S.Net Blog - La nuova casa della brugola informatica

System Center Advisor RTM

Silvio Di Benedetto — Thu, 26 Jan 2012 21:52:06 GMT

System Center Advisor, conosciuto con il codename Atlanta, è finalmente disponibile in modo ufficiale. Advisor è una soluzione basata su System Center Operations Manager e si tratta di monitoring via cloud, attraverso l'installazione di un agent sulle relative macchine.

Le macchine che possono essere monitorate sono solo Windows Server, mentre a livello di applicazioni, almeno per ora, troviamo SQL Server. Advisor dispone di moltissimi parametri di controllo per verificare che i vostri server abbiano tutte le patch necessarie installate o che non ci siano dei settaggi errati che possono andare ad impattare sulle performance; questi parametri sono aggiornati in tempo reale dai vari team di sviluppo, quindi si può dire che a livello di affidabilità di warning è un passo più avanti ad Operations Manager....e questo è uno dei tanti vantaggi delle soluzioni cloud.

System Center Advisor è disponibile solo per coloro che dispongono di una Software Assurance, su Windows Server e/o su SQL Server, quindi non sarà una soluzione venduta un modalità stand-alone. Per tutti coloro che però vogliono assaggiarne le potenzialità, è possibile usufruire della trial di 60 giorni.

System Center Advisor

Operations Manager 2007 R2: UNIX/Linux Heartbeat Failures

Silvio Di Benedetto — Wed, 25 Jan 2012 21:38:43 GMT

Tutti gli utilizzatori di System Center Operations Manager 2007 R2 si saranno accorti di un serio problema legato al monitoring delle macchine Unix / Linux, ovvero la perdita di heartbeat sul monitoring e sull'installazione. Quando si parla del deploy, l'errore che viene mostrato è quello della figura 1, dove lo stato del setup è su Failed.

Figura 1 - Errore in fase di Deploy Agent

E' bene notare che all'interno della macchina Linux, tutto risulta funzionante ed il servizio SCX viene avviato correttamente; eppure la comunicazione con il Management Server, o Gateway, non va. Aprendo il dettaglio dell'errore, compare un avviso come mostra la figura 2.

Figura 2 - Dettaglio Errore

Il dettaglio è The WinRM client received an HTTP status code of 501 from the remote WS-Management services. Questo problema è causato da una patch installata su Windows Server, che in teoria doveva risolvere una vulnerabilità sul SSL/TLS1.0; peccato che questa patch causa il blocco delle connessioni WS-Management, generando quanto descritto sopra. Per ovviare al problema, bisogna muoversi in due step:

- Rimuovere la patch KB2585542
- Modificare una chiave di registro per disabilitare SecureChannel

Per fare quest'ultima operazione è possibile usare FixIt, oppure seguire queste indicazioni:

- Aggiungere una chiave DWORD 32bit
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\SendExtraRecord = 2

Questa mossa va fatta su tutti i Management Server e Gateway che avete all'interno della vostra infrastruttura, in attesa che il team di sviluppo rilasci una contro-patch per sistemare tutto.

Operations Manager: ACS Report oltre ai 42 giorni

Silvio Di Benedetto — Mon, 16 Jan 2012 23:49:21 GMT

Chi utilizza System Center Operations Manager 2007, o soprattutto la sua componente di Audit (ACS), sa che il limite massimo di giorni visualizzabili sono 42. Questa funzione è nativa ed è stata impostata per evitare di generare traffico eccessivo; purtroppo il valore non cambia neppure se viene impostato un numero più alto in fase di setup. Esistono diversi workaround in merito, ma finalmente è stata rilasciata una guida che spiega come farlo in modo definitivo, attraverso la modifica dei vari file che si occupano della gestione dei report ACS; prima di proseguire è da tenere in considerazione che il limite pratico di SQL Server 2005 è 255 tabelle (ovvero giorni).

To update the data retention period, run the following SQL query:

USE OperationsManagerAC
UPDATE dtConfig
SET Value = <number of days to retain data + 1>
WHERE Id = 6

For example, to retain 7 days of data set <Value> = 8. Data is accumulated at approximately 7.6 MB per day per workstation.

On the Collector Server, navigate to C:\Windows\System32\Security\AdtServer. Edit the DbCreatePartition.sql SQL stored procedure in Notepad. Increase the days to 100 (or as per your requirements) by replacing 42 in the 5th line of for AdtServer.dvall, AdtServer.dvall5 and AdtServer.dvheader as shown below:

/*************************************************
*
* Create or update dvAll, the view across all partition views
*
**************************************************/
declare @iIsFirst int
declare @vchStmt nvarchar(max)
declare @vchPartitionId nchar(36)
declare cPartition cursor for
select top 42 PartitionId from dtPartition order by PartitionCloseTime desc
/***************************************************
*
* Create or update dvAll5, the view across all partition views limited to the first 5 strings
*
****************************************************/
declare @iIsFirst int
declare @vchStmt nvarchar(max)
declare @vchPartitionId nchar(36)
declare cPartition cursor for
select top 42 PartitionId from dtPartition order by PartitionCloseTime desc
/****************************************************
*
* Create or update dvHeader, the view across all partition views with no dtstring joins
*
*****************************************************/
declare @iIsFirst int
declare @vchStmt nvarchar(max)
declare @vchPartitionId nchar(36)
declare cPartition cursor for
select top 42 PartitionId from dtPartition order by PartitionCloseTime desc
3. On the Collector Server, navigate to C:\Windows\System32\Security\AdtServer. Edit the DbDeletePartition.sql SQL stored procedure in Notepad. Increase the days to 100 (or as per your requirements) by replacing 42 in the 5th line of AdtServer.dvall, AdtServer.dvall5 and AdtServer.dvheader as shown below:
/*****************************************************
*
* Create or update dvAll, the view across all partition views
*
******************************************************/
declare @iIsFirst int
declare @vchStmt nvarchar(max)
declare @vchPartitionId nchar(36)
declare cPartition cursor for
select top 42 PartitionId from dtPartition order by PartitionCloseTime desc
/******************************************************
*
* Create or update dvAll5, the view across all partition views limited to the first 5 strings
*
*******************************************************/
declare @iIsFirst int
declare @vchStmt nvarchar(max)
declare @vchPartitionId nchar(36)
declare cPartition cursor for
select top 42 PartitionId from dtPartition order by PartitionCloseTime desc
/******************************************************
*
* Create or update dvHeader, the view across all partition views with no dtstring joins
*
*******************************************************/
declare @iIsFirst int
declare @vchStmt nvarchar(max)
declare @vchPartitionId nchar(36)
declare cPartition cursor for
select top 42 PartitionId from dtPartition order by PartitionCloseTime desc
4. Restart the “Operations Manager Audit Collection Service” on the Collector Server

Maggiori informazioni le potrete trovare a questo link: 2663919 : System Center Operations Manager 2007 ACS reports return no more than 42 days of data

Novità per il 2012

Silvio Di Benedetto — Sat, 14 Jan 2012 01:43:30 GMT

Con l'anno nuovo è arrivato il tempo di fare un po' di ristrutturazioni sul sito web. Ho deciso di ritoccare il colore, passando da un verde ad un blu, e di introdurre alcune migliorie nel blog, tra cui:

- Possiblità di ricercare gli articoli, senza doverseli passare tutti in rassegna, tramite Google Search
- Inserimento dei pulsanti per Twitter e Facebook
- Piccoli miglioramenti

Il 2012 sarà un anno molto ricco di avvenimenti, che dovrebbero culminare con il lancio di Windows 8 e quindi saranno diverse le attività che mi vedranno coinvolto, anche a livello di comminity tramite WindowServer.it.

Rimanete collegati, perchè le novità non mancheranno.

Introduzione a Windows Intune v2

Silvio Di Benedetto — Wed, 14 Dec 2011 13:53:01 GMT

Poco più di un anno fa, Microsoft ha rilasciato un interessante strumento di gestione basato sul Cloud. Windows Intune permette agli amministratori IT PRO di eseguire diverse funzioni da remoto e di tenere sotto controllo l'andamento dei client aziendali, tramite una console web molto dettagliata. Questa soluzione non è solo utile per le aziende, ma è anche una possibilità per i consulenti che vogliono offrire un servizio di gestione remota, senza dover installare in casa del proprio cliente, server di vario genere.

E' ormai in commercio da qualche mese la versione 2, che introduce molte novità sul piano pratico, tra cui:

- Installazione Software
- Remote Task (Full/Quick Malware Scan, Restart, Update AV)
- Gestione Licenze Terze Parti
- Reportistica Avanzata
- Allarmi Personalizzati
- Supporto alle installazioni offline
- Miglioramenti di utilizzo e gestione della User Interface

Figura 1 - Console Windows Intune v2

La figura 1 mostra come cambia la nuova console, dove spicca sicuramente l'uso del tasto destro del mouse, benchè si tratta di un'applicazione Silverlight. Con la versione 2 è anche possibile fare l'installazione dell'agent su delle macchine base e poi distribuirle in modo centralizzato, cosa che comporta l'uso del sysprep.

Gestione Remota Task
In questa sezione, figura 2, è possibile eseguire task di vario genere, come la scansione approfondita dell'antivirus oppure il riavvio della macchina forzato.

Figura 2 - Gestione Task Remoti

Software Deploy
Sicuramente è una delle grandi novità, ovvero la possibilità di installare remotamente del software e selezionare a chi distribuirlo. Di default, con l'account Intune, vengono messi a disposizione 2GB di spazio su Windows Azure, il quale ospita i bit di installazione, che si possono ampliare in base alle proprie esigenze.

Figura 3 - Elenco Software

Figura 4 - Modalità Deploy Software

Ad oggi la distribuzione viene fatta in modo separato, in un wizard che permette di inviare i file di setup (.msi o .exe) e gli eventuali altri file. E' interessante la possiblità di poter personalizzare il setup, tramite inserimento di comandi unattended, e di poter selezionare i requisiti di distribuzione (es. Windows 7 x64). Terminato il deploy su Azure, sarà possibile selezionare per quali gruppi di macchine distribuire il software, così come avviene per la distribuzione degli aggiornamenti.

Firewall Policy
La gestione del firewall non è una cosa da poco e creare delle regole univoche è importante, ecco perchè con Intune è possibile settare le impostazioni in modo dettagliato su tutte le regole presenti all'interno di Windows. Così come avviene per la gestione classica, si può scegliere se abilitare una determinata regola e per quale profilo di rete (es. Private o Domain). Importante tenere in considerazione che le regole di Firewall, in presenza di una macchina in dominio, sono gestite sempre dal Domain Controller.

Figura 5 - Gestine Firewall

Agent Policy
Altro aspetto configurabile in modo centralizzato è quello dell'antivirus, che può essere gestito in modo completo dalla console web; sarà quindi possibile decidere di disattivare l'antivirus per una determinata macchina o creare delle regole di exclusion per determinati formati di file. Non manca la possibilità di scegliere quando effettuare la scansione parziale /totale dell'antivirus e quando scaricare gli aggiornamenti.

Figura 6 - Gestione Agent

Sia le regole per i Firewall che per gli Agent, sono distribuibili per gruppi di computer. Questo scenario permette di avere delle macchine settate in un modo ed altre in un altro ancora, senza troppi problemi.

Report
La parte di reportistica è stata ampliata notevolmente ed ora è possibile conoscere tutte le informazioni sui computer: dalle patch mancanti, alla configurazione hardware, passando per la parte software. L'ultimo aspetto è interessante, anche per scoprire se qualcuno ha installato o meno del software che non sono compliance all'infrastruttura.

Figura 7 - Report Hardware

Figura 8 - Report Update

Figura 9 - Report Software

Gestione Licenze
Questa componente era già presente nella versione iniziale di Windows Intune, ma con l'arrivo della v2 è stata introdotta la possibilità di gestire le licenze di terze parti. Il significato della parola "gestione", non ha niente a che vedere con l'inserimento di Product Key o cose simili, bensì è un sistema che permette di dire quante licenze di un determinato prodotto si hanno in casa e quante ne sono state utilizzate realmente, sempre tramite report.

Assistenza Remota
Come nella versione 1, è presente la possibilità di effettuare una chiamata di assistenza remota all'amministratore della console. Una volta accettata la richiesta, verrà avviato Easy Assist che consente di avere una chat tra l'utente ed il supporto tecnico, visualizzare lo schermo del richiedente, con possibilità di prendere il controllo della macchina al fine di sistemare i vari problemi di natura software.

Windows Intune è disponibile su sistemi client, da Windows XP SP3 in avanti, e che può essere acquistato in modalità singola o multipla. Il licensing prevede la possiblità di chiudere il contratto quando si desidera, mantenendo comunque in essere la licenza di Windows 7 Enterprise che viaggia insieme ad Intune.

Il costo di ogni singola licenza è di 11 euro al mese, che può variare verso il basso per i possessori di contratti SA. E' inoltre possibile, con un costo molto contenuto, inserire anche le licenze MDOP che servono per la gestione degli ambienti virtuali, e non solo.

Per tutti coloro che intedessero provare Windows Intune v2, possono farlo a questo link: http://www.microsoft.com/en-us/windows/windowsintune/try-and-buy.aspx

Data Protection Manager 2010: Ottimizzazione dei nastri

Silvio Di Benedetto — Wed, 14 Dec 2011 11:32:41 GMT

Una delle opzioni di backup previste da Data Protection Manager 2010, così come nelle versioni precedenti, è quella di poter archiviare su nastro il contenuto dei propri dati, in modo da poterli portare fuori dall'azienda, cosa che va incontro alle classiche regole di sicurezza. E' bene ricordare che il backup è una cosa fondamentale per un'azienda, ma anche per un privato, e che salvare i dati solo in un punto è potenzialmente pericoloso e che l'adozione di una strategia di backup remoto è sicuramente costosa, ma può anche salvare il lavoro di una vita.

Con l'avvento dei sistemi virtuali, in cui DPM può vivere tranquillamente (aka supportato da Microsoft), si è creato il problema di come poter salvare i dati su nastro dato che le periferiche di DAT non vengono viste. Un tool molto utile è Firestreamer che permette di avere una library tape avanzata, che in verità usa dei file dove i dati vengono archiviati e gestiti in modo completo da DPM. Questo programma è a pagamento, ma con una spesa abbastanza contenuta si possono fare grandi cose.

Ovviamente può essere necessario fare delle prove per capire quanto vanno ad occupare questi file; essendo il salvataggo su tape un sistema diverso, rispetto al salvataggio su disco, l'iter che viene attuato per il backup è molto semplice: la cassetta viene messa in Offsite Ready, vedi figura 1, fino a quando non deve essere eseguito l'altro ciclo di copia, cosa che però può avvenire anche dopo una settimana.

Figura 1 - Nastro in Offsite Ready

Quindi se fosse necessario capire quanto occupa un file Firestream, si dovrebbe attendere una, o più, settimane perchè venga eseguito il task. Per ovviare al problema, è necessario effettuare delle modifiche all'interno di DPM, in modo che venga modificato il Ratio di utilizzo e che venga attuata una politica di ottimizzazione dei nastri. Questa operazione si fa, sia per migliorare l'uso delle cassette, sia per permettere l'esecuzione di Recovery Point manuali su nastro.

Dalla console PowerShell di DPM bisogna lanciare questo comando:

Set-DPMGlobalProperty –DPMServerName <dpm server name> -TapeWritePeriodRatio <fraction>

Il Ratio è un valore che varia da 0 ad 1 con la possibilità di frazionare il numero (es. 0.10). Se la retention di riferimento è 30 giorni, data in cui la cassetta va in Expire, inserimendo il numero 0.30 si farà in modo che sarà possibile effettuare backup anche 10 giorni dopo l'esecuzione del task; dall'undicesimo giorno in avanti, il nastro passerà in Offsite Ready.

Per poter utilizzare la gestione del Ratio è necessario abilitare la Co-Location attraverso questo comando:

Set-DPMGlobalProperty -DPMServerName <dpm server name> -OptimizeTapeUsage $true

Dopo aver eseguito questi comandi, sarà possibile aprire nuovamente la console di DPM e verificare che tutto sia stato attivato, sempre dalla console di gestione dei nastri - figura 2.

Figura 2 - Nastro non in modalità Offsite

Per qualsiasi dubbio, è bene consultare questa guida TechNet: http://technet.microsoft.com/en-us/library/ff399230.aspx

Configurare IIS SMTP per lavorare con WordPress

Silvio Di Benedetto — Tue, 06 Dec 2011 17:38:53 GMT

WordPress è la soluzione sicuramente più famosa per creare, in modo facile, siti web, aziendali e non, portali di comunicazione, blog e molto altro ancora. I benefici di WP sono molti: dai plugin, alle skin già pronte all'uso e scaricabili direttamente al portale di amministrazione, per non parlare della facilità di configurazione.

WordPress è da un po' di tempo integrabile con IIS, soprattutto da quando Microsoft ha rilasciato la versione 7.0, presente in Windows Server 2008, che permette molta più modularità e soprattutto ha semplificato la gestione di moduli aggiuntivi e di piattaforme "diverse", come PHP.

L'installazione di WordPress è molto semplice e si esegue tramite la Web Platform Installer, disponibile gratuitamente sul sito IIS.net. Questo sito è un portale pieno di informazioni e di materiale da scaricare, che sicuramente tutti i WebAdmin dovrebbero visitare e tenere nei propri preferiti.

Ufficialmente, IIS 7.x non ha un suo motore di SMTP ma si appoggia ancora alla versione contenuta in IIS 6.0, installabile tramite l'apposita console del Server Manager. Tuttavia, WordPress richiede un motore SMTP per poter inviare notifiche, sia agli admin che agli utenti, quindi è necessario procedere con la configurazione dei parametri necessari per poterlo fare. Nel caso non si voglia utilizzare un server esterno, si può procedere con la configurazione in loco del SMTP Server di IIS ed interfacciarlo con WP.

Il primo passo consiste nell'installazione della Features del servizio SMTP - figura 1 - che richiede anche l'abilitazione di altre funzioni in IIS, come la console legacy. Una volta terminato il setup, sarà possibile aprire la console di IIS 6.

Figura 1 - Installazione SMTP

Figura 2 - Console SMTP

Sarà necessario avere abilitato l'accesso anonimo, figura 3, per consentire l'accesso a WP.

Figura 3 - Abilitazione Accesso Anonimo

Il passo successivo è consentire l'accesso al server, usando l'indirizzo locale, l'invio delle mail come mostra la figura 4.

Figura 4 - Abilitazione IP Locale

Da questo momento IIS è funzionante per l'invio mail e non resta che configurare WordPress. E' bene ricordare che, nel caso venissero usati account particolari come Application Pool, sarà necessario abilitarli nella sezione Security.

All'interno di WordPress è necessario installare il plugin chiamato WP-Mail-SMTP, che consente la configurazione dei parametri mail - figura 5.

Figura 5 - WP-Mail-SMTP

L'ultima fase riguarda l'inserimento dei dati generici per l'invio della mail, ovvero il Mail From ed il Mail Name. La figura 6 mostra come configurare la parte di server, ricordando che è necessario impostare l'indirizzo IP locale, e non usare localhost, e di non selezionare l'autenticazione SMTP.

Figura 6 – Configurazione WP-Mail-SMTP

Ora non resta che fare un test di invio, sempre nell'apposita schermata e verificare che sia tutto funzionante. Volendo è anche possibile evitare l'uso di WP-Mail-SMTP, basta configurare correttamente il file php.ini per l'invio della posta. Pochi passaggi che permettono l'integrazione definitiva tra IIS e WordPress.

Exchange Server 2010 Service Pack 2

Silvio Di Benedetto — Mon, 05 Dec 2011 22:05:21 GMT

Il team di sviluppo di Exchange ha annunciato il rilascio ufficiale della Service Pack 2 per Exchange Server 2010. Le novità introdotte sono le seguenti:

Hybrid Configuration Wizard
Exchange 2010 SP2 introduces the Hybrid Configuration Wizard which provides you with a streamlined process to configure a hybrid deployment between on-premises and Office 365 Exchange organizations. Hybrid deployments provide the seamless look and feel of a single Exchange organization and offer administrators the ability to extend the feature-rich experience and administrative control of an on-premises organization to the cloud.

Address Book Policies
Exchange 2010 SP2 introduces the address book policy object which can be assigned to a mailbox user. The ABP determines the global address list (GAL), offline address book (OAB), room list, and address lists that are visible to the mailbox user that is assigned the policy. Address book policies provide a simpler mechanism to accomplish GAL separation for the on-premises organization that needs to run disparate GALs.

Cross-Site Silent Redirection for Outlook Web App
With Exchange 2010 SP2, you can enable a silent redirection when a Client Access server receives a client request that is better serviced by a Client Access server located in another Active Directory site. This silent redirection can also provide a single sign-on experience when forms-based authentication is enabled on each Client Access server. For more information, see Understanding Proxying and Redirection.

Mini Version of Outlook Web App
The mini version of Outlook Web App is a lightweight browser-based client, similar to the Outlook Mobile Access client in Exchange 2003. It’s designed to be used on a mobile operating system. The mini version of Outlook Web App provides users with the following basic functionality:

Access to e-mail, calendar, contacts, tasks and the global address list
Access to e-mail subfolders
Compose, reply to, and forward e-mail messages
Create and edit calendar, contact, and task items
Handle meeting requests
Set the time zone and automatic reply messages

Mailbox Replication Service
In Exchange 2010 SP1, if you wanted to move mailboxes from on-premises to Outlook.com or to another forest, you had to enable MRSProxy on the remote Client Access server. To do this, you had to manually configure the web.config file on every Client Access server. In Exchange 2010 SP2, two parameters have been added to the New-WebServicesVirtualDirectory and Set-WebServicesVirtualDirectory cmdlets so that you don't have to perform the manual configuration: MRSProxyEnabled and MaxMRSProxyConnections. For more information, see Start the MRSProxy Service on a Remote Client Access Server.

Mailbox Auto-Mapping
In Exchange 2010 SP1, Office Outlook 2007 and Outlook 2010 clients can automatically map to any mailbox to which a user has Full Access permissions. If a user is granted Full Access permissions to another user's mailbox or to a shared mailbox, Outlook, through Autodiscover, automatically loads all mailboxes to which the user has full access. However, if the user has full access to a large number of mailboxes, performance issues may occur when starting Outlook. Therefore, in Exchange 2010 SP2, administrators can turn off the auto-mapping feature by setting the value of the new Automapping parameter to $false on the Add-MailboxPermission cmdlets. For more information, see Disable Outlook Auto-Mapping with Full Access Mailboxes.

Multi-Valued Custom Attributes
Exchange 2010 SP2 introduces five new multi-value custom attributes that you can use to store additional information for mail recipient objects. The ExtensionCustomAttribute1 to ExtensionCustomAttribute5 parameters can each hold up to 1,300 values. You can specify multiple values as a comma-delimited list.The following cmdlets support these new parameters:

Set-DistributionGroup
Set-DynamicDistributionGroup
Set-Mailbox
Set-MailContact
Set-MailPublicFolder
Set-RemoteMailbox

Litigation Hold
In Exchange 2010 SP2, you can’t disable or remove a mailbox that has been placed on litigation hold. To bypass this restriction, you must either remove litigation hold from the mailbox, or use the new IgnoreLegalHold switch parameter when removing or disabling the mailbox. The IgnoreLegalHold parameter has been added to the following cmdlets:

Disable-Mailbox
Remove-Mailbox
Disable-RemoteMailbox
Remove-RemoteMailbox
Disable-MailUser
Remove-MailUser

La Service Pack 2 è installabile anche in caso non sia presente ancora la SP1.

Exchange Server 2010 Service Pack 2

Operations Manager 2007-2012: Installazione Agent su macchine in Workgroup

Silvio Di Benedetto — Thu, 17 Nov 2011 01:50:29 GMT

Come tutti i prodotti della famiglia System Center, anche Operations Manager permette la gestione di macchine fuori dal dominio di appartenenza dell'infrastruttura principale. Da quando è stata introdotta questa funzione, il procedimento non è mai cambiato; il trust tra il server Operations Manager ed il computer in workgroup è fatto tramite certificato digitale.

Benchè non sia una cosa così complicata e lunga, è necessario prestare attenzione ad alcuni passaggi necessari per il corretto svolgimento delle attività e per avere un risultato positivo. Su Internet si trovano una miriade di articoli ma non ho mai visto niente di realmente chiaro e soddisfacente per gli utenti, quindi ho deciso di scrivere una mini guida che spiegherà come generare e configurare i certificati digitali, nonchè come installarli correttamente sui vari server.

Prima di iniziare, è doveroso dire che è necessario avere una CA interna, altrimenti si è costretti ad affidarsi ad un'azienda che offre certificati digitali validi e riconosciuti a livello mondiale.

Creazione Certificato
- Sul server dov'è installato il ruolo di Certification Authority, aprire la console dei Certificate Templates
- Duplicare il certificato Computer ed assegnargli la modalità di compatibilità Windows Server 2003

Figura 1 - Creazione Certificato

- Impostare un nome (es. Operations Manager)
- In Request Handling selezionare la voce Allow private key to be exported
- In Security selezionare Enroll per gli Authenticated Users (figura 2)

Figura 2 - Impostazione Enroll

- Aprire la console Certification Authority e nella sezione Certificate Templates caricare il nuovo template appena creato (figura 3)

Figura 3 - Caricamento Template

A questo punto la prima parte è stata chiusa; adesso bisogna procedere con la generazione dei certificati per il server Operations Manager e per tutti i computer fuori dominio che si vuole monitorare.

Richiesta Certificato
- Sul server SCOM, lanciare la MMC ed aggiungere gli snap-in Certificates, sia Local Computer che My Users
- Avviare Internet Explorer ed aprire il sito web della CA (es. https://rootca/certsrv), usando un set di credenziali presenti a dominio

NB: da Windows Server 2008, per emettere certificati digitali via web è necessario che il sito viaggi su canale SSL

- Scaricare il Root Certificate Chain, in formato .cer, che dovrà essere installato nelle Trusted Root Certification Authorities, vedi mmc aperta poco prima, nella categoria Local Computer. Senza questo certificato, non sarà possibile installare niente dal sito web
- Sempre dal sito web, cliccare su Request a certificate -> Advanced certificate request -> Create and submit a request to this CA
- Selezionate il template del certificato che avete creato e compilate i dati, figura 4, specificando il nome della macchina ed il Friendly Name. In caso del server SCOM specificare l'FQDN, mentre per le macchine fuori dominio basterà il classico NETBIOS.

Figura 4 - Compilazione Dati Certificato

- Concludere l'operazione ed installare il certificato

L'ultima cosa che manca è quella di spostare il certificato dalla sezione My Users a Local Computer. Quando si richiede un certificato via web, viene installato per uso personale e non per uso generico. Sempre dalla MMC aperta in precedenza, andare nella sezione My Users -Personal.

- Esportare il certificato che ha il Friendly Name uguale a quella appena creato
- Selezionare l'esportazione anche della chiave privata e salvarlo sul desktop con un nome a piacere (niente di complesso, tanto poi il certificato si potrà eliminare)
- Reimportare lo stesso certificato nella sezione Local Computer - Personal

Ultimata questa parte, rimangono pochi passaggi da svolgere sul server Operations Manager.

- Montare il DVD di Operations Manager e lanciare il comando MOMCertImport, situato in Support -> AMD64/i386, con l'elevazione di permessi (figura 5).

Figura 5 - MOMCertImport

NB: Per chi utilizza sistemi da Windows Server 2008 in poi, è fondamentale lanciare il comando in questo modo, altrimenti sembrerà che l'attività sia stata svolta correttamente ma in realtà non sarà così.

- Selezionare il certificato che ha lo stesso Friendly Name impostato in precedenza - figura 6.
- Riavviare il servizio System Center Management Manager (quello che gestisce il collegamento con gli agent)

Figura 6 - Selezione Certificato

Adesso il server Operations Manager utilizza un certificato non autogenerato e quindi capace di creare un collegamento con altre macchine.

Installazione Agent
- Installare l'agent sul computer che si desidera, indicando il nome del Group Management e del server al quale ci si vuole collegare
- Ripetere la procedura descritta in precedenza per la generazione del certificato con relativo spostamento nel Local Computer
- Ripetere la procedura con il comando MOMCertImport.exe, stando attenti anche qui a lanciarlo con l'elevazione dei permessi
- Riavviare il servizio System Center Management

Se tutto è stato fatto correttamente, nel server Operations Manager, sotto Pending Installation troverete il vostro computer in workgroup, come mostra la figura 7, in caso contrario nell'Event Viewer troverete questi errori nella sezione Operations Manager.

Figura 7 - Installazione Agent Riuscita in attesa di Approvazione

Figura 8 - Agent che non riesce a comunicare con il server

Ricordarsi di abilitare l'approvazione manuale degli agent da Operations Manager, sezione Security, dato che di default questa funzione è disabilita e quindi non è possibile aggiungere macchine manualmente.

Una procedura lunga solo la prima volta, dato che va fatto anche su SCOM, ma poi diventa molto rapida. Questo articolo è scritto per Operations Manager 2012 ma è valido anche per la versione 2007 e 2007 R2, fatta eccezione per i nomi dei servizi che cambiano.

Windows Server 8: Hyper-V 3.0 Replication Error

Silvio Di Benedetto — Wed, 16 Nov 2011 00:31:17 GMT

Una delle funzioni più interessanti di Hyper-V 3.0, presente in Windows 8 Server, è quella di replica. Questa nuova features consente di effettuare una serie di operazioni di copia, a caldo, in diverse modalità. La funzione di Replication va attivata all'interno della console di Hyper-V ma anche dopo aver fatto questa operazione c'è qualcosa che manca. Provando a lanciare una replica verso un altro server, comparirà una schermata simile a quella della figura 1.

Figura 1 - Errore Replication

La causa è legata al fatto che una volta che viene impostata la replica, non viene impostata la porta sul firewall di Windows. Per ovviare alla cosa basta, appunto, creare una regola che consenta il traffico tra i due server - figura 2. E' possibile creare una regola più dettagliata, impostando l'IP del server, o dei server, che devono accedere a questa funzione, e lo scopo (Domain).

Figura 2 - Creazione Regola sul Firewall

Trattandosi di una pre-Beta è normale che ci siano bug così, quindi con una semplice operazione di "cucitura" è possibile risolvere la cosa.