Visualizzazione post con etichetta configurazione. Mostra tutti i post
Visualizzazione post con etichetta configurazione. Mostra tutti i post

mercoledì 25 ottobre 2023

Windows Server 2022: Configurazione IP Address Management

L'installazione di IPAM, vista nell'articolo precedente, è molto semplice. Terminata l'installazione passiamo, in questo articolo, alla sua configurazione. Tutte le operazioni da eseguire per la configurazione di IPAM vengono visualizzate come attività numerate nella barra di avvio rapido dopo aver fatto clic su Gestione indirizzi IP in Srever Manager.

Configurazione IPAM

Colleghiamoci, con un account che abbia i privilegi di amministratore del dominio (per semplificarci la vita), al server su cui è installata la funzionalità IPAM. In Server Manager, cliccare su Gestione indirizzi IP presente nel menu di sinistra.
Server Manager, Gestione indirizzi IP
FIG 1 - Server Manager, Gestione indirizzi IP

Come visibile in FIG 2, nel riquadro di avvio rapido, l'attività 1 Connetti a server  di Gestione indirizzi IP è già stata completata. Cliccare sul link relativa all'attività 2 Esegui provisioning server Gestione indirizzi IP per avviare il Wizard.
Gestione indirizzi IP
FIG 2 - Gestione indirizzi IP

Nella schermata Prima di iniziare vengono fornite informazioni relative alla Gestione indirizzi IP.
Gestione indirizzi IP offre una piattaforma di gestione monitoraggio e controllo centralizzata per lo spazio di indirizzi IP e i server infrastruttura corrispondenti nella rete. Gestione indirizzi offre tali funzionalità nei server Windows seguenti:
  • Server DHCP
  • Server DNS
  • Server dei criteri di rete
  • Controller di dominio Active Directory
É possibile scegliere che i server vengano o meno gestiti da Gestione indirizzi IP. I server gestiti devono essere configurati con impostazioni di accesso che consentano a Gestione indirizzi IP di gestirli, monitorarli o controllarli in remoto. É possibile configurare le impostazioni manualmente in ogni server oppure eseguire automaticamente il provisioning dei server gestiti mediante oggetti Criteri di gruppo.

Questa procedura guidata consente inoltre di scegliere ed eventualmente creare un database di Gestione indirizzi IP. Durante il provisioning vengono inoltre creati gruppi di sicurezza locali che possono essere utilizzati per assegnare i ruoli di amministratore.

Se si sceglie il metodo di provisioning basato sugli oggetti Criteri di gruppo, non è possibile passare al metodo manuale dopo il completamento della procedura guidata. É tuttavia possibile utilizzare il cmdlet Windows PowerShell Set-IpamConfiguration per passare dal provisioning manuale a quello basato sugli oggetti Criteri di gruppo in un secondo momento, se lo si desidera.

Cliccare su Avanti per proseguire.
Esegui provisioning server Gestione indirizzi IP
FIG 3 - Esegui provisioning server Gestione indirizzi IP

É possibile configurare Gestione indirizzi IP per l'archiviazione dei dati in Database interno di Windows o in un database di Microsoft SQL Server. Per utilizzare SQL, nel server di database deve essere in esecuzione SQL Server 2008 R2 o versione successiva. Nella schermata Configura database, accettare il database interno di Windows predefinito e fare clic su Avanti.
Configura database
FIG 4 - Configura database

Nella schermata Metodo di provisioning, selezionare l'opzione Basata su Criteri di gruppo e digitare, nell'apposita casella, il prefisso del nome dell'Oggetto Criteri di gruppo (in FIG è stato inserito il prefisso IPAM che permette di identificare rapidamente le GPO create da Gestione indirizzi IP). Una GPO è una raccolta di impostazioni che descrivono il comportamento o l'aspetto di un sistema per gli utenti. Può essere indirizzata agli utenti e/o ai computer. Come indicato nella descrizione dell'opzione:
Il metodo di provisioning basato su Criteri di gruppo richiede la creazione di oggetti Criteri di gruppo in ogni dominio gestito con il server di Gestione indirizzi IP. Gestione indirizzi IP configurerà automaticamente le impostazioni nei server gestiti aggiungendo il server all'oggetto Criteri di gruppo appropriato. Ciò può risultare particolarmente utile in una rete di grandi dimensioni con moti server gestiti. Gli oggetti Criteri di gruppo creati dall'utente devono rispettare le convenzioni di denominazione utilizzate da Gestione indirizzi IP. É tuttavia possibile personalizzare il nome dell'oggetto Criteri di gruppo con un prefisso a scelta. Tale prefisso deve essere univoco per ogni server di Gestione indirizzi IP in una foresta Active Directory.
Una volta specificato il prefisso, cliccare sul pulsante Avanti per proseguire.
Metodo di provisioning
FIG 5 - Metodo di provisioning

Nella schermata Riepilogo vengono elencate le modifiche che verranno apportate dalla procedure guidata:
  • Esegue il provisioning del server di Gestione indirizzi IP per l'utilizzo del metodo di provisioning basato su oggetti Criteri di gruppo. Gestione indirizzi IP utilizza i Criteri di gruppo per configurare le impostazioni di accesso richieste nei server gestiti. Tali impostazioni verranno applicate ai server gestiti utilizzando gli oggetti Criteri di gruppo seguenti:
    - IPAM_DHCP per server DHCP
    - IPAM_DNS per server DNS
    - IPAM_DC_NPS per controller di dominio e Server dei criteri di rete

    Creare gli oggetti Criteri di gruppo in ogni dominio gestito di Gestione indirizzi IP tramite il cmdlet Windows PowerShell di Gestione indirizzi IP Invoke-IpamGpoProvisioning. Per creare e applicare questi oggetti Criteri di gruppo, sono necessari privilegi Domain Admins.
  • Crea il database di Gestione indirizzi IP in WID e configura l'accesso.
  • Creare nel server Gestione indirizzi IP attività pianificate per raccogliere dati dalla rete.
  • Creare nel server Gestione indirizzi IP i gruppi di sicurezza locali utilizzati per assegnare i ruoli di amministratore.
  • Abilita la funzionalità di monitoraggio degli indirizzi IP nel server Gestione indirizzi IP.
Cliccare su Applica.
Riepilogo
FIG 6 - Riepilogo


Nella finestra Completamento cliccare su Chiudi per terminare la procedura guidata. 
Completamento
FIG 7 - Completamento


Il passo successivo consiste nell'estendere i nuovi criteri di gruppo al dominio. L'operazione va eseguita in ogni dominio che si desidera far gestire a IPAM.

Fare clic con il pulsante destro del mouse sul menu Start del server IPAM e selezionare Windows PowerShell (amministratore).

Il seguente passaggio dovrà essere eseguito da un account appartenente al gruppo amministratori di dominio. Il comando da eseguire sarà del tipo
Invoke-IpamGpoProvisioning -Domain <nome del dominio> -GpoPrefixName "IPAM" -force
Ad esempio, nel nostro caso il comando sarà
Invoke-IpamGpoProvisioning -Domain mycompany.local -GpoPrefixName "IPAM" -force

Confermare che si desidera eseguire questa operazione tre volte, una per ogni criterio creato. I criteri sono: IPAM_DC_NPS, IPAM_DHCP e IPAM_DNS.
PowerShell cmdlet Invoke-IpamGpoProvisioning
FIG 8 - PowerShell cmdlet Invoke-IpamGpoProvisioning

Tornare al riquadro di avvio rapido di Gestione indirizzi IP in Server Manager. Cliccare sul link relativa all'attività 3 Configura individuazione server.
Gestione indirizzi IP, Configura individuazione server
FIG 9 Gestione indirizzi IP, Configura individuazione server

Cliccare sul pulsante Recupera foreste.
Configura individuazione server
FIG 10 - Configura individuazione server

Verrà avviata un'attività in background per recuperare le foreste trusted. cliccare sul pulsante OK presente nella finestra di dialogo. Quindi chiudere la finestra Configura individuazione server e attendere che l'attività venga completata.
Configura individuazione server, avvio attività in background
FIG 11 - Configura individuazione server, avvio attività in background

Cliccare nuovamente su 3 Configura individuazione serverQuesta volta verranno inseriti la foresta e il dominio. Cliccare sul pulsante Aggiungi accanto al dominio.
Configura individuazione server
FIG 12 - Configura individuazione server

Selezionare i ruoli del server che si desidera far rilevare a IPAM. La schermata dovrebbe essere simile a quella della FIG 13. Cliccare su OK.
Selezione ruoli server da individuare
FIG 13 - Selezione ruoli server da individuare

Cliccare su 4 Avvia individuazione server.  Questa operazione pianifica un lavoro di rilevamento. Attendere il completamento. L'utente verrà avvisato al termine del lavoro (tramite le notifiche di Server Manager)
Avvia individuazione server
FIG 14 - Avvia individuazione server

Terminata l'attività di individuazione server, cliccare su 5 Seleziona o aggiungi server per gestire e verificare l'accesso di Gestione indirizzi IP
Seleziona o aggiungi server per gestire e verificare l'accesso di Gestione indirizzi IP
FIG 15 - Seleziona o aggiungi server per gestire e verificare l'accesso di Gestione indirizzi IP

Fare clic con il pulsante destro del mouse sul server e scegliere Modifica server.
Inventario Server
FIG 16 - Inventario Server

Modificare l'elenco a discesa Stato gestibilità da Non specificato a Gestito, come mostrato in FIG 17 e assicurarsi che in Tipo server siano selezionati i server che si intendono rilevare. Cliccare su OK.
Aggiungi o modifica server
FIG 17 - Aggiungi o modifica server

Questo aggiunge il server gestito alle GPO create in precedenza. In questa fase è possibile che venga visualizzato lo stato di accesso IPAM bloccato (FIG 18). In genere, ciò significa che i criteri di gruppo non sono ancora stati applicati all'altro sistema (supponendo di aver utilizzato Criteri di gruppo per il metodo di provisioning). Per risolvere questo problema, accedere all'altro sistema, aprire una finestra PowerShell e digitare Invoke-GPUpdate -Force seguito da invio. Quindi tornate al server IPAM, fate clic con il pulsante destro del mouse sul sistema in questione e scegliete Aggiorna stato accesso server. Se ancora non funziona, potrebbe essere necessario riavviare il server da gestire.
Stato di Accesso bloccato
FIG 18 - Stato di Accesso bloccato

Aggiorna stato accesso server
FIG 19 - Aggiorna stato accesso server

Cliccare, con il tasto destro del mouse, sul server gestito e scegliere Recupera tutti i dati del server. Al termine del processo di recupero, è possibile iniziare a gestire il server aggiunto tramite IPAM. 
Recupera tutti i dati server
FIG 20 - Recupera tutti i dati server






lunedì 4 settembre 2023

Windows Server 2022: Configurazione Servizi di dominio Active Directory

Dopo l'installazione del ruolo Servizi di dominio Active Directory, il passo successivo è quello di promuovere il nostro server a Domain controller. L'operazione può essere eseguita sia cliccando sull'apposito link Alza di livello il server a controller di dominio (FIG 1) che ci viene mostrato dopo l'installazione del servizio Active Directory sia utilizzando il link che ritroviamo cliccando sull'icona delle notifiche (FIG 2).
Alza di livello il server a controller di dominio
FIG 1 - Alza di livello il server a controller di dominio
Server Manager, Notifiche
FIG 2 - Server Manager, Notifiche

Una volta cliccato sul link verrà avviato il Wizard Configurazione guidata Servizi di dominio Active Directory. Come primo passo bisogna selezionare una delle seguenti 3 opzioni:
  1. Aggiungi un controller di dominio a un dominio esistente;
  2. Aggiungi un nuovo dominio a una foresta esistente;
  3. Aggiungi una nuova foresta.
Configurazione distribuzione
FIG 3 - Configurazione distribuzione

Dato che stiamo creando da zero la nostra infrastruttura e nella rete non è presente alcuna foresta/dominio, l'opzione da selezionare è Aggiungi una nuova foresta. Nell'apposita casella va inserito il nome del dominio radice che si intende creare. Il nome sarà composto da due parti: il nome vero e proprio e un suffisso separati da un punto (ad es. forest.com, azienda.com, miodominio.local). Generalmente per i domini che non devono essere visibili dall'esterno si preferisce utilizzare il suffisso .local. Digitare il nome del dominio radice (in FIG 4 è stato inserito mycompany.local) che si intende creare quindi cliccare su Avanti per proseguire. Il nome del dominio inserito sarà anche quello della foresta.
Aggiungi una nuova foresta
FIG 4 - Aggiungi una nuova foresta

Il passo successivo consiste nello specificare le opzioni del controller di dominio. Le prime impostazioni sono relative al livello di funzionalità della foresta e del dominio. I software Active Directory installati su più server dell'infrastruttura devono essere compatibili tra loro: se all'interno della foresta c'è un server Domain Controller con installato Windows Server 2012 R2 allora gli altri server devono avere un livello di funzionalità compatibile con tale versione. Al momento la versione più recente del livello di funzionalità è Windows Server 2016. Dato che useremo solo server Windows Server 2022 all'interno dell'infrastruttura, selezioniamo Windows Server 2016 come livello di funzionalità per la foresta e il dominio.  Le successive tre opzioni consentono di specificare le funzionalità del controller di dominio: Server DNS (Domain Name System), Catalogo globale (Global Catalog), Controller di dominio di sola lettura. Per il Domain Controller è necessario che sia presente un Server DNS. Active Directory dipende fortemente dal DNS in quanto registra tutti i tipi di record di servizio (SRV) nel DNS per localizzare servizi specifici necessari per il suo corretto funzionamento. Il server DNS può essere installato anche su altre macchine della rete ma è preferibile che sia installato su un Domain Controller. Nel nostro caso lasciamo selezionata l'opzione Server DNS. (se il ruolo server DNS è stato già installato sul server non sarà possibile disabilitare tale opzione). Oltre al DNS è necessario installare anche il catalogo globale . Come visibile in figura l'opzione relativa al Catalogo globale non può essere disattivata in quanto fondamentale per il corretto funzionamento del nostro Domain Controller. La casella Controller di dominio di sola lettura consente di creare una copia di sola lettura del database di Active Directory su un server ubicato in un posto non del tutto sicuro. Trattandosi del primo Domain Controller l'opzione è disattivata: il primo controller di dominio all'interno dell'infrastruttura non può essere di sola lettura (Read Only Domain Controller o RODC). In questa fase viene anche richiesto di specificare e confermare la password da utilizzare in caso di ripristino dei servizi directory (Directory Services Restore Mode o DSRM). Una volta specificate le opzioni/impostazioni cliccare su pulsante Avanti.
Opzioni controller di dominio
FIG 5 - Opzioni controller di dominio

Il ruolo di Server DNS è già installato sulla macchina ma non è integrato in AD.  Verrà visualizzato il messaggio 
Impossibile creare una delega per questo server DNS perché la zona padre autorevole non è stata trovata oppure non esegue il server DNS Windows. Se si sta effettuando l'integrazione con un'infrastruttura DNS esistente, è consigliabile creare manualmente una delega per il server DNS nella zona padre per garantire una risoluzione dei nomi affidabile dall'esterno del dominio "mycompany.local". In caso contrario, non è necessario eseguire alcuna operazione.
Cliccare su Avanti per proseguire. Dell'integrazione del DNS in AD ce ne occuperemo in un secondo momento.
Opzioni DNS
FIG 6 - Opzioni DNS
Nella finestra Opzioni aggiuntive è possibile settare il nome NetBIOS del dominio. NetBIOS consente alle applicazioni che si trovano su diversi computer, di comunicare tra loro. Accettare il NetBIOS domain name suggerito e cliccare su Avanti.
Opzioni aggiuntive
FIG 7 - Opzioni aggiuntive
Nel passo successivo è possibile specificare il percorso in cui salvare il database di Active Directory, il file di log e il percorso per la cartella condivisa SYSVOL. In ambiente di produzione generalmente è preferibile salvare tali informazioni in uno o più dischi dedicati formattati come NTFS. La cartella condivisa SYSVOL viene utilizzata per condividere informazioni come script ed elementi relativi agli oggetti Group Policy (in AD tutti gli elementi sono considerati oggetti) tra i Domain Controller. Come tutti i grandi Database anche Active Directory è composto da un file principale e un file di log che tiene traccia delle transazioni. Le modifiche effettuate al database vengono prima scritte all'interno del file di log e successivamente riportate all'interno del database. Se il server dovesse per qualche motivo spegnersi nel bel mezzo di una modifica, al successivo avvio del server Active Directory può utilizzare il file di log per assicurarsi che il database sia in uno stato coerente. Nel nostro caso non modifichiamo le impostazioni di default e proseguiamo cliccando su Avanti.
Percorsi
FIG 8 - Percorsi

Nella fase Verifica opzioni viene mostrato un riepilogo delle impostazioni selezionate nei passaggi precedenti. Presa visione delle opzioni, cliccare su Avanti per procedere.
Verifica opzioni
FIG 9 - Verifica opzioni

Nella finestra successiva del Wizard, Controllo dei prerequisiti, viene eseguita una verifica sui prerequisiti necessari alla promozione del server a controller di dominio. Come visibile in FIG 10 ci sono dei Warning (evidenziati dall'icona triangolare gialla con punto esclamativo) che, tuttavia, in questo caso non impediscono di proseguire nell'installazione. Tali segnalazioni vanno comunque prese in considerazione al fine di stabilire le attività da eseguire successivamente per il corretto funzionamento del controller di dominio. Se vengono rispettati i prerequisiti sarà possibile cliccare sul pulsante Installa per l'installazione del software. Come indicato all'interno della finestra Controllo dei prerequisiti, il server verrà riavviato automaticamente al termine dell'operazione di innalzamento di livello.
Controllo dei prerequisiti
FIG 10 - Controllo dei prerequisiti

Dopo il riavvio del server noteremo una novità all'interno della schermata di logon: adesso l'accesso avviene come amministratore di dominio (MYCOMPANY\Administrator) e non come amministratore locale. Eseguire il logon inserendo la password dell'utente Administrator.
Logon come amministratore di dominio
FIG 11 - Logon come amministratore di dominio



venerdì 25 agosto 2023

Windows Server 2022: Configurazione Server DHCP

Terminata l'installazione del ruolo Server DHCP è necessario procedere alla sua configurazione. Dopo l'installazione, accanto al link delle notifiche (l'icona della bandierina) di Server Manager apparirà un triangolo giallo con un punto esclamativo ad indicare che c'è un'operazione da portare a termine.

Cliccare sulla bandierina delle notifiche quindi sul link Completa configurazione DHCP.
Server Manager
FIG 1 - Server Manager

Verrà avviata la configurazione guidata post-installazione DHCP con una breve descrizione delle operazioni da eseguire. Cliccare su Avanti.
Configurazione guidata post-installazione DHCP
FIG 2- Configurazione guidata post-installazione DHCP
Dato che al momento non è ancora disponibile il servizio di Dominio Active Directory, selezionare l'opzione Ignora Autorizzazione Active Directory e cliccare su Commit.
Autorizzazione
FIG 3 - Autorizzazione

Nel caso compaia una finestra di errore ignorarla e chiuderla. Dato che non è ancora installato il ruolo di Active Directory, il server DHCP non potrà distribuire alcun indirizzo. Al termine dell'installazione cliccare sul pulsante Chiudi.
Riepilogo
FIG 4 - Riepilogo

Dal menu Strumenti di Server Manager cliccare su DHCP.
Server Manager, Strumenti
FIG 5 - Server Manager, Strumenti
Fare clic sulla freccia accanto al nome del server e poi sulla freccia accanto a IPv4.
DHCP
FIG 6 - DHCP
Fare clic con il pulsante destro del mouse su IPv4 e scegliere Nuovo ambito. Un ambito DHCP definisce gli indirizzi IP disponibili per il leasing ("l'affitto") ai sistemi che si trovano sulla sottorete definita. Per ogni sottorete della rete è necessario definire un ambito DHCP separato prima di poter assegnare indirizzi IP ai sistemi che si trovano in quella sottorete.
Creazione Nuovo ambito
FIG 7 - Creazione Nuovo ambito
Nella finestra di benvenuto alla procedura guidata del nuovo ambito, scegliere Avanti.
Creazione guidata ambito
FIG 8 - Creazione guidata ambito
Nella schermata Nome dell'ambito, è possibile lasciare vuota la descrizione e fare clic su Avanti. Per questo esempio, all'ambito verrà assegnato il nome Skyscraper1.
Nome ambito
FIG 9 - Nome ambito
Nella finestra successiva, Intervallo indirizzi IP, inserire il pool di indirizzi che si intende far gestire al server DHCP e la maschera di sottorete, quindi cliccare su Avanti per proseguire. Per questo esempio è stato creato un ambito molto piccolo. Normalmente l'ambito sarebbe molto più ampio, potenzialmente un'intera subnet.
Intervallo indirizzi IP
FIG 10 - Intervallo indirizzi IP
Nella schermata Aggiungi esclusioni e ritardo, digitare gli indirizzi (o intervalli di indirizzi) che non dovranno essere distribuiti dal server. È possibile inserire un indirizzo di router o altri indirizzi di dispositivi che esistono nell'ambito ma che non devono essere assegnati da questo server. Inserito l'indirizzo o l'intervallo di indirizzi da escludere cliccare su Aggiungi. Una volta specificati e aggiunti tutti gli indirizzi/intervalli di indirizzi desiderati, cliccare su Avanti per proseguire.
Aggiungi esclusioni e ritardo
FIG 11 - Aggiungi esclusioni e ritardo
Nel passo successivo bisogna procedere alla configurazione della durata del leasing. Nella schermata Durata lease, si può notare che l'impostazione predefinita è di otto giorni. Nella maggior parte dei casi, questo valore andrà bene. Fare click su Avanti.
Durata lease
FIG 12 - Durata lease
In Configura opzioni DHCP, lasciare l'opzione Sì, configurare le opzioni adesso e cliccare su Avanti.
Configura opzioni DHCP
FIG 13 - Configura opzioni DHCP
Nella schermata Router (Gateway predefinito), digitare l'indirizzo IP del gateway che verrà assegnato ai client, quindi cliccare su Aggiungi. É possibile aggiungere più indirizzi IP. Terminata la configurazione, cliccare su Avanti per proseguire.
Router (gateway predefinito)
FIG 14 - Router (gateway predefinito)
In Nome dominio e server DNS, specificare, se non presente, il nome di dominio padre creato in precedenza sul server DNS e indicare gli indirizzi IP di eventuali altri server DNS presenti all'interno dell'infrastruttura. Cliccare su Avanti.
Nome dominio e server DNS
FIG 15 - Nome dominio e server DNS

Nella schermata Server WINS, è possibile inserire il nome o l'indirizzo IP di un server WINS sulla rete. I server WINS possono essere utilizzati daci computer che eseguono Windows per convertire i nomi computer NetBIOS in indirizzi IP. Cliccare su Avanti.
Server WINS
FIG 16 - Server WINS

Nella finestra successiva, Attiva ambito, lasciare selezionata l'opzione Si, attiva l'ambito adesso e cliccare su Avanti.
Attiva ambito
FIG 17 - Attiva ambito
La configurazione è terminata. Cliccare su Fine per chiudere la finestra della creazione guidata ambito.
Completamento della Creazione guidata ambito
FIG 18 - Completamento della Creazione guidata ambito

Come visibile, il servizio DHCP non è attivo in quando, per questioni di sicurezza, il server deve essere autorizzato all'interno di Active Directory. L'autorizzazione è una precauzione di sicurezza che assicura l'esecuzione sulla rete soltanto dei server DHCP autorizzati.
DHCP
FIG 19 - DHCP