Information Technology: Windows Server 2022

Visualizzazione post con etichetta Windows Server 2022. Mostra tutti i post

lunedì 29 gennaio 2024

Windows Server 2022: Restore di un oggetto cancellato dal Cestino di Active Directory

Un oggetto in AD eliminato può essere recuperato velocemente se nella propria infrastruttura è stato abilitato il cestino di Active Directory (si veda articolo Windows Server 2022: Abilitare il cestino di Active Directory).

Per procedere al restore di un oggetto eliminato:

Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.

FIG 1 - Server Manager

Dal navigation pane (sul lato sinistro della finestra) selezionare il proprio dominio quindi eseguire un doppio click sul container Deleted Objects.

FIG 2 - Centro di amministrazione di Active Directory, container Deleted Objects

Cliccare, con il tasto destro del mouse, sull'oggetto che si intende recuperare e, dal menu contestuale, selezionare l'opzione Ripristina. L'oggetto sarà ripristinato all'interno del container/OU da cui era stato eliminato. Selezionando Ripristina in, sarà possibile selezionare manualmente il container nel quale l'oggetto sarà ripristinato (FIG 4).

FIG 3 - Centro di amministrazione di Active Directory, ripristina oggetto eliminato

FIG 4 - Ripristina in

domenica 28 gennaio 2024

Windows Server 2022: Abilitare il cestino di Active Directory

Per default tutti gli oggetti che vengono cancellati in Active Directory non possono essere recuperati. Chi ha avuto la sfortuna di cancellare accidentalmente un oggetto in AD e dovuto recuperarlo da un backup del server, sa bene che si tratta di un'operazione tutt'altro che semplice e veloce. Fortunatamente, a partire da Windows Server 2008 R2, Microsoft ha introdotto il cestino per Active Directory che permette il recupero degli oggetti cancellati in modo analogo a quanto avviene con il cestino di Windows per file e cartelle. Tale funzionalità è disattivata per default e va attivata manualmente. La procedura per abilitare il cestino di Active Directory è la stessa vista per Windows Server 2019.

Prima di attivare la funzione è necessario che siano rispettati alcuni prerequisiti e bisogna tenere in considerazione alcuni limiti.

Prerequisiti Cestino di Active Directory

Almeno un Domain Controller deve avere Windows Server 2012 R2 con Centro di amministrazione di Active Directory.
Tutti gli altri Domain Controller all'interno del dominio devono avere almeno Windows Server 2008 R2 o superiore.
Il livello funzionale della foresta deve essere Windows Server 2008 R2 o superiore.

In Windows Server 2008 R2 il cestino di Active Directory poteva essere gestito solamente tramite PowerShell. A partire da Windows Server 2012 R2 il cestino può essere gestito tramite interfaccia grafica del Centro di amministrazione di Active Directory rendendo più semplice l'operazione di recupero degli oggetti cancellati.
Quando non è abilitato il cestino di Active Directory e si cancella un oggetto, questo viene contrassegnato per la cancellazione (tombstoned). Tali oggetti vengono definitivamente eliminati solo quando verrà eseguito il processo di garbacecollection.

Con il cestino di Active Directory abilitato, quando si cancella un oggetto questo viene contrassegnato come oggetto cancellato per l'arco di tempo specificato dalla proprietà msDS-DeletedObjectLifetime in Active Directory Domain Services (di default è nulla). Scaduto il tempo indicato in msDS-DeletedObjectLifetime l'oggetto viene contrassegnato come recycled e i suoi attributi vengono rimossi. L'oggetto risiede ancora nel cestino e può essere recuperato per la durata della sua vita definita dall'attributo tombstoneLifetime in Active Directory DS. Quando viene abilitato il cestino di Active Directory, gli oggetti preesistenti e contrassegnati per la cancellazione (tombstoned) vengono convertiti in oggetti recycled tuttavia non potranno essere recuperati come qualsiasi altro oggetto recycled.

Limiti

Il Centro di amministrazione di Active Directory è in grado di gestire solo partizioni di dominio pertanto non è possibile ripristinare oggetti eliminati dalle partizioni di configurazione, DNS del dominio o DNS della foresta (non è possibile eliminare oggetti dalla partizione dello schema). Per ripristinare gli oggetti da partizioni non di dominio, è possibile usare il cmdlet Restore-ADObject di PowerShell.

Nel Centro di amministrazione di Active Directory non è possibile ripristinare sottoalberi di oggetti in un'unica operazione. Se ad esempio si elimina un'unità organizzativa con unità amministrative, utenti, gruppi e computer annidati, il ripristino dell'unità organizzativa di base non ripristina gli oggetti figlio.

Il Cestino di Active Directory comporta un aumento delle dimensioni del database di Active Directory (NTDS.DIT) in ogni controller di dominio della foresta. Lo spazio su disco usato dal cestino continua ad aumentare nel tempo, in quanto conserva gli oggetti e tutti i dati degli attributi.

Abilitare il cestino di Active Directory tramite Centro di amministrazione di Active Directory

FIG 1 - Server Manager

Selezionare il proprio dominio quindi, sul pannello delle Attività presente sulla destra della finestra, cliccare su Abilita Cestino....

FIG 2 - Centro di amministrazione di Active Directory

Una finestra di dialogo ci avvisa che l'operazione non è reversibile: una volta abilitato il cestino di Active Directory non potrà essere più disabilitato. Confermare cliccando su OK per proseguire.

FIG 3 - Conferma abilitazione cestino AD

Una nuova finestra di dialogo avvisa l'utente che il cestino non sarà disponibile finché l'abilitazione non verrà replicata a tutti i Domain Controller della foresta e non verrà aggiornato il Centro di amministrazione di Active Directory. Cliccare su OK.

FIG 4 - Abilitazione cestino AD

Terminata la replica dell'abilitazione basta cliccare sull'apposto link per aggiornare le informazioni visualizzate nella finestra del Centro di amministrazione di Active Directory e vedremo apparire un nuovo container nominato Deleted Objects. Da questo momento gli oggetti eliminati da AD potranno essere recuperati all'interno di tale container.

FIG 5 - Centro di amministrazione di Active Directory, Container Deleted Objects

Abilitare il cestino di Active Directory tramite PowerShell

In alternativa al Centro di amministrazione di Active Directory è possibile abilitare il cestino di AD tramite PowerShell e l'utilizzo del cmdlet Enable-ADOptionalFeature.
Da Windows PowerShell avviato come amministratore eseguire il comando
Enable-ADOptionalFeature –Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=mycompany,DC=local' –Scope ForestOrConfigurationSet –Target 'mycompany.local'
Rispondere affermativamente alla richiesta di esecuzione dell'operazione.

FIG 6 - Abilitazione del cestino di Active Directory mediante PowerShell

Dopo aver atteso i tempi di replica dal Centro di amministrazione di Active Directory sarà visibile il nuovo container Deleted Objects.

giovedì 25 gennaio 2024

Windows Server 2022: Introduzione alle Group Policy (GPO)

In aziende medio-grandi, la modifica manuale delle impostazioni sui singoli computer diventa un compito impossibile. È qui che entrano in gioco le Group Policy (Criteri di gruppo).

I Criteri di gruppo consentono di creare un criterio e di indirizzarlo agli utenti o ai sistemi all'interno di unità organizzative (OU), gruppi di sicurezza o persino su base individuale.

Le Group Policy sono un insieme di regole che controllano l'ambiente di lavoro degli utenti e dei computer fornendo una gestione centralizzata e consentendo la configurazione dei sistemi operativi, impostazioni degli utenti e applicazioni in un ambiente Active Directory. In pratica le Group Policy stabiliscono, in parte, cosa l'utente può e non può fare su un computer del dominio e possono essere utilizzate, ad esempio, per bloccare l'accesso al pannello di controllo/gestione attività, impedire/autorizzare l'accesso a cartelle condivise, disabilitare il download di file eseguibili, consentire l'installazione automatica di software, implementare restrizioni su quote disco, sulla lunghezza della password, gestire le impostazioni di BitLocker e tanto altro. Le Group policy vengono gestite tramite lo strumento Gestione Criteri di gruppo (Group Policy Management Console o GPMC) e create/modificate tramite l'Editor Gestione Criteri di gruppo (Group Policy Management Editor o GPME).

Prima di mostrare come creare le Group Policy è bene chiarire e approfondire alcuni concetti basilari.

Le Group Policy vengono configurate e distribuite dagli amministratori di dominio mediante la creazione di oggetti Criteri di gruppo (Group Policy Object o GPO). Gli oggetti Criteri di gruppo sono container per gruppi di impostazioni (policy settings) che possono essere applicate agli account utente, agli account computer o ad entrambi attraverso Active Directory. Tali oggetti vengono creati utilizzando l'Editor Gestione Criteri di gruppo (GPME) che viene invocato quando si modifica un GPO all'interno dello strumento Gestione Criteri di gruppo (GPMC).

Contrariamente a quanto possa far credere il nome, gli oggetti Criteri di gruppo non sono affatto orientati al gruppo: non è possibile applicarli direttamente ai gruppi. Possono essere applicati a livello locale, a siti, ai domini e alle OU (Microsoft li abbrevia con LSDOU: Locale, Sito, Dominio, OU) all'interno di una data foresta.

Le Group Policy applicano le impostazioni nel seguente ordine prestabilito:

Criteri locali (impostati da gpedit.msc)
Criteri del sito
Criteri di dominio
Criteri delle OU

Si tratta di un approccio all'elaborazione dall'alto verso il basso: dopo l'applicazione dei criteri locali, le GPO del sito sono le più ampie, seguite dalle GPO del dominio e quindi dalle GPO dell'OU. La maggior parte degli amministratori di sistema ha esperienza nella gestione delle GPO a livello di dominio e OU. Un problema comune che si verifica è quando un amministratore di sistema apporta una modifica a un criterio a livello di dominio, ma la modifica non sembra essere applicata. La causa più comune è un criterio a livello di OU che sovrascrive l'impostazione del criterio di dominio.

L'assegnazione delle policy viene anche chiamata linking. Il rapporto tra GPO e LSDOU può essere del tipo molti a uno (ad es. più GPO assegnati ad un sola OU) o di uno a molti (ad es. una sola GPO assegnata a più OU). Quando viene assegnato un oggetto Group Policy ad un'unità organizzativa questo agisce su tutti gli account in essa contenuti e sulle OU sottostanti.

Affermare che i Criteri di Gruppo/GPO vengono memorizzati all'interno di Active Directory non è del tutto corretto. Gli oggetti Criteri di gruppo vengono memorizzati in due posti distinti: all'interno di un container di Group Policy (Group Policy Container o GPC) e all'interno di un Group Policy Template (GPT). Il GPC è memorizzato all'interno del database Active Directory e contiene informazioni sulla proprietà, versione, stato e una lista dei componenti. Il GPT, invece, viene conservato all'interno della cartella Windows\SYSVOL\sysvol\<Nome del dominio>\Policies\GUID\ dove GUID rappresenta il Global Unique Identifier dell'oggetto Criteri di gruppo. Tale cartella contiene impostazioni amministrative, impostazioni di sicurezza, informazioni sulle applicazioni disponibili, impostazioni del registro di sistema, script e altro.

Anche se una Group Policy può contenere numerose impostazioni è buona norma configurarne solo un numero ristretto. Le Group Policy sono cumulative e supportano l'ereditarietà (possono essere ereditate dai container superiori in Active Directory). Le policy vengono applicate in background. Generalmente il computer effettua un refresh delle policy ogni 90 minuti ma è possibile forzarne la sincronizzazione tramite il comando gpupdate /force dal Prompt dei comandi. I domain controller, a differenza dei normali computer, eseguono il refresh delle Group Policy ogni 5 minuti. Un eccezione alla regola viene fatta per le policy che includono il reindirizzamento di cartelle, l'installazione del software, l'applicazione di script, impostazioni Stampanti e dischi di rete mappati. Tali policy, infatti, vengono applicate solo al logon dell'utente (per gli account utente) o all'avvio del sistema (per gli account computer).

Le Group Policy vengono replicate automaticamente. L'Active Directory viene replicato utilizzando AD Replication (controllato da Knowledge Consistency Checker e Intersite Topology Generator) ed è controllato dal servizio File Replication o dal servizio Distributed File Replication.

Le impostazioni specificate all'interno di un oggetto Group Policy vengono scritte all'interno del registro di sistema e vengono eliminate quando l'impostazione della policy viene eliminata o l'oggetto Group Policy viene cancellato. Tale comportamento previene l'effetto "tattooing", un tempo presente, che costringeva gli amministratori a creare un nuovo GPO per annullare le impostazioni di un GPO cancellato.

Nell'Editor Gestione Criteri di gruppo le impostazioni, sia per il computer che per l'utente, possono essere configurate con Criteri e Preferenze. Le principali differenze tra i due tipi di configurazioni sono riportate nella seguente tabella.

Criteri	Preferenze
Quando un criterio dei Criteri di gruppo non è più applicabile, l'impostazione viene rimossa e viene ripristinato il valore originale.	Quando una preferenza dei Criteri di gruppo non è più applicabile, l'impostazione rimane nel registro.
Quando un criterio dei Criteri di gruppo è impostato su un determinato valore per un'applicazione, quest'ultima utilizza il valore impostato dal criterio. Se il criterio viene rimosso, l'applicazione utilizzerà il valore originale.	Quando una preferenza dei Criteri di gruppo è impostata su un determinato valore per un'applicazione, sovrascrive il valore predefinito dell'applicazione. Se la preferenza viene rimossa, il valore dell'applicazione rimane invariato.
Quando un criterio dei Criteri di gruppo viene utilizzato per applicare le impostazioni, gli utenti visualizzano opzioni in grigio per informarli che l'impostazione è gestita dai loro amministratori.	Quando una preferenza dei Criteri di gruppo viene utilizzata per applicare le impostazioni, gli utenti possono modificarle manualmente. Criteri di gruppo non riapplicherà il valore configurato dopo la prima applicazione.

FIG 1 - Editor Gestione Criteri di gruppo

Fin dal rilascio di Windows Server 2000, le Group Policy hanno permesso agli amministratori di rete di poter configurare in maniera centralizzata i computer della propria organizzazione. Tuttavia esiste un modo più recente di configurare i sistemi: PowerShell Desired State Configuration (DSC).

Per evitare conflitti tra i due metodi, i Criteri di gruppo e PowerShell DSC non devono essere utilizzati contemporaneamente per settare impostazioni sugli stessi sistemi. In un ambiente aziendale che utilizza già i Criteri di gruppo, è consigliabile proseguire con tale metodo. Se, invece, si sta configurando un ambiente da zero, allora PowerShell DSC potrebbe essere la scelta migliore.

Nei prossimi articoli approfondirò il discorso sui Criteri di gruppo mentre Powershell DSC è un argomento che tratterò più avanti.

mercoledì 20 dicembre 2023

Windows 11: Installazione offline degli Strumenti di amministrazione remota del server tramite l'ISO di FoD

Come indicato negli articoli precedenti, per poter installare gli strumenti di amministrazione remota del server (RSAT) in Windows 11 è necessario l'accesso a Microsoft Update. Nel caso non fosse possibile accedere ai server di Microsoft Update direttamente dalla propria workstation, si può procedere con l'installazione offline (consigliata per le reti scollegate senza accesso a Internet) scaricando l'immagine ISO contenente i componenti (Feature on Demand) per la propria versione di Windows dal sito Web di Microsoft (o dal Volume Licensing Service Center, VLSC).

Per le versioni di Windows 10 2004 e successive è possibile scaricare "Windows 10 DISCO FOD 1 ISO (versione 2004 o successiva)" da https://learn.microsoft.com/it-it/azure/virtual-desktop/language-packs.

Per le versioni di Windows 11 21H2/22H2/23H2 è possibile scaricare da https://learn.microsoft.com/it-it/azure/virtual-desktop/windows-11-language-packs le ISO "Windows 11, versione 21H2 Lingua e funzionalità facoltative ISO" oppure "Windows 11, versione 22H2 e 23H2 Lingua e funzionalità facoltative ISO".

Nel nostro caso è stata scaricata l'immagine Windows 11, versione 22H2 e 23H2 Lingua e funzionalità facoltative ISO. Terminato il download possiamo decidere di copiare e montare il file .ISO sulla postazione su cui installare gli strumenti di amministrazione remota del server, masterizzare l'ISO su un supporto DVD o estrarre il contenuto in una cartella condivisa.

L'immagine ISO contiene una serie di file .CAB che includono i componenti RSAT. Nell'immagine scaricata, i file CAB relativi agli strumenti di amministrazione remota del server si trovano all'interno della cartella LanguagesAndOptionalFeatures.

FIG 1 - File .CAB

Per installare i componenti tramite PowerShell basterà indicare tale cartella come, ad esempio, nel seguente comando in cui la cartella LanguagesAndOptionalFeatures contenente i file .CAB si trova su disco D: (in un ambiente aziendale sarebbe preferibile condividere la cartella da un server accessibile da tutte le workstation)

 Add-WindowsCapability -Online -Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 -LimitAccess -Source d:\LanguagesAndOptionalFeatures

Impostare il percorso della directory contenente i componenti dell'immagine FoD tramite i Criteri di gruppo locali

Avviare l'editor Criteri di gruppo locali (gpedit.msc) oppure, nel caso di Windows Server, avviare Gestione Criteri di gruppo (gpmc.msc).
Accedere a Configurazione computer->Modelli amministrativi->Sistema.
Abilitare la policy Specifica le impostazioni per l'installazione e il ripristino dei componenti facoltativi e, nella casella Percorso alternativo del file di origine, specificare il percorso UNC della directory contenente i file FoD.

FIG 2 - Editor Criteri di gruppo locali

In alternativa, è possibile impostare questo parametro nel registro di sistema con una GPP specificando il percorso della directory FoD nel parametro LocalSourcePath (REG_Expand_SZ) sotto la chiave di registro HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Servicing.

Errori comuni nell'installazione degli Strumenti di amministrazione remota del server

0x8024402c o 0x80072f8f

Windows non può accedere ai server Microsoft Update per scaricare i file RSAT. Verificare di avere accesso a Internet , verificare quanto indicato nell'articolo precedente o installare i componenti da un'immagine FoD locale.

0x800f081f

Verificare il percorso della directory contenente i componenti RSAT specificati nel parametro -Source del comando Add-WindowsCapability.

0x800f0950

L'errore è simile a 0x800f0954 visto nell'articolo precedente.

0x80070490

Controllare e riparare l'immagine di Windows utilizzando DISM:

DISM /Online /Cleanup-Image /RestoreHealth

lunedì 18 dicembre 2023

Windows 11: Installazione degli Strumenti di amministrazione remota del server tramite PowerShell

Nell'articolo precedente abbiamo visto come installare gli strumenti di amministrazione remota del server (RSAT) in Windows 11 (Pro o Enterprise) tramite le Funzionalità aggiuntive.
In questo articolo vedremo come eseguire l'operazione tramite PowerShell.

Il seguente comando PowerShell elenca i componenti RSAT che è possibile installare sul computer. Il campo State indica se il modulo è già stato installato (Installed) oppure non presente (NotPresent)

 Get-WindowsCapability -Name RSAT* -Online | Select-Object -Property DisplayName, State

FIG 1 - Elenco strumenti di amministrazione remota del server (RSAT)

Per installare uno specifico strumento di amministrazione remota del server è possibile utilizzare il cmdlet Add-WindowsCapability, prima però, è necessario conoscere il nome del modulo da installare. Per individuare il nome del modulo da installare è possibile utilizzare il seguente comando PowerShell (il nome è evidenziato nel campo Name).

 Get-WindowsCapability -Name RSAT* -Online | Select-Object -Property Name, DisplayName, State |fl

FIG 2 - Elenco nomi funzionalità

Per installare uno strumento di amministrazione remota del server basterà eseguire il comando
Add-WindowsCapability –online –Name <nome_modulo>
Ad esempio, per installare strumenti per Server DHCP il comando sarà

 Add-WindowsCapability –online –Name Rsat.DHCP.Tools~~~~0.0.1.0

FIG 3 - Add-WindowsCapability

Alcuni componenti RSAT possono richiedere un riavvio dopo l'installazione.

I componenti RSAT non fanno parte dell'immagine di Windows e sono disponibili come funzionalità su richiesta. Ciò significa che il computer deve essere collegato a Internet per poter installare gli strumenti di amministrazione remota del server. Windows scarica e installa i file binari RSAT dai server di Microsoft Update.

Per installare solo gli Strumenti di amministrazione remota del server non ancora installati, è possibile eseguire il seguente comando

 Get-WindowsCapability -Name RSAT* -Online | where State -EQ NotPresent | Add-WindowsCapability –Online

In tabella l'elenco degli Strumenti di amministrazione remota del server disponibili in Windows 11 22H2.

Name	DisplayName
Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: strumenti di Active Directory Domain Services e Lightweight Directory Services
Rsat.AzureStack.HCI.Management.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: modulo PowerShell per Azure Stack HCI
Rsat.BitLocker.Recovery.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: utilità di amministrazione di Crittografia unità BitLocker
Rsat.CertificateServices.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: strumenti di Servizi certificati Active Directory
Rsat.DHCP.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: strumenti per Server DHCP
Rsat.Dns.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: strumenti per Server DNS
Rsat.FailoverCluster.Management.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: strumenti per Clustering di failover
Rsat.FileServices.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: strumenti per Servizi file
Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: strumenti di gestione di criteri di gruppo
Rsat.IPAM.Client.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: client di Gestione indirizzi IP
Rsat.LLDP.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: strumenti LLDP Data Center Bridging
Rsat.NetworkController.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: strumenti di gestione del Controller di rete
Rsat.NetworkLoadBalancing.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: strumenti per Bilanciamento carico di rete
Rsat.RemoteAccess.Management.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: strumenti di Gestione Accesso remoto
Rsat.RemoteDesktop.Services.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: strumenti Servizi Desktop remoto
Rsat.ServerManager.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: Server Manager
Rsat.StorageMigrationService.Management.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: strumenti di gestione del servizio di migrazione dello spazio di archiviazione
Rsat.StorageReplica.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: modulo di Replica archiviazione per Windows PowerShell
Rsat.SystemInsights.Management.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: modulo System Insights per Windows PowerShell
Rsat.VolumeActivation.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: strumenti di attivazione di contratti multilicenza
Rsat.WSUS.Tools~~~~0.0.1.0	Strumenti di amministrazione remota del server: strumenti di Windows Server Update Services

Per disinstallare gli strumenti di amministrazione remota del server, si utilizza il cmdlet Remove-WindowsCapability. Ad esempio, per rimuovere gli strumenti di Active Directory Domain Services e Lightweight Directory Services il comando da eseguire sarà

 Remove-WindowsCapability -Online -Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

Per disinstallare tutti gli strumenti di amministrazione remota del server installati basterà eseguire il comando

 Get-WindowsCapability -Name RSAT* -Online | where State -EQ Installed | Remove-WindowsCapability –Online

Installazione tramite Deployment Image Servicing and Management

Gli strumenti di amministrazione remota del server possono anche essere installati tramite Deployment Image Servicing and Management (DISM.exe). Ad esempio

 DISM.exe /Online /add-capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 /CapabilityName:Rsat.DHCP.Tools~~~~0.0.1.0

Errore 0x800f0954 durante l'installazione

Se il computer Windows è configurato per ricevere gli aggiornamenti da un server di aggiornamento locale (WSUS) o da SCCM (Configuration Manager) SUP, è possibile che venga visualizzato un messaggio di errore quando si tenta di installare RSAT utilizzando la GUI, Add-WindowsCapability o DISM: Errore 0x800f0954.

In questo caso, Windows tenta di scaricare il pacchetto RSAT dal server di aggiornamento locale e restituisce l'errore 0x800f0954.

Per ignorare WSUS locale durante l'installazione di funzionalità aggiuntive di Windows e di Features On Demand (compreso RSAT), è necessario attivare un'opzione dei Criteri di gruppo:

Avviare l'editor Criteri di gruppo locali (gpedit.msc) oppure, nel caso di Windows Server, avviare Gestione Criteri di gruppo (gpmc.msc).
Accedere a Configurazione computer->Modelli amministrativi->Sistema.
Abilitare la policy Specifica le impostazioni per l'installazione e il ripristino dei componenti facoltativi e selezionare l'opzione Scarica il contenuto di ripristino e le funzionalità facoltative direttamente da Windows Update invece che da Windows Server Update Services (WSUS).
FIG 4 - Specifica le impostazioni per l'installazione e il ripristino dei componenti facoltativi
Salvare le modifiche e forzare l'update delle policy con il comando gpupdate /force
Riavviare il servizio Windows Update eseguendo i comandi net stop wuauserv e net start wuauserv

Dopo questa modifica, l'installazione di RSAT tramite PowerShell o DISM dovrebbe essere completata senza errori.

Errore 0x8024002e durante l'installazione

La connessione a Microsoft Update durante il recupero dei componenti RSAT potrebbe essere bloccata da alcune impostazioni del registro di Windows. In tal caso, durante l'installazione di RSAT, verrà visualizzato il codice di errore 0x8024002e.
Per forzare il download dei componenti RSAT da Microsoft Update bisogna intervenire sul registro di sistema:

Avviare l'Editor del Registro di sistema e posizionarsi su
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
Assegnare il valore 0 ai seguenti parametri DWORD
DoNotConnectToWindowsUpdateInternetLocations
DisableWindowsUpdateAccess
Riavviare il servizio wuauserv tramite i comandi net stop wuauserv e net start wuauserv

sabato 9 dicembre 2023

Windows 11: Installazione degli Strumenti di amministrazione remota del server

Quando si installano le funzioni di gestione insieme ai ruoli e alle funzioni, si installano gli Strumenti di amministrazione remota del server (Remote Server Administration Tools o RSAT). Gli Strumenti di amministrazione remota del server vengono spesso installati su un desktop, in modo da poter gestire i server dalla propria workstation invece di accedere a ogni singolo server. In questo articolo verrà trattata l'installazione degli Strumenti di amministrazione remota del server su un sistema Windows 11 (Pro o Enterprise) e verrà mostrato come aggiungere i server da gestire.

Installazione degli Strumenti di amministrazione remota del server

A partire dalla versione 1809 di Windows 10, gli Strumenti di amministrazione remota del server sono inclusi nel sistema operativo ed è sufficiente attivarli. In Windows 11 gli strumenti di amministrazione remota del server aggiornati vengono scaricati da Microsoft Update.

Per installare gli strumenti di amministrazione in Windows 11, cliccare sul pulsante Start e selezionare Impostazioni (in alternativa premere la combinazione di tasti WIN+I).

Selezionate App e quindi Funzionalità facoltative.

FIG 1 - App

Cliccare su Visualizza le funzionalità quindi selezionare dall'elenco gli strumenti di amministrazione remota desiderati e cliccare su Avanti. In questo esempio è stato selezionato Server Manager che include gran parte degli strumenti amministrativi.

Tramite l'apposita casella è possibile ricercare la funzionalità desiderata. Gli strumenti di amministrazione remota del server installabili su Windows 11 22H2 sono:

Strumenti di amministrazione remota del server: strumenti di Active Directory Domain Services e Lightweight Directory Services
Strumenti di amministrazione remota del server: modulo PowerShell per Azure Stack HCI
Strumenti di amministrazione remota del server: utilità di amministrazione di Crittografia unità BitLocker
Strumenti di amministrazione remota del server: strumenti di Servizi certificati Active Directory
Strumenti di amministrazione remota del server: strumenti per Server DHCP
Strumenti di amministrazione remota del server: strumenti per Server DNS
Strumenti di amministrazione remota del server: strumenti per Clustering di failover
Strumenti di amministrazione remota del server: strumenti per Servizi file
Strumenti di amministrazione remota del server: strumenti di gestione di criteri di gruppo
Strumenti di amministrazione remota del server: client di Gestione indirizzi IP
Strumenti di amministrazione remota del server: strumenti LLDP Data Center Bridging
Strumenti di amministrazione remota del server: strumenti di gestione del Controller di rete
Strumenti di amministrazione remota del server: strumenti per Bilanciamento carico di rete
Strumenti di amministrazione remota del server: strumenti di Gestione Accesso remoto
Strumenti di amministrazione remota del server: strumenti Servizi Desktop remoto
Strumenti di amministrazione remota del server: Server Manager
Strumenti di amministrazione remota del server: strumenti di gestione del servizio di migrazione dello spazio di archiviazione
Strumenti di amministrazione remota del server: modulo di Replica archiviazione per Windows PowerShell
Strumenti di amministrazione remota del server: modulo System Insights per Windows PowerShell
Strumenti di amministrazione remota del server: strumenti di attivazione di contratti multilicenza
Strumenti di amministrazione remota del server: strumenti di Windows Server Update Services

FIG 2 - Strumenti di amministrazione remota del server, Server Manager

Nella finestra successiva cliccare su Installa.

FIG 3 - Server Manager, Installa

Terminata l'installazione, potrebbe essere necessario riavviare il sistema.

FIG 4 -Server Manager, Installazione terminata

Utilizzo dello Strumento di amministrazione remota Server Manager

Terminata l'installazione è possibile avviare Server Manager dal menu Start.

Nella barra di avvio rapido, cliccare su Aggiungi altri server da gestire.

FIG 5 - Aggiungere altri server da gestire

Nell'apposita caselle, digitare il nome del server che si intende gestire e cliccare su Trova.

FIG 6 - Aggiungi server

Cliccare due volte sul nome del server da aggiungere per farlo apparire nella casella Selezionato presente sulla destra, quindi cliccare su OK.

FIG 7 - Selezione del server da aggiungere

A questo punto i ruoli e/o le funzionalità installati sui server aggiunti potranno essere gestiti tramite Server Manager installato sulla macchina Windows 11.

FIG 8 - Server Gestiti

martedì 28 novembre 2023

Windows Server 2022: Panoramica del menu Strumenti di Server Manager

Negli articoli precedenti su Windows Server 2022, abbiamo già visto e utilizzato alcuni degli strumenti presenti in Server Manager. I prossimi articoli saranno incentrati sugli strumenti di amministrazione di Windows Server 2022. Già a partire da questo articolo inizieremo con una panoramica generale sugli elementi presenti all'interno del menu Strumenti di Server Manager.

Nelle ultime versioni di Windows Server, Server Manager si avvia al momento dell'accesso ed è il punto di partenza per tutti gli strumenti necessari per la gestione del server (come la gestione di un ruolo/funzionalità o semplicemente per risolvere problemi del sistema). Tutti gli strumenti Microsoft che hanno a che fare con l'amministrazione del server, compresi i ruoli e le funzioni installate, li ritroveremo all'interno del menu Strumenti.

Accesso al menu Strumenti

Esistono diversi modi per accedere agli strumenti di amministrazione. Il metodo più semplice consiste nel fare clic sul menu Strumenti presente lungo la barra superiore di Server Manager. In questo modo si accede con un solo clic alla maggior parte degli strumenti amministrativi.

FIG 1 - Server Manager

In FIG 1 sono presenti anche gli strumenti di Active Directory in quanto ci troviamo su un controller di dominio che ha gli strumenti di amministrazione caricati. È possibile installare questi strumenti sul proprio PC locale con Remote Server Administration Tools (RSAT), di cui parlerò in un prossimo articolo.

Un altro metodo per accedere al menu Strumenti è tramite il menu Start. Cliccare sul menu Start e scorrere verso il basso fino a raggiungere Strumenti di amministrazione di Windows. Si tratta dello stesso menu che appare sotto Strumenti di Server Manager.

FIG 2 - Menu Start

Tale metodo può essere utile se è stato disabilitato l'avvio di Server Manager al logon o se la finestra di Server Manager è stata chiusa. Per avviare nuovamente Server Manager è possibile cliccare sul menu Start e lanciarlo dal riquadro Server Manager, oppure digitare semplicemente servermanager in PowerShell, nel Prompt dei comandi o nella casella Esegui.

Un terzo modo per accedere al menu Strumenti è il metodo più classico: tramite il Pannello di controllo. In Pannello di controllo, cliccare su Sistema e sicurezza quindi su Strumenti di amministrazione.

FIG 3 - Pannello di controllo

Strumenti di amministrazione

Di seguito verranno mostrati e descritti alcuni degli strumenti amministrativi più comuni e utilizzati più di frequente.

Gestione computer

Consente di accedere rapidamente alle Utilità di sistema, che sono una raccolta di strumenti quali Utilità di pianificazione, Visualizzatore eventi, Cartelle condivise, Prestazioni e Gestione dispositivi. Permette, inoltre, di gestire l'archiviazione e di gestire i servizi e le applicazioni installate sul sistema. Ciascuno di questi strumenti verrà trattato in articoli successivi, ma per il momento è bene sapere che Gestione computer consente di accedere a tutti questi strumenti dalla stessa console, come illustrato in FIG 4.

FIG 4 - Gestione computer

Deframmenta e ottimizza unità

Lo strumento Deframmenta e ottimizza unità consente di analizzare e ottimizzare manualmente le unità. L'ottimizzazione dipende dal tipo di unità in uso. Un disco rigido tradizionale (HDD), ad esempio, verrà deframmentato dal processo di ottimizzazione. Un'unità a stato solido (SSD) con supporto TRIM (che consente al sistema operativo di indicare all'unità SSD quali blocchi non sono in uso e possono essere cancellati) verrà ritrattata. Cliccando sul pulsante Modifica impostazioni si noterà che l'operazione di ottimizzazione è programmata per essere eseguita automaticamente una volta alla settimana per impostazione predefinita (FIG 6).

In passato il processo di deframmentazione delle unità era manuale e bisognava ricordarsi di eseguirlo. In genere veniva eseguito solo quando un sistema iniziava ad avere problemi di prestazioni. Con la deframmentazione automatica, gli amministratori non dovranno preoccuparsi di intervenire manualmente.

FIG 5 - Deframmenta e ottimizza unità

FIG 6 - Pianificazione ottimizzazione

Pulizia del disco

Lo strumento Pulizia disco è presente nei sistemi operativi Windows da molto tempo. Quando si esegue tale strumento, viene chiesto di selezionare l'unità da pulire (FIG 7). Una volta selezionata l'unità desiderata e cliccato su OK verrà eseguita una veloce scansione per individuare gli elementi che è possibile eliminare in modo sicuro. In genere si tratta di file temporanei di Internet, contenuti nel Cestino e così via.

FIG 7 - Pulizia disco, Selezione unità

Lo strumento fornisce una stima dello spazio che sarà in grado di liberare ed è possibile selezionare/deselezionare gli elementi che verranno rimossi. È sufficiente fare clic su OK per rimuovere tutto ciò che è stato indicato (FIG 8).

FIG 8 - Pulizia disco

È possibile selezionare la scheda Altre opzioni per rimuovere i programmi non utilizzati, nonché le vecchie copie di Ripristino configurazione e Copie shadow, se abilitate.

FIG 9 - Pulizia disco, Altre opzioni

Visualizzatore di eventi

Il Visualizzatore eventi è probabilmente uno degli strumenti più utili quando si tratta di risolvere problemi con hardware, software e applicazioni.

Oltre ai tre ben noti Registri di Windows del Visualizzatore eventi (Applicazione, Sicurezza e Sistema) sono presenti molti altri registri che è possibile consultare.

FIG 10 - Registri di Windows

In Visualizzazioni personalizzate è possibile esaminare i registri specifici dei ruoli installati e quelli degli eventi amministrativi.

FIG 11 - Visualizzazioni personalizzate

Cliccando su Registri applicazioni e servizi->Microsoft->Windows, è possibile visualizzare i registri specifici dei componenti di Windows. Uno scenario comune, ad esempio, è quello in cui bisogna esaminare i registri relativi a Windows Firewall. I registri di Windows Firewall sono visualizzati inRegistri applicazioni e servizi->Microsoft->Windows->Windows Firewall With Advanced Security.

FIG 12 - Registri applicazioni e servizi

Cliccando su Crea visualizzazione personalizzata è possibile creare un filtro (FIG 13) in modo da visualizzare solo gli eventi di proprio interesse.

FIG 13 - Crea visualizzazione personalizzata

Criteri di sicurezza locali

I Criteri di sicurezza locali consentono di modificare molte impostazioni del sistema. In un ambiente aziendale, generalmente, agli utenti è inibita la modifica dei criteri di sicurezza locali in quanto tutto viene impostato tramite i Criteri di gruppo. Se si tratta di un sistema indipendente o di un computer appartenente a un gruppo di lavoro, i Criteri di sicurezza locali consentono di impostare i requisiti di sicurezza del sistema (impostazioni per gli account, restrizioni software e altre impostazioni relative alla sicurezza).

FIG 14 - Criteri di sicurezza locali

Editor del Registro di sistema

L’Editor del Registro di sistema di Windows è uno strumento che consente di visualizzare e modificare le informazioni di configurazione del sistema operativo Windows e delle applicazioni. Queste informazioni sono generalmente memorizzate in un database gerarchico noto come Registro di sistema.

L’Editor del Registro di sistema può essere anche aperto premendo la combinazione di tasti WIN+R ed eseguire il comando regedit.

È importante prestare attenzione quando si utilizza l’Editor del Registro di sistema. Se si modifica il Registro di sistema in modo non corretto, potrebbero verificarsi problemi gravi che potrebbero richiedere una reinstallazione completa del sistema operativo e causare la perdita di dati. Si consiglia di eseguire il backup del Registro di sistema prima di apportare modifiche in base alla documentazione Microsoft pubblicata ufficialmente.

Il registro di sistema verrà trattato in maniera più approfondita in un futuro articolo.

FIG 15 - Editor del Registro di sistema

Servizi

Cliccando su Servizi viene avviata la console di gestione che elenca ogni servizio del sistema e, per ciascuno di essi, fornisce informazioni sullo stato, il tipo di avvio impostato e l'account utilizzato per la sua esecuzione. Un servizio è un'applicazione che viene eseguita in background. Di solito non si interagisce direttamente con esso, anche se è possibile arrestare e avviare un servizio e definire le sue opzioni di avvio.

FIG 16 - Servizi

Facendo doppio clic su uno dei servizi, vengono presentate diverse schede. La scheda Generale consente di modificare il tipo di avvio. È possibile scegliere tra le seguenti opzioni:

Automatico: I servizi il cui tipo di avvio è automatico si avviano all'avvio del server.
Automatico (avvio ritardato): Se un servizio è automatico (avvio ritardato), significa che si avvierà, ma non subito. Questo viene fatto in genere per i servizi che hanno una dipendenza da un altro servizio. In questo modo si assicura che la dipendenza sia soddisfatta prima dell'avvio del servizio.
Manuale: Se un servizio è impostato su manuale, significa che qualcosa deve avviarlo. Può trattarsi di un'azione dell'utente o di una chiamata da un'applicazione.
Disabilitato: Se un servizio è disabilitato, non può essere avviato.

Nella scheda Generale è anche possibile arrestare e avviare il servizio.

FIG 17 - Servizi, Scheda Generale

Nella scheda Connessione, è possibile impostare l'account con cui il servizio verrà eseguito.

FIG 18 - Servizi, Connessione

La scheda Ripristino consente di specificare l'azione da intraprendere se il servizio incontra un problema. È possibile impostare il riavvio del servizio, l'esecuzione di un programma o il riavvio del sistema.

FIG 19 - Servizi, Ripristino

La scheda Relazioni di dipendenza indica se il servizio dipende da altri servizi e se alcuni servizi dipendono da esso.

FIG 20 - Servizi, Relazioni di dipendenza

Configurazione di sistema

La Configurazione di sistema consente di lavorare con i servizi di avvio. Nella scheda Generale, ad esempio, è possibile scegliere Avvio normale (predefinito), Avvio diagnostico o Avvio selettivo. Queste opzioni sono utili per diagnosticare i problemi che si verificano all'avvio del sistema operativo.

FIG 21 - Configurazione di sistema, Generale

La scheda Opzioni di avvio consente di specificare l'unità di avvio e alcune opzioni di avvio, come l'avvio in Modalità provvisoria, l'avvio senza interfaccia grafica e così via.

FIG 22 - Configurazione di sistema, Opzioni di avvio

La scheda Servizi consente di specificare quali servizi devono essere attivati o disattivati. È possibile scegliere di nascondere tutti i servizi Microsoft in modo da poter vedere quali servizi di terze parti sono installati.

FIG 23 - Configurazione di sistema, Servizi

La scheda Avvio è ancora presente, ma le voci di Avvio non sono abilitate per impostazione predefinita, quindi la scheda è vuota a meno che non le si abiliti.

FIG 24 - Configurazione di sistema, Avvio

Infine, la scheda Strumenti contiene diversi strumenti del sistema operativo. È possibile selezionare lo strumento e visualizzarne la posizione. Inoltre, è possibile fare clic sul pulsante Avvia per avviare effettivamente lo strumento.

FIG 25 - Configurazione di sistema, Strumenti

Utilità di pianificazione

L'Utilità di pianificazione consente di pianificare varie attività amministrative in modo che vengano eseguite automaticamente. Molti dei componenti di Windows sono già dotati di attività proprie.

È possibile creare attività personalizzate per l'esecuzione di script personalizzati o per eseguire altre azioni. L'utente sceglie il tipo di trigger da utilizzare. I trigger possono essere qualsiasi cosa, da un orario pianificato a un accesso, a un evento e così via.

FIG 26 - Utilità di pianificazione