Windows 2012 R2: We couldn’t complete the updates. Undoing changes.

In questi giorni sto configurando un nuovo server per un cliente con Windows Server 2012 R2 con il ruolo di Hyper-V, una volta installate le varie macchine virtuali è giunto il momento degli aggiornamenti, dopo aver installato il WSUS e scaricati gli update si parte con l’installazione:

Installing updates...dopo una mezz’ora buona riavvio le macchine virtuali e non è più possibile entrare in RDP!!!

Mi collego allora dalla console di Hyper-V e mi accorgo che il problema è che la VM sta facendo il roll-back degli aggiornamenti, operazione che durerà un’altra mezz’ora:

We couldn't complete the updates

Il problema è dovuto a una incompatibilità della patch di sicurezza KB2920189 con il Secure Boot delle VM Gen2.

La soluzione è molto semplice, dovete spegnere la macchina virtuale, andare nelle proprietà della VM stessa e disabilitare il Secure Boot:

Secure BootUna volta avviata potete installare gli aggiornamenti senza problemi.

Installazione di WordPress su Windows Subsystem for Linux

Torniamo a parlare di Windows Subsystem for Linux, questa volta per una prova “pratica”. Proveremo infatti a configurare nell’ambiente creato in precedenza (https://www.ictpower.it/guide/apache-php-e-mysql-su-windows-subsystem-for-linux-e-possibile.htm) un sito basato sul famoso CMS WordPress.

L’ambiente citato è una architettura di tipo Linux, sul quale sono installati i servizi Apache (webserver) MySQL (database engine) e PHP (interprete di comandi), ottenuto però su una macchina Windows 10 su cui è attiva la funzionalità Windows Subsystem for Linux. Per l’installazione di questa funzionalità vi riporto al seguente articolo (https://www.ictpower.it/sistemi-operativi/windows-subsystem-for-linux-finalmente-in-una-release-ufficiale.htm).

La scelta di WordPress per questo test non è casuale. Ho scelto un sistema relativamente complesso, a larga diffusione, che trovi dei vantaggi nell’utilizzo di una architettura basata su Linux. Il vantaggio fondamentale è quello di lavorare su una piattaforma software che è nata e sviluppata per linux e che quindi offre su questo sistema operativo maggiori performance e flessibilità. Non a caso la stragrande maggioranza dei provider che forniscono server pronti per ospitare siti WordPress mettono a disposizione per questo CMS delle macchine linux.

Premesso quindi che abbiamo un’architettura LAMP (Linux, Apache, MySQL, PHP) pronta, iniziamo con il download dell’ultima versione di WordPress disponibile direttamente dalla pagina http://it.wordpress.org, preferendo il formato .tar.gz. Questo formato è un archivio con algoritmo gunzip facilmente manipolabile da riga di comando tramite bash.

Terminato lo scaricamento del file nella cartella Dowload del nostro utente possiamo quindi avviare Windows bash ed eseguire il seguente comando per scompattare l’archivio:

tar xvfz <nomearchivio.tar.gz>

L’output ci farà vedere in tempo reale i nomi dei files mentre vengono scompattati e produrrà una cartella chiamata wordpress, che contiene tutto il necessario per dare il via all’installazione del nostro CMS.

Proponiamo uno screenshot con il quale cogliamo l’occasione di mostrare il comportamento di alcuni altri semplici comandi:

pwd – mostra il path corrente

cd <path> – cambia il path corrente con quello specificato

ls – visualizza i file nel path corrente (equivalente del DIR di DOS)

Al termine delle operazioni avremo la cartella wordpress decompressa all’interno della cartella Download, posizione originale del file .tar.gz.

A questo punto possiamo cambiare la configurazione del webserver per puntare direttamente alla cartella di WordPress, ma questa è un’operazione relativamente complessa. Proviamo ad ottenere lo stesso risultato con qualcosa di più semplice. Possiamo infatti spostare questa cartella all’interno del path che rappresenta la home predefinita del webserver stesso. La home predefinita di Apache su Ubuntu, e quindi su Windows Subsystem for Linux, è la seguente:

/var/www/html

Per spostare la cartella di WordPress utilizzeremo il comando mv (move), che ha la seguente sintassi:

mv <oggetto> <nuovopath>

nel nostro caso quindi possiamo eseguire:

mv wordpress /var/www/html/

e subito verificare che la cartella ora è effettivamente posizionata nel nuovo percorso eseguendo:

cd /var/www/html/

ls

così come mostrato nello screenshot seguente:

Ora non ci rimane che creare un database e possiamo farlo con poche righe di codice utilizzando il client per MySQL fornito da linux. Il comando per la connessione al database è:

mysql –p

alla richiesta di password risponderemo con la password scelta al momento dell’installazione del servizio database).

creiamo poi il database chiamandolo wordpress con il comando

create database wordpress;

usciamo dal client mysql con

exit

Il tutto è riportato nel seguente screenshot:


A questo punto possiamo dare il via all’installazione di WordPress puntando il browser della nostra macchina sull’indirizzo http://127.0.0.1/wordpress. Possiamo eseguire la stessa operazione da una macchina in LAN aprendo http://x.x.x.x/wordpress dove x.x.x.x è l’ip privato della nostra macchina Windows 10.

Facciamo click su Iniziamo ed inseriamo i parametri per la connessione, ricordando che abbiamo appena creato un database di nome wordpress.

Il Wizard ci informerà che è riuscito ad autogenerare il file di configurazione necessario all’utilizzo del database e può iniziare l’installazione

Completiamo i parametri a nostro piacimento e proseguiamo, cercando sempre di utilizzare password complesse per l’accesso

Al termine dell’installazione il nostro sito è pronto! Cliccando su login possiamo accedere al CMS ed iniziare a costruirlo come preferiamo!

Sarebbe d’obbligo testare l’utilizzo di svariati template e plugin, ma non posso mica fare tutto da solo! L’utilizzo di WordPress è molto intuitivo ed in poco tempo sarete in grado di costruire un sito web con infinite potenzialità.

Anche questa volta abbiamo utilizzato comandi Linux su una macchina Windows con estrema semplicità ed abbiamo verificato che questa funzionalità introdotta in Windows 10 riesce davvero ad offrire spunti molto interessanti.

Recreating the public folder hierarchy in active directory with adsiedit

Spesso capita che, successivamente alla dismissione del server exchange legacy, gli utenti non riescano più ad accedere alle public folders nonostante in fase di migrazione siano state correttamente migrate su nuovi server. Se avete la certezza di aver migrato correttamente i dati/messaggi presenti nelle public folder potete stare tranquilli, non avete perso niente, il problema risiede solo nel fatto che nella configurazione c’è ancora un puntamento alla vecchia organizzazione. Vi basterà ricreare la gerarchia delle public folder tramite adsiedit per ripristinarne il funzionamento, i passi da eseguire sono i seguenti:

  1. Collegatevi ad uno dei domain controller ed aprite ADSIedit
  2. Collegatevi alla partizione di Configuration del dominio
  3. Tasto destro su Exchange Administrative Group (FYDIBOHF23SPDLT)
  4. Selezionare New Object.
  5. Selezionare msExchPublicFolderTreeContainer per la class e cliccare Next
  6. Inserire questo valore: Folder Hierarchies, cliccare Next
  7. Cliccare Finish

Creare un Public Folder Tree Object:

  1. Tasto destro su CN=Folder Hierarchies -> New Object
    2. Selezionare msExchPFTree come class
    3. Inserire come valore, “Public Folders” e cliccare next
    4. Cliccare sul pulsante “More Attributes”, selezionare msExchPFTreeType a settare il valore a 1.
    5. Cliccare Ok e poi finish

Popolare l’attributo msExchOwningPFTreeBL del PF Stores nell’organizzazione:

  1. Aprire le proprietà dell’appena creato “Public Folders” Tree object in ADSIEdit.
    2. Copiare il valore distinguishedname nella clipboard o in notepad e poi cliccare su cancel.
    3. Andare in CN=Public Folders Database,CN=Second Storage Group,CN=InformationStore CN=”Sever Name:,CN=Servers,CN=Exchange Administative Group,CN=Administrative Groups,CN=ORG Name,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Domain,DC=COM
    4. Nelle proprietà di “Public Folder Database”, editare l’attributo msExchOwningPFtree e incollare il valore copiato precedentemente nello step 2
    5. Riavviare l’information store (o riavviare il server)

nell’arco di poco le public folders torneranno ad essere accedibili dagli utenti.

L'articolo Recreating the public folder hierarchy in active directory with adsiedit sembra essere il primo su ITXPerience.

Veeam completa l’offerta dei prodotti

Nel corso degli anni, Veeam è passata da un’offerta monoprodotto (in origine era il solo FastSCP poi diventato la base di Veeam Backup) ad un’offerta via via più completa che includesse non solo il private cloud, ma anche i cloud gestiti (service provider) e il cloud pubblico, ma fino a qualche anno fa sempre limitata a soluzioni native e specifiche per il mondo virtuale.

Con gli endpoint Windows e successivamente Linux (al momento in beta) si è iniziato a gestire anche workload fisici (o su altre piattaforme di virtualizzazione o cloud pubblici) estendendo l’offerta, ma limitandosi a situazioni stand-alone non gestite centralmente, se non nel repository (che può essere quello di Veeam Backup & Replication).

Nel recente evento “Veeam’s Next Bing Thing” è stata annunciata la strategia della nuova Availability Platform:

Veeam-Availability-Platform

Come si può notare gli endpoint sono stati “rinominati” in “agenti” (nome non forse azzeccato, visto che una delle caratteristiche di Veeam Backup & Replication era quella di essere agent-less, ma nome sicuramente più breve ed esplicativo di “endpoint managed”) ed integrati nella piattaforma, quindi non solo come repository, ma anche come gestione centralizzata. Sia l’agente per Windows che quello per Linux saranno licenziati ad agente, quindi secondo uno schema di licenza più tradizionale, e completeranno quindi l’offerta della availability platform con gestione di ambienti anche fisici (o workload in esecuzione su cloud pubblici o su ambienti di virtualizzazione al momento non nativamente gestiti dalla availability suite).

Nell’evento sono anche stati annunciati dei nuovi importanti prodotti:

Veeam completa l’offerta dei prodotti

Nel corso degli anni, Veeam è passata da un’offerta monoprodotto (in origine era il solo FastSCP poi diventato la base di Veeam Backup) ad un’offerta via via più completa che includesse non solo il private cloud, ma anche i cloud gestiti (service provider) e il cloud pubblico, ma fino a qualche anno fa sempre limitata a soluzioni native e specifiche per il mondo virtuale. Con gli endpoint Windows e successivamente Linux (al momento in beta) si è iniziato a gestire anche workload fisici (o su altre piattaforme di virtualizzazione o cloud pubblici) estendendo l’offerta, ma […]

The post Veeam completa l’offerta dei prodotti appeared first on vInfrastructure Blog.

VeeamHub: Un repository per scripts, workflow ed altro

Fino ad ora il luogo “principale” per cercare e condividere il codice è sempre stato il Forum, oltre ai vari blog di ingegneri Veeam ed utenti finali che condividono i propri script. Nonostante la disponibilità di una considerevole quantità di codice mancava un repository ufficiale con cui si potesse anche collaborare. Per questo motivo Veeam ha recentemente creato VeeamHubun repository ospitato su Github.

VeeamHub è stato creato con l’obiettivo di raccogliere, conservare e condividere le diverse implementazioni di software e script  relativi al mondo Veeam, come Script PowerShell,  workflow di VMware vRealize Orchestrator e altri progetti.

 

Figura 1

Figura 1 – VeeamHub

 

Ricordate che il codice presente in VeeamHub è supportato dalla community ma non ufficialmente supportato da Veeam.

Se volete saperne di più, potete consultare il post sul blog di Luca Dell’Oca.

Le novità annunciate al Veeam’s Next Big Thing

Da qualche minuto si è concluso il Veeam’s Next Big Thing, l’evento in cui sono state annunciate diverse novità relative ai prodotti Veeam. Ecco un riassunto delle cose più importanti

Veeam Availability Suite 9.5

Il prodotto più famoso di Veeam è arrivato ad un nuovo step e sono diverse le novità che verranno introdotte, tra cui:

  • Possibilità di ripristinare le macchine virtuali direttamente su Azure, tramite Direct Restore to Microsoft Azure
  • Supporto agli storage Nimble
  • Supporto a Windows Server 2016
  • Miglioramento delle perfomance su sistemi VMware vCloud Director
  • Miglioramento delle performance in ambito di scalabilità
  • Supporto a ReFS

Il rilascio è previsto per Ottobre 2016.

Supporto Avanzato a ReFS

ReFS è il nuovo file system introdotto da Windows Server 2012 R2 che offre migliori performance ma soprattutto elimina tutti i limiti tecnici legati al vecchio NTFS. Backup & Replication v9.5 permetterà di creare repository basati su ReFS andando a ridurre drastricamente i tempi di backup e restore. Il team garantisce un miglioramento delle performance 10 volte più rapido con una riduzione dello spazio impiegato vicino al 35%!

Veeam Backup for Microsoft Office 365

E’ forse una delle novità più aspettate dagli utenti, che permetterà di eseguire la protezione delle mailbox presenti su Office 365 e salvarle localmente. Sarà possibile eseguire la ricerca e fare il restore in modo semplice, sia attraverso la console applicativa che via Backup & Replication (sarà necessario avere la v9.5).

Per coloro che hanno una licenza Veeam Availability Suite or Veeam Backup & Replication Enterprise Plus, verrà regalata una sottoscrizione di 3 anni, mentre per coloro che hanno una licenza Enterprise o Standard, verrà regalata una sottoscrizione di 1 anno.

Il rilascio è previsto per la fine del 2016.

Veeam Availability Console

La console centralizzata permetterà di gestire i server Veeam sparsi in giro per la propria infrastruttura, oppure dai vari clienti nel caso di un Service Provider, senza dover eseguire operazioni particolari. Oltre alla gestione ordinaria, dovrebbe essere anche possibile eseguire l’installazione dei Veeam Agent in modo centralizzato e gestirli.

Il rilascio è previsto per inizio 2017.

Veeam Agents

Cambiano i nomi dei prodotti conosciuti precedentemente come Veeam Endpoint e Veeam Backup for Linux e vengono create 3 nuove fasce:

  • Free
  • Workstation
  • Server

Ognuno dei profili potrà fare più o meno cose e sarà legato alle licenze Veeam Availability Suite acquistate, ma ad oggi sappiamo che il prezzo sarà pari a zero per tutte e tre le soluzioni. Veeam Agents si pone come soluzione per i server fisici e virtuali, Windows e Linux.

Il rilascio è previsto tra Novembre e Dicembre 2016.

Veeam Backup & Replication v10

C’è stato tempo di parlare anche della prossima v10, anticipando una delle grandi novità che saranno presenti: il supporto agli storage IBM. Per ora non è stato annunciato altro, anche perchè c’è tempo per la prossima major release, prevista in Preview per VeeamON che si terrà dal 16 al 18 Maggio 2017 in Louisiana.

2016_08_23_veeam-01

A questo punto l’appuntamento con i prossimi webinar Veeam per scoprire nel dettaglio le novità annunciate oggi!

Deploy e Gestione di Firefox in ambiente Enterprise

Premessa

Abbiamo trattato in questo articolo il tema della gestione di Chrome in un ambiente Enterprise, per “completare” la panoramica dei browser installabili, con questo nuovo articolo vorremmo analizzare i limiti e di conseguenza le alternative possibili, nella gestione di Firefox in un ambiente distribuito.

Prima di addentrarci nelle varie configurazioni è necessario però fare alcune precisazioni.

  • Firefox non è in grado per sua concezione di utilizzare lo store di certificati messo a disposizione dal sistema operativo nel quale è eseguito, entrambi gli store sia di macchina che di utente non sono utilizzati.
  • Una possibilità per importare i certificati è offerta da CCK2 un Add-On per Firefox che consente di ovviare a questa limitazione e che permette anche di definire ulteriori impostazioni.
    • È stato annunciato, che a partire dalla versione 49 del browser questo limite dovrebbe essere superato. Nella maggior parte delle installazioni questo comportamento può non essere vincolante, ma dove sono utilizzati certificati generati da una CA interna, oppure certificati self-signed distribuiti con Group Policy, Firefox non sarà in grado di considerarli attendibili ed i siti acceduti, presenteranno sempre avvisi di sicurezza legati a SSL.
  • Firefox non dispone di Group Policy aggiornate per la sua gestione, o meglio esiste un progetto disponibile su Source Forge che mette a disposizione una serie di file adm di management ma con funzionalità ancora limitate e gli ultimi aggiornamenti non sono proprio recenti.
  • È disponibile una soluzione commerciale che, tramite GPO, permette la gestione di Firefox ed anche la gestione dei certificati, ovviando alla limitazione a cui si accennava prima. Tutta la documentazione e l’eventuale valutazione è disponibile qui .

Verificato lo scenario che ho brevemente riassunto sopra, ho avuto modo facendo un po’ di ricerche, di “scoprire” un progetto che si basa su Firefox ma che è stato modificato al fine di essere gestibile tramite Group Policy.

FrontMotion un’alternativa a Firefox

Il progetto si chiama FrontMotion è gratuito ed ha, fino ad ora, avuto manutenzione costante, procedendo anche nelle sue versioni di pari passo con Firefox stesso.

Per chi ha necessità di gestire un browser di questa famiglia e non ritiene di dover utilizzare soluzioni commerciali, la scelta sembrerebbe essere questa, in ogni caso rimane ancora per qualche tempo il limite della gestione dei certificati cui accennavo sopra.

Il risultato che si ottiene scaricando i file adm(X) ed implementando una Group Policy per la gestione è analogo a ciò che si ottiene con il lockdown di Firefox tramite il file mozilla.cfg, ossia è possibile definire centralmente una serie di impostazioni che risulteranno bloccate agli utenti.

FrontMotion e Mozilla sono identici?

FrontMotion non si può considerare a tutti gli effetti Mozilla, soprattutto dal punto di vista della sicurezza, nel senso che è un Browser che vive a parte, infatti sul sito di FrontMotion viene dichiarato:

“Note: FrontMotion Firefox Community Edition is not Mozilla Firefox since there are code changes”

Questa dichiarazione è da tenere presente soprattutto nel caso si voglia utilizzare come soluzione alternativa a FireFox, anche sul sito CVE dove sono riportate le varie vulnerabilità conosciute, questo browser non è recensito e quindi a priori non se ne conoscono le vulnerabilità.

Sul sito è disponibile un forum di supporto discretamente frequentato, mentre il download del pacchetto di installazione e dei file di configurazione da implementare nelle GPO è a questo link.

Come ho già riportato sopra FrontMotion riprende la distribuzione di Firefox rilasciando un pacchetto di installazione basato sulla versione ESR (Extended Support Release) del browser Mozilla.

Questa versione è indicata per Scuole, università, aziende etc. “…. for use by organizations including schools, universities, businesses and others who need extended support for mass deployments….”. (la citazione è presa direttamente dal sito).

Questo in sintesi è lo scenario con cui ci dobbiamo confrontare nel momento in cui decidiamo di distribuire e gestire questo browser in modo centralizzato.

Configurazione ed impostazione delle GPO

Scaricati i file di gestione del prodotto e creata la GPO per la sua gestione è possibile definire le varie impostazioni del browser, Home Page, proxy etc.

La cosa che è utile sapere è che le impostazioni disponibili sono soltanto “Per Machine” quindi dobbiamo considerare il fatto che non sarà possibile implementare configurazioni basandosi sull’utente, ma che ogni utilizzatore della postazione avrà le stesse impostazioni.

le impostazioni disponibili, una volta importati i file ADM(x) saranno disponibili all’interno del ramo Mozilla Advanced Options raggruppate per aree di gestione

Figura 1: definizione della GPO di gestione

nell’area Network è possibile definire tutte le impostazioni relative alla modalità di connessione del browser

Figura 2: impostazione delle modalità di connessione ad internet

attivando la proprietà relativa all’utilizzo di un proxy per la connessione ad internet e la relativa porta

Figura 3: impostazione del proxy HTTP

Figura 4:impostazione della porta di ascolto del proxy

Le impostazioni relative alla Home Page sono invece disponibili nel gruppo Startup

Figura 5: impostazione della Home Page

È possibile gestire il browser in modo completo utilizzando un numero elevato di impostazioni, per brevità ho elencato qui le due principali, proxy ed home page, per un elenco completo è utile riferirsi qui http://kb.mozillazine.org/About:config_entries

Verifica delle impostazioni applicate

In caso di problemi di funzionamento o di comportamenti non coerenti con le impostazioni definite, può essere necessario verificare quali impostazioni sono effettivamente recepite dalla postazione

E’ possibile utilizzare il comando rsop al fine di interrogare il sistema operativo per le policy applicate.

(siccome quelle di FrontMotion sono policy di macchina l’utente deve avere i permessi sufficienti per eseguire la ricerca)

Figura 6: output del comando RSOP sul client gestito

Oppure direttamente dal browser Front Motion è possibile vedere direttamente le impostazioni bloccate, ossia quelle che definite centralmente dalle GPO non risultano modificabili all’utente, questa informazione si ottiene digitando direttamente nella barra degli indirizzi about:config

Questo comando a prescindere che il browser sia gestito o meno è utile per ottenere il riassunto delle impostazioni di Firefox

Figura 7: Interrogazione del browser per verificare le impostazioni gestite

riferimenti:

FrontMotion home page

http://www.frontmotion.com/

Firefox e CA di sistema

https://wiki.mozilla.org/CA:AddRootToFirefox

descrizione delle voci di configurazione del browser

http://kb.mozillazine.org/About:config_entries

Sourceforge progetto FirefoxADM (non aggiornato di recente)

https://sourceforge.net/projects/firefoxadm/

Blog italiani (e in italiano) nel mondo IT/ICT