esistente su un altro server. Questa opzione permette di bilanciare il carico di elaborazione di server primari e fornisce tolleranza d'errore.
  Zona di stub. Crea una copia di una zona contenente soltanto record NS (Server dei nomi), SOA (Origini di Autorità) e possibilmente Host "glue" (A). Un server contenente una zona di stub non è ritenuto autorevole per tale zona.
  
  Nel caso in cui il server DNS è un controllo di dominio, è possibile selezionare l'opzione Archivia la zona in Active Directory (disponibile solo se il server DNS è un controller di dominio scrivibile).
  Lasciare selezionata l'opzione Zona primaria e cliccare su Avanti.
  

  

  FIG 5 - Tipo di zona

  
  
• Nella schermata Nome zona dobbiamo digitare, nell'apposita casella, il nome della zona (generalmente si tratta del nome del dominio).  Il nome di zona specifica la parte dello spazio dei nomi DNS per il quale il server è ritenuto autorevole. Può essere il nome del dominio dell'organizzazione (ad esempio, microsoft.com) o una parte del nome del dominio (ad esempio, nuovazona.microsoft.com). Il nome di zona non è il nome del server DNS. Una volta digitato il nome di zona nell'apposita casella cliccare su Avanti.
  

  

  FIG 6 - Nome zona

• La finestra successiva è relativa al File di zona. É possibile creare un nuovo file di zona o utilizzare un file esistente copiato da un altro server DNS. Lasciare selezionata l'opzione Crea un nuovo file e cliccare su Avanti.
  

  

  FIG 7 - File di zona

• Nella finestra Aggiornamento dinamico è possibile specificare di non consentire gli aggiornamenti dinamici per la zone DNS oppure accettare gli aggiornamenti dinamici sicuri o non sicuri. Lasciare selezionata l'opzione Non consentire aggiornamenti dinamici e cliccare su Avanti.
  
  

  

  FIG 8 - Aggiornamento dinamico

  
  
• A questo punto la Creazione guidata nuova zona è stata completata. Nella finestra Completamento della Creazione guidata nuova zona viene mostrato un resoconto delle impostazioni. Per terminare la procedura guidata cliccare su Fine.
  

  

  FIG 9 - Completamento della Creazione guidata nuova zona

  
  
• In maniera analoga a quanto fatto per la zona di ricerca diretta, procediamo alla configurazione della la zona di ricerca inversa. Una zona di ricerca inversa consente di convertire indirizzi IP in nomi DNS. Nella finestra Gestore DNS cliccare, con il tasto destro del mouse, su Zone di ricerca inversa e selezionare Nuova zona per avviare la creazione guidata.
  

  

  FIG 10 - Nuova zona

• Nella finestra Creazione guidata nuova zona cliccare su Avanti.
  

  

  FIG 11 - Creazione guidata nuova zona

  
  
• Nella schermata Tipo di zona, lasciare selezionata la Zona primaria e fare clic su Avanti.
  

  

  FIG 12 - Tipo di zona

  
  
• Nella finestra successiva, Nome della zona di ricerca inversa, assicurarsi che sia selezionata la Zona di ricerca inversa IPv4 e fare clic su Avanti. 
  

  

  FIG 13 - Nome della zona di ricerca inversa

  
  
• Nella finestra successiva, digitare l'ID della rete. L'ID della rete è la parte dell'indirizzo IP che appartiene alla zona. In questo esempio il server DNS ha l'indirizzo IP 192.168.0.121 pertanto l'ID di rete sarà 192.168.0. Specificato l'ID di rete nell'apposita casella, cliccare su Avanti.
  

  

  FIG 14 - ID della rete

  
  
• Nel passo successivo bisogna decidere se creare un nuovo file di zona o utilizzarne uno esistente. Lasciare selezionata l'opzione Crea un nuovo file e cliccare su Avanti.
  

  

  FIG 15 - File di zona

  
  
• Come visto precedentemente per la zona di ricerca diretta, anche in questo caso dobbiamo decidere se accettare o meno gli aggiornamenti dinamici. Per ora, lasciare selezionata l'opzione Non consentire aggiornamenti dinamici e cliccare su Avanti.
  

  

  FIG 16 - Aggiornamento dinamico

  
  
• Nella finestra Completamento della Creazione guidata nuova zona viene mostrato un resoconto delle impostazioni. Per terminare la procedura guidata cliccare su Fine.
  

  

  FIG 17 - Completamento della Creazione guidata nuova zona

  
  

Ora il nostro server DNS è correttamente configurato. Quando Active Directory sarà installato, sarà possibile abilitare gli aggiornamenti dinamici sicuri. Accettare tutti gli aggiornamenti dinamici potrebbe essere una pessima idea perché qualsiasi sistema verrebbe registrato nel DNS.

FIG 18 - Gestore DNS