Archivi categoria: Sistemi Operativi

Configurare un site-aware failover cluster e la node fairness in Windows Server 2016

Il Site-Aware failover è una novità relativa alla funzionalità di Failover Clustering che è stata introdotta in Windows Server 2016. Anche se in realtà già in Windows Server 2012 R2 era possibile realizzare un cluster i cui nodi erano funzionanti in due regioni geografiche diverse, non c’era modo per indicare in quale di queste regioni si trovassero i diversi nodi, in modo tale da poterli gestire in maniera diversa e poter indicare ai diversi servizi di poter fare “failover” nella stessa area geografica.

Con Windows Server 2016 è stata invece introdotta la possibilità di raggruppare i nodi in base alla loro posizione fisica in modo tale da poter, ad esempio, permettere alle risorse del cluster di poter essere trasferite su un nodo nello stesso sito in caso di manutenzione o draining di un altro nodo.

Per poter implementare la site awareness è possibile procedere in due modi, uno automatico ed uno manuale.

Se si utilizza il modo automatico è possibile utilizzare i Site di Active Directory. Quindi se avete già definito dei Site dentro i quali avete messo i vostri Domain Controller e a cui avete associato delle subnet, vi basterà digitare il comando PowerShell (lanciato con privilegi elevati):

(Get-Cluster).AutoAssignNodeSite 1

Se volete utilizzare la modalità manuale sarà invece prima necessario definire quali sono i Site e successivamente aggiungervi i nodi, utilizzando i comandi PowerShell (lanciati con privilegi elevati):

#Creazione dei Site

New-ClusterFaultDomain –Name Roma –Type Site –Description “Datacenter Primario” –Location “Datacenter Roma”

New-ClusterFaultDomain –Name Milano –Type Site –Description “Datacenter Secondario” –Location “Datacenter Milano”

#Assegnazione dei nodi ai Site

Set-ClusterFaultDomain –Name Nodo1 –Parent Roma

Set-ClusterFaultDomain –Name Nodo2 –Parent Roma

Set-ClusterFaultDomain –Name Nodo3 –Parent Milano

Set-ClusterFaultDomain –Name Nodo4 –Parent Milano

Questo tipo di configurazione permette di migliorare notevolmente il failover, il placement delle macchine virtuali, gli heartbeat tra i nodi e il quorum.

Ad esempio la Failover Affinity permette che le risorse vengano spostate su un nodo dello stesso sito, prima di tentare di spostarle in un sito differente. Inoltre durante la Node Drain le macchine virtuali vengano spostate localmente, su un nodo vicino.

Il Cross-Site Heartbeat da’ la possibilità di configurare in maniera accurata alcuni parametri come ad esempio il CrossSiteDelay (il tempo tra due heartbeat inviati tra nodi in siti diversi) e il CrossSiteThreshold (il numero di heartbeat persi tra due nodi in site diversi). Entrambi i valori sono configurabili con i comandi PowerShell (lanciati con privilegi elevati)

(Get-Cluster).CrossSiteDelay 1000    #valore di default

(Get-Cluster).CrossSiteThreshold 20  #valore di default

Un’altra interessante novità di Windows Server 2016 riguarda la Virtual Machine Node Fairness, che è già abilitata di default ma che viene disabilitata se utilizzate la funzionalità Dynamic Optimization di System Center Virtual Machine Manager. La VM Node Fairness permette di bilanciare le macchine virtuali tra i diversi nodi del cluster: dopo aver valutato l’utilizzo del processore e della memoria, le macchine vengono automaticamente migrate (utilizzando la Live Migration) da un nodo più carico ad un nodo scarico. Il bilanciamento può essere configurato per ottenere le migliori performance nel cluster, utilizzando il comando PowerShell (eseguito con privilegi elevati) per configurare la percentuale di utilizzo del nodo:

(Get-Cluster).AutoBalancerLevel 2

riprendendo i valori dalla seguente tabella:

AutoBalancerLevel

Aggressiveness

Host load percentage

1 (default)

Low

80%

2

Medium

70%

3

High

60%

Oppure è possibile configurare ogni quanto tempo deve essere utilizzata la node fairness, utilizzando il comando PowerShell (eseguito con privilegi elevati):

(Get-Cluster).AutoBalancerMode 2

riprendendo i valori dalla seguente tabella:

AutoBalancerMode

Behavior

0

Disabled

1

Balance on node join only

2 (default)

Balance on node join and every 30 minutes

Conclusioni

Queste due importanti novità relativa al cluster di Windows Server 2016 sono pensate sia per la gestione del Disaster Recovery geografico tra diversi siti della nostra infrastruttura, sia per l’ottimizzazione delle performance dei nodi, senza dover ricorrere a prodotti a pagamento come SCVMM. Sicuramente un grosso passo in avanti per rendere i nostri datacenter più performanti ed avere lo stesso livello di funzionalità offerte dal Cloud pubblico.

Ubuntu disponibile sul Windows Store

E’ proprio vero, come promesso da Microsoft qualche mese fa, la prima distribuzione Linux è a disposizione degli utenti Windows 10 direttamente sullo Store. Questo significa che chiunque abbia a disposizione una macchina con Windows 10 potrà scaricare ed installare il relativo pacchetto come accade per qualsiasi altra app, ed utilizzare (limitatamente alla riga di comando) un vero e proprio sistema operativo Linux.

Attualmente l’unica distribuzione disponibile è Ubuntu, ma molto presto sarà possibile installare Fedora e Suse. Essendo una novità assoluta, questa feature ha sicuramente bisogno di un periodo di test prima di diventare disponibile al grande pubblico, ed al momento l’installazione è limitata agli utenti del programma Windows Insider. L’iscrizione al programma è gratuita e semplicissima, e per effettuarla o semplicemente per avere qualche informazione è possibile visitare la pagina:

https://insider.windows.com/

Con tutta probabilità l’installazione delle distribuzioni Linux dello Store sarà disponibile per tutti dopo l’installazione del Fall Creators Update, l’aggiornamento della release di Windows che verrà distribuita a partire dal prossimo autunno.

Considerando quello che siamo in grado di fare con Windows Subsystem for Linux (https://www.ictpower.it/sistemi-operativi/windows-subsystem-for-linux-finalmente-in-una-release-ufficiale.htm), ci chiediamo che differenza faccia utilizzare questo tipo di distribuzione rispetto a quella inclusa in Windows 10 a partire dall’Anniversary Update. Fondamentalmente non ci sono differenze, quello che cambia è la modalità di installazione, estremamente semplice, ed il fatto che la modalità di installazione che utilizzavamo fino ad ora sarà considerata “deprecata”, e probabilmente verrà dismessa. Dallo store, inoltre, sarà possibile scegliere la distribuzione da installare, operazione ad oggi possibile ma un po’ complessa.

L’app scaricata dallo store installa una distribuzione indipendente, che gira in una “sandbox” ed è quindi possibile installare più distribuzioni contemporaneamente per utilizzarle in maniera autonoma.

Se siete già in possesso di una macchina con Windows 10 Insider con una build maggiore o uguale a #16215, quindi, non vi resta che provarla; potete scaricare l’app Ubuntu direttamente da questo link:

https://www.microsoft.com/it-it/store/p/ubuntu/9nblggh4msv6

Noi non possiamo fare altro che seguire tutte le novità e le sorprese a cui Windows 10 ci sta abituando!

Windows Server, novità sul rilascio e prima build Insider 16237

Il 15 giugno 2017 Microsoft ha annunciato un nuovo modello di rilascio di Window Server, allineandolo quindi a Windows 10 e Office 365. Viene infatti introdotto il Windows Server Semi-annual Channel, ovvero saranno rilasciate nuove funzionalità per Windows Server a coloro che si stanno muovendo verso una “cadenza Cloud” – ad esempio con cicli di sviluppo molto rapidi – e vogliono essere sempre al passo con i tempi. Saranno disponibili nuove versioni di Windows Server 2 volte all’anno, in primavera e in autunno. Ogni versione rilasciata in questo nuovo ramo sarà supportata per 18 mesi a partire dal rilascio iniziale, mentre il modello classico/familiare (ora chiamato LTS – Long-term Servicing Branch) resta invariato con i relativi aggiornamenti di sicurezza e non.

La maggior parte delle funzionalità rilasciate nel Semi-annual Channel saranno introdotte nella successiva edizione LTS (generalmente ogni 2-3 anni) di Windows Server. Le edizioni, le funzionalità e il supporto dei contenuti potrebbero variare in base ai feedback degli utenti

Il nuovo ramo di manutenzione sarà disponibile a tutti coloro con un contratto di licenza a volume tramite Software Assurance, nonché tramite il Marketplace di Azure o altri provider di servizi Cloud/Hosting e programmi speciali quali MSDN.

In questo nuovo modello, le nuove versioni di Windows Server vengono identificate dall’anno e dal mese. Per esempio, nel 2017, il rilascio autunnale (settembre 2017) sarà identificato dalla versione 1709, mentre quello primaverile (marzo 2018) dalla 1803.

Rami di manutenzione e opzioni d’installazione

I rami di manutenzione disponibili variano in base all’edizione di Windows Server installata. Come mostra la tabella sottostante, il nuovo Semi-annual Channel sarà disponibile soltanto per le opzioni Nano Server e Server Core di Windows Server:

Opzione Semi-annual Channel (Windows Server) Long-term Servicing Channel (Windows Server 2016)
Nano Server Si No
Server Core Si Si
Server con la Desktop Experience No Si

Prima build Insider di Windows Server

Dopo l’introduzione sulla nuova strategia di rilascio per Windows Server ritorniamo a qualche mese fa, quando vi abbiamo parlato dell’annuncio del programma Windows Insider dedicato ai professionisti IT (WIP4Biz). Finalmente è arrivata la prima build di Windows Server dedicata agli Insider, nello specifico la 16237. Per poterla scaricare è richiesta la registrazione al programma Windows Insiders for Business o al classico dei Windows Insider.

Microsoft sottolinea che le edizioni Windows Server Datacenter Core e Standard Core sono “senza testa” e, quindi, vengono gestite meglio in remoto. Per maggiori informazioni trovate la guida sul come Configurare un’installazione Server Core di Windows Server 2016 con Sconfig.cmd. I dettagli aggiornati sull’amministrazione in remoto saranno rilasciati con le future release Insider.

Novità di Windows Server build 16237

Il changelog è molto corposo e lo trovate per intero a questo link. Di seguito i punti salienti:

  • Memoria Persistente. La memoria persistente (PMEM) può essere esposta alle macchine virtuali create con Hyper-V
  • Passthrough della batteria. Una VM potrà visualizzare lo stesso stato della batteria del sistema host
  • Miglioramenti alla rete di Containers.
  • RDMA (Remote Direct Memory Access) per macchine guest attendibili.
  • Miglioramenti per l’architettura di rete SDN (Software Defined Networking).
  • Miglioramenti alla rete di trasporto.
  • Miglioramenti per HTTP(s).
  • Miglioramenti per la misurazione accurata del tempo.
  • Nano Server ottimizzato per i Containers.
  • Ottimizzazioni all’immagine base di Server Core.

Come scaricare la build 16237

La prima build Insider di Windows Server è disponibile per il download a questo link. Le immagini corrispondenti per i Containers saranno disponibili attraverso l’Hub di Docker. Maggiori informazioni qui.

Le seguenti chiavi sono disponibili per un numero illimitato di attivazioni di Windows Server. Esse possono essere utilizzate per tutto il ciclo di pre-rilascio.

  • Server Datacenter Core: B69WH-PRNHK-BXVK3-P9XF7-XD84W
  • Server Standard Core: V6N4W-86M3X-J77X3-JF6XW-D9PRV

Come sempre vi consigliamo d’installare queste build Insider in ambienti di test. Trovate uno spazio dedicato agli Insider di Windows Server nella Microsoft Tech Community.

Implementare Workgroup Cluster e Multi-Domain Cluster in Windows Server 2016

Mentre nelle precedenti versioni di Windows Server era necessario che tutti i nodi di un cluster fossero joinati ad un dominio di Active Directory, in Windows Server 2016 è stata introdotta la possibilità di creare cluster usando dei nodi in workgroup, permettendo quindi di non dover utilizzare un dominio ed implementare dei domain controller.

Nota: Con Windows Server 2016 è inoltre possibile creare cluster i cui nodi appartengono a domini diversi.

Per implementare un workgroup cluster o un multi-domain cluster è necessario però che vengano rispettati determinati prerequisiti:

  • Creare un account utente con lo stesso nome e la stessa password su tutti i nodi
  • Aggiungere l’account creato al gruppo Administrators locale
  • Se non si utilizza l’account predefinito Administrator è necessario creare la chiave di registro LocalAccountTokenFilterPolicy in HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System e metterla con valore 1
  • Il cluster deve essere creato nella modalità Active Directory-Detached Cluster, senza creare nessun oggetto in AD
  • È necessari creare il Cluster Network Name (chiamato anche Administrative Access Point) di tipo DNS
  • Ogni nodo deve avere un suffisso DNS
  • Nel caso di un multi-domain cluster, i suffissi DNS per tutti i domini del cluster devono essere presenti su tutti i nodi
  • Il Witness consigliato è un Cloud Witness oppure un Disk Witness. Non è supportato in entrambi i casi l’utilizzo del File Share Witness.

In questo articolo creeremo un workgroup cluster a due nodi (chiamati NODO1 e NODO2) utilizzando Windows Server 2016. Dopo aver preparato i nodi del cluster ed aver installato il sistema operativo ho provveduto a configurare il suffisso DNS su entrambi i nodi, come mostrato in figura:

Figura 1: Modifica del suffisso DNS

Dopo aver riavviato entrambi i nodi, ho provveduto a modificare il file HOSTS sulle macchine in modo tale che potessero risolvere i nomi dei nodi e il nome del cluster (che ho deciso di chiamare WRKGCLUSTER). Questa operazione è necessaria solo se non volete configurare un DNS. Nel caso abbiate un DNS in rete potete popolare la zona scelta (il suffisso DNS) per il vostro cluster (nel mio caso demo.lab).

Figura 2: Modifica del file HOSTS per la risoluzione del nomi

Ho provveduto quindi a creare su entrambi i nodi l’account di servizio ClusterSVC, ho impostato la stessa password e l’ho aggiunto al gruppo Administrators locale, come mostrato in figura:

Figura 3: Creazione dell’account per l’autenticazione NTLM

L’account è necessario affinché i nodi utilizzino l’autenticazione NTLM. Poiché non sto usando l’account Administrator è necessario inserire sui nodi la chiave di registro indicata nei prerequisiti. In maniera rapida ho eseguito sui due nodi, da un prompt PowerShell con privilegi elevati, il comando:

New-ItemProperty -path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -Name LocalAccountTokenFilterPolicy -Value 1

Figura 4: Inserimento della chiave di registro necessaria all’utilizzo degli account

Successivamente ho provveduto ad installare la feature del Failover Cluster sui due nodi. È possibile usare il Server Manager oppure il comando PowerShell
Install-WindowsFeature -Name Failover-Clustering -IncludeManagementTools

Figura 5: Installazione della funzionalità di Failover Cluster tramite PowerShell

Terminata l’installazione ho avviato il Failover Cluster Manager e ho lanciato il wizard per la creazione del Cluster. Ho aggiunto i due nodi e ho cliccato su Next, come mostrato in figura:

Figura 6: Aggiunta dei due nodi

Nella schermata successiva ho deciso di lanciare il Validate Configuration Wizard che ovviamente mi ha riportato dei Warning, come mostrato in figura:

Figura 7: Validate Configuration Wizard

Figura 8: Warning relativo alla non appartenenza dei nodi del cluster al dominio

Nella schermata successiva del wizard ho indicato il nome del cluster e l’indirizzo IP scelto, come mostrato in figura:

Figura 9: Scelta del nome del cluster e dell’indirizzo

Terminata la verifica che non ci sia un server con lo stesso nome NETBOIS e non ci siano indirizzi IP duplicati nella stessa rete, appare la schermata riepilogativa mostrata in figura, che indica che il cluster utilizzerà per la registrazione solo il DNS:

Figura 10: Schermata riepilogativa relativa alla creazione del cluster

La stessa operazione poteva essere effettuata utilizzando il comando PowerShell

New-Cluster –Name WRKGCLUSTER.demo.lab -Node NODO1.demo.lab,NODO2.demo.lab -AdministrativeAccessPoint DNS -StaticAddress 10.10.0.5


Al termine della procedura ho ottenuto la schermata finale dell’avvenuta creazione del cluster

Figura 11: Creazione del cluster completata

Figura 12: Nodi del cluster attivi

Conclusioni

I Workgroup Cluster e i Multi-Domain Cluster sono decisamente un’importante novità introdotta in Windows Server 2016. I workload supportati sono SQL Server, File Server e Hyper-V. Per quanto riguarda Hyper-V la mancanza dell’autenticazione Kerberos in realtà complica le cose in quanto la Live Migration non è supportata, mentre è supportata la Quick Migration.

Privileged Access Management e Temporary Group Membership in Windows Server 2016 AD

Privileged Access Management (PAM) è una funzionalità introdotta in Windows Server 2016 che si basa sul principio dell’amministrazione Just In Time (JIT) e che permette di gestire quella che viene chiamata Just Enough Administration (JEA), che ha come scopo quello di aumentare la sicurezza nella gestione e nella delega dei privilegi in Windows Server.

JEA è un toolkit di Windows PowerShell che definisce un set di comandi per l’esecuzione di attività con privilegi. Limitando nel tempo i privilegi amministrativi è possibile anche aumentare il livello di sicurezza perché molto spesso si assegnano privilegi elevati e successivamente questi privilegi non vengono rimossi, o per dimenticanza o banalmente perché si sottovaluta il pericolo derivante dalla non adozione della modalità amministrativa del Least Administrative Privilege.

Se dobbiamo concedere ad esempio al gruppo di Help Desk o al consulente esterno di effettuare operazioni privilegiate adesso possiamo fare in modo che ci sia un limite di tempo all’appartenenza ad un gruppo amministrativo. Stesso discorso vale se dobbiamo eseguire degli script con un utente particolare.

Privileged Access Management (PAM) contribuisce quindi a risolvere il problema dell’accesso alle risorse di Active Directory ed evitare che gli autori di un attacco informatico possano ottenere le credenziali degli account amministrativi.

Prerequisiti

Per poter utilizzare PAM è necessario prima di tutto che il livello funzionale dalla Foresta di Active Directory sia Windows Server 2016. Inoltre PAM è una funzione che va abilitata, perché non è attiva di default.

Per verificare il livello funzionale della foresta e del dominio potete utilizzare la console Active Directory Administrative Center, come mostrato in figura:

Figura 1: Innalzamento del livello funzionale del Dominio e della Foresta

In alternativa potete anche usare i seguenti comandi PowerShell:

#Get the Active Directory Forest functional level

(Get-ADForest).ForestMode

#Get the Active Directory Domain functional level

(Get-ADDomain).DomainMode

Figura 2: Uso di PowerShell per la verifica dei livelli funzionali di dominio e di foresta

Per innalzare il livello funzionale del dominio e della foresta potete anche usare i comandi PowerShell:

#Raise livello funzionale del dominio a Windows 2016

Set-ADDomainMode -Identity demo.lab -DomainMode Windows2016

#Raise livello funzionale della foresta a Windows 2016

Set-ADForestMode -Identity demo.lab -ForestMode Windows2016

Abilitazione della funzionalità Privileged Access Management (PAM)

Una volta che vi siete accertati che la Foresta abbia il livello funzionale Windows Server 2016, potete installare la funzionalità PAM solo utilizzando PowerShell:

#Abilitazione della funzionalità Privileged Access Management (PAM)

Enable-ADOptionalFeature “Privileged Access Management Feature” -Scope ForestorconfigurationSet -Target demo.lab

Figura 3: Abilitazione della funzionalità Privileged Access Management (PAM)

Nota: Una volta abilitata la funzionalità non è possibile disabilitarla.

Per verificare se la funzionalità sia stata già installata è possibile usare la cmdlet

#Verifica dell’installazione della funzionalità Privileged Access Management (PAM)

Get-ADOptionalFeature “Privileged Access Management Feature”

Figura 4: Verifica dell’installazione della funzionalità Privileged Access Management (PAM) tramite PowerShell

Assegnazione temporanea dell’appartenenza di un utente ad un gruppo di Active Directory

Per poter assegnare temporaneamente uno o più utenti ad un gruppo di AD è necessario effettuare i seguenti comandi PowerShell:

#Definisco la durata di appartenenza al gruppo

$durata New-TimeSpan -Minutes 20

#Aggiungo al gruppo Domain Admind due utenti (attualmente Domain Users)

Add-ADGroupMember -Identity “Domain Admins” -Members nicferr,hector -MemberTimeToLive $durata

Figura 5: Aggiunta di due utenti al gruppo Domain Admins

Per verificare che i due utenti appartengano al gruppo Domain Admin vi basta poi lanciare la cmdlet

Get-ADGroup “Domain Admins” -Property Member -ShowMemberTimeToLive


Figura 6: Verifica dell’appartenenza al gruppo Domain Admins

Come si può notare dalla figura sopra, il risultato riporta:

Member : {<TTL=1068>,CN=Ettore Ferrini,CN=Users,DC=demo,DC=lab, <TTL=1068>,CN=Nicola Ferrini,CN=Users,DC=demo,DC=lab, CN=Administrator,CN=Users,DC=demo,DC=lab}

Accanto ai nomi dei due utenti aggiunti al gruppo Domain Admins c’è un campo TTL (espresso in secondi), che indica la durata rimanente dell’appartenenza al gruppo stesso.

Conclusioni

Privileged Access Management (PAM) è una funzionalità concepita appositamente per gli account amministrativi. Gli amministratori (o gli script) che necessitano solo occasionalmente dell’accesso per gruppi con privilegi, possono richiedere questo accesso e mantenerlo per un periodo limitato di tempo, garantendo la modalità amministrativa del Least Administrative Privilege ed aumentando di fatto la sicurezza della nostra infrastruttura di Active Directory.

Per maggiori informazioni vi rimando all’articolo https://docs.microsoft.com/it-it/microsoft-identity-manager/pam/privileged-identity-management-for-active-directory-domain-services

Distribuire e gestire PC nelle aziende con Windows Autopilot

Dalla prima versione di Windows 10, Microsoft, ha sempre avuto come obiettivo principale quello di aggiornare/modernizzare le procedure, utilizzate dai sistemisti IT, per interagire con i dispositivi che utilizzano Windows, in maniera sempre più semplice. Questo sfruttando servizi basati su Cloud e migliorando la produttività degli utenti con Windows 10, Office 365 ed EMS (Enterprise Mobility + Security).

Qualche giorno fa, sempre in continuità con la visione di Microsoft, è stato annunciato Windows Autopilot, una nuova suite di funzionalità basate su servizi Cloud. Queste progettate per semplificare la distribuzione e la gestione, in azienda, di nuovi PC con Windows 10. Contemporaneamente sono stati annunciati miglioramenti per il MDM (Mobile Device Management) e nuove funzioni per monitorare lo stato di salute dei dispositivi in Windows Analytics.

Distribuzione Self-Service con Windows AutoPilot

Immaginiamo di poter estrarre dal cartone un nuovo PC e, con pochissimi clic, metterlo direttamente in produzione. Nessuna immagine da creare e manutenere, nessuna infrastruttura da gestire e procedure semplici. A questo aggiungiamo la possibilità che qualsiasi membro dell’organizzazione possa configurare il suo nuovo PC in maniera del tutto autonoma, quindi senza l’intervento del reparto IT.

Questa è la promessa di Windows Autopilot, il quale consente ai sistemisti di personalizzare l’OOBE di Windows 10 utilizzando una configurazione Cloud e fornendo un’esperienza di distribuzione del sistema operativo in modalità Self-Service.

Come funziona la distribuzione tramite Windows AutoPilot?

A partire da Windows 10 Creators Update (1703) è possibile registrare i dispositivi della propria organizzazione – attraverso il servizio di distribuzione Windows AutoPilot – al tenant di Azure AD (Azure Active Directory) e personalizzare l’OOBE per gli utenti finali utilizzando una configurazione cloud, così come già accennato nel paragrafo precedente.

Alcuni dettagli sul funzionamento:

  • L’utente riceve un nuovo dispositivo con Windows 10.
  • L’utente toglie dalla scatola il PC e lo avvia per la prima volta. Dopo aver selezionato lingua e layout della tastiera, ed essersi collegato ad una rete, il dispositivo sarà riconosciuto come appartenente ad un’organizzazione aziendale e mostrerà la schermata OOBE personalizzata precedentemente dal reparto IT.
  • Una volta in rete, Windows chiederà all’utente d’inserire le proprie credenziali aziendali, tipicamente l’email e la password associati all’account di Azure AD.
  • Dopo che l’autenticazione sarà andata a buon fine, il dispositivo viene joinato ad Azure AD e viene automaticamente gestito da Microsoft Intune o un’altra soluzione MDM.

Di seguito un breve video di Microsoft Mechanics che mostra una panoramica di quanto detto.

Facciamo notare che la distribuzione tramite Windows AutoPilot, per funzionare, necessita di un’operazione importante: registrare il dispositivo Windows 10 al tenant Azure AD della propria organizzazione. Questo è possibile per i nuovi PC con Windows 10 acquistati da OEM, distributori e rivenditori i quali hanno aderito al nuovo programma.

In alternativa, per i computer già esistenti con Windows 10 Creators Update (1703), è possibile effettuare l’operazione manualmente attraverso una query in PowerShell (modalità amministratore) che estrae il DeviceID e crea un file per registrare i dispositivi compatibili al servizio di distribuzione Windows AutoPilot. Eccola qui:

$wmi = Get-WMIObject -Namespace root/cimv2/mdm/dmmap -Class MDM_DevDetail_Ext01 -Filter "InstanceID='Ext' AND ParentID='./DevDetail'"
$wmi.DeviceHardwareData | Out-File "$($env:COMPUTERNAME).txt"

Da quando si potrà utilizzare Windows AutoPilot?

Questa funzionalità è già disponibile a partire da Windows 10 1703 ed è possibile consultare la documentazione di Windows AutoPilot. Il Microsoft Store for Business e il programma Cloud Solution Provider forniranno alle organizzazioni la possibilità di registrare dispositivi e configurare la distribuzione tramite Windows AutoPilot nel prossimo futuro.

Nel programma verranno coinvolti OEM, distributori e rivenditori. Essi saranno in grado di collegare i dispositivi ad un’organizzazione. Inizialmente il programma Pilota sarà guidato da Surface, con clienti e partner selezionati, a partire da quest’estate. Il supporto per gli altri produttori arriverà nei prossimi mesi.

Per scenari dove i professionisti IT configurano dispositivi on-premises o scenari basati su soluzioni cloud moderne, può essere utilizzato Windows Configuration Designer (ex Windows ICD) per automatizzare il processo.

In ultimo, nuove funzionalità di Windows AutoPilot saranno aggiunte con l’arrivo di Windows 10 Fall Creators Update (settembre 2017):

  • Distribuzione automatica per i dispositivi joinati ad un dominio Active Directory. Distribuzione self-service di nuovi dispositivi Windows 10 joinati a un dominio AD insieme all’iscrizione ad Intune.
  • Personalizzazione avanzata per la distribuzione self-service. Predisporre un dispositivo a un determinato utente dell’organizzazione con una configurazione cloud specifica.
  • Windows AutoPilot Reset. Un nuovo meccanismo per ripristinare un dispositivo completamente configurato, mantenendo la registrazione MDM e la connessione ad Azure AD, e riavere automaticamente lo stesso pronto all’uso.

Per maggiori informazioni consultate l’articolo su TechNet.

Windows 10 Insider Preview, rilasciata la build 16226 nel Fast Ring

Non è passato molto tempo dall’ultima build di Windows 10 Insider Preview, rilasciata nel “Ramo Veloce”, ed eccoci qui a mostrarvi le novità più importanti annunciate con il rilascio della build 16226.

Ricordiamo che Windows 10 Fall Creators Update, il nuovo aggiornamento di funzionalità, sarà rilasciato a settembre 2017.

Novità di Windows 10 build 16226

Nuove funzionalità in Microsoft Edge

Maggiore controllo sulla chiusura delle tab. Partendo dal lavoro fatto nella build 16199, Microsoft ha aggiornato Edge in modo da garantire che la X sia sempre disponibile per chiudere la scheda attualmente attiva. Questo anche in presenza di una, spesso “simpatica”, finestra di dialogo JavaScript (Avviso, prompt, ecc.) la quale potrebbe interrompe l’acceso ai vari comandi del browser.

Importazione dei dati da un altro browser più semplice. Finalmente è possibile trasferire anche Cookie e Impostazioni da Google Chrome verso Microsoft Edge.

Copia e Chiedi a Cortana. Quando si selezionerà un testo all’interno di un file EPUB, potremo copiarlo (Figura 1) o cercare informazioni attraverso la funzione Chiedi a Cortana (Figura 2), con la possibilità di aggiungere note, evidenziare e sottolineare il testo.

Figura 1 – Nuove funzioni per i file EPUB in Microsoft Edge, Copia e Chiedi a Cortana

Figura 2 – Chiedi a Cortana in esecuzione direttamente dal file EPUB dopo aver selezionato una parola

Aggiungere delle note con l’inchiostro digitale. Se avete un dispositivo compatibile con la piattaforma Windows Ink, sarà possibile aggiungere delle note, ad un testo selezionato, direttamente con l’input Penna (Figura 3).

Figura 3 – Note scritte a mano attraverso Windows Ink

Nuova gestione per il salvataggio e modifica dei preferiti. Ritorna, a grande richiesta, la possibilità di salvare i Preferiti, utilizzando la vista ad albero gerarchico, direttamente nella finestra di salvataggio di un nuovo preferito (Figura 4). In più si potrà modificare l’URL dei nostri preferiti dal menu Preferiti o dalla Barra dei Preferiti (Figura 5).

Figura 4 – Nuova gestione dei Preferiti in Microsoft Edge

Figura 5 – Modifica dell’URL di un preferito direttamente dalla barra dedicata

Gestione dei Preferiti per i professionisti IT. Tramite Group Policy e MDM sarà possibile configurare i preferiti all’interno di infrastrutture centralizzate, inclusa la possibilità di definire e bloccare una serie di preferiti pre-configurati in aggiunta a quelli dell’utente.

Aggiornamenti per le Emoji

Presente il supporto alla versione 5.0 delle emoji (le faccine a cui tutti siamo abituati) con gli ultimi aggiornamenti dell’Unicode. Il nuovo pannello emoji, introdotto con la build 16215, è stato aggiornato con il supporto al tema scuro di Windows 10 e la ricerca delle emoji attraverso l’utilizzo di parole chiave (Figura 6). Nota: Esso è disponibile solo per la tastiera USA, al momento, e può essere attivato attraverso queste due scorciatoie da tastiera: Win + (.) o Win + (;).

Figura 6 – Aggiornamento del nuovo pannello Emoji

File su richiesta in OneDrive

Finalmente uno dei ritorni più attesi dai tempi di Windows 8.1, i nuovi Placeholder. Ora il nome è cambiato in File su richiesta (File On-Demand) e funzionano esattamente come in Windows 8.1, portando importanti miglioramenti in termini di semplicità e chiarezza. Questa funzione era stata rimossa con l’arrivo di Windows 10, perché, nella versione precedente del sistema operativo, aveva generato non poca confusione negli utenti.

Ma di cosa si tratta in pratica? Tutti i file presenti nel nostro OneDrive vengono visualizzati in Esplora file come se fossero quelli di una comune chiavetta USB o cartella, a prescindere dalla loro presenza fisica o meno sul computer locale. Infatti, sempre in Esplora file, viene introdotta una nuova colonna di Stato dove sarà possibile conoscere in tempo reale l’effettiva disponibilità dei singoli file e cartelle (Figura 7).

Figura 7 – Nuova funzione File su richiesta in OneDrive

Ci riserviamo di scrivere un articolo dedicato a questa importante e utile “novità” non appena sarà resa più stabile e sicura.

Dalla build 16226, quando si accede a un file presente solo online, viene introdotta una notifica di sistema che mostra, nel dettaglio, quale file viene scaricato e quale app l’ha richiesto (Figura 8). Dalla stessa notifica sarà possibile annullare il download e nascondere la stessa notifica. Per coloro che amano le impostazioni avanzate, sarà possibile impedire alla singola app di richiedere il download di un file presente sul nostro OneDrive.

Figura 8 – Notifica relativa allo scaricamento di un file online da parte di un’app

Miglioramenti alla tastiera touch/virtuale

Nella build 16215 sono state introdotte diverse novità per quanto riguarda la tastiera virtuale, con la build 16226 il suggerimento avanzato delle parole e la modalità Swipe ora supportano l’Italiano (Figura 9), assieme ad altre lingue.

Figura 9 – Migliramenti della tastiera virtuale che richiama quella di Windows Phone

Altre novità presenti: la possibilità di spostare la tastiera all’interno dello schermo in maniera più semplice e intuitiva, una nuova icona per incollare il testo copiato precedentemente e un aggiornamento delle impostazioni (Figura 10).

Figura 10 – Aggiornamento delle impostazioni nel pannello della tastiera virtuale

Miglioramenti per le interazioni con l’input Penna in Windows 10

  • La scrittura a mano libera attraverso l’input Penna viene migliorata.
  • Lo scorrimento naturale di qualsiasi contenuto utilizzando la penna, introdotto nella build 16215 per le sole app UWP, viene esteso anche alle app Win32.

Miglioramenti nelle Impostazioni e nella User Experience

Monitoraggio delle prestazioni della GPU. Il glorioso Gestione attività (Task Manager) ora include il monitoraggio delle attività/operazioni svolte dalla scheda grafica (GPU) per ogni suo singolo componente (ad esempio, 3D e Video decoding/encoding), così come le statistiche di utilizzo della memoria grafica (Figura 11). Nota: Questa funzione è ovviamente in via di sviluppo ed la prima volta che compare in Windows 10.

Figura 11 – Monitoraggio della GPU all’interno di Gestione attività

Processi raggruppati in Gestione attività. Dopo i Servizi, finalmente non impazziremo più nel cercare il processo X di quell’applicazione Y che, puntualmente, “non risponde”. L’esempio più semplice è quello di aprire più schede in Microsoft Edge e, in Gestione attività, verranno mostrati i nomi di quelle attive nel browser (Figura 12). In questo modo sarà più semplice identificarne una in particolare.

Figura 12 – Processi raggruppati in Gestione attività

Aggiornamenti di Sensore memoria (Storage Sense). Nella ridisegnata sezione Sensore memoria (Sistema > Archiviazione > Sensore memoria) sarà possibile Eliminare le versioni precedenti di Windows in maniera semplice e veloce (Figura 13).

Figura 13 – Sezione Sensore memoria, ridisegnata e con una nuova opzione

Nuova sezione per la gestione del Desktop Remoto (Impostazioni > Sistema > Desktop remoto). Continua lo “smantellamento” del vecchio Pannello di Controllo per farlo convergere all’interno delle nuove Impostazioni PC. Da questa build, infatti, è possibile gestire le impostazioni del Desktop remoto (Figura 14), comprese le Impostazioni avanzate (Figura 15), direttamente dalle Impostazioni PC di Windows 10 con una nuova sezione dedicata.

Figura 14 – Nuova sezione per la gestione del Desktop remoto

Figura 15 – Impostazioni avanzate del Desktop remoto

Miglioramenti nell’aggiornamento del sistema. Se fallisce l’installazione di un aggiornamento, quando disponibile in Windows Update, verrà visualizzata una stringa testuale per descrivere l’errore. Questo testo, e il relativo codice di errore (se visibile), saranno selezionabili in modo da poterli copiare e incollare, ad esempio, in una chat di supporto tecnico.

Miglioramenti della Shell di Windows 10

Reveal. Attivo per impostazione predefinita, in tutti gli elenchi (ListView) e gli altri controlli XAML, l’effetto Reveal. Esso sarà visibile al passaggio del mouse su un elemento (Figura 16) e, anch’esso, fa parte del Fluent Design, una delle grosse novità per l’ecosistema Windows 10 in termini di UI e UX.

Figura 16 – Demo dell’effetto Reveal

Aggiornato il menu contestuale di Esplora file. È possibile selezionare Condivisione direttamente in Esplora file, attraverso un clic con il tasto destro su di un file, abilitando così il classico menu contestuale (Figura 17).

Nota: Condividi con è stato sostituito con Dare accesso a.

Figura 17 – Menu contestuale aggiornato in Esplora file

Miglioramenti per l’Accessibilità

Descrizione automatica delle immagini. L’Assistente vocale, presente in Windows, grazie al contributo dei sistemi d’intelligenza artificiale di Microsoft, è in grado di generare automaticamente delle descrizioni alle immagini senza un testo alternativo allegato. Per funzionare è richiesta la connessione ad Internet.

Migliorata la Lente di ingrandimento. Sarà possibile abilitare l’anti-aliasing bitmap all’interno delle Impostazioni della Lente d’ingrandimento (Accessibilità > Lente d’ingrandimento). Il testo, quando sarà ingrandito, risulterà più morbido e leggibile (Figura 18), eliminando così il fastidiosissimo classico effetto pixel.

Figura 18 – L’opzione Anti-aliasing bitmap, della Lente d’ingrandimento di Windows 10 build 16226, in azione

Miglioramenti per i professionisti IT

Windows 10 e SMB1. Era già stato annunciato e, da questa build in poi, il protocollo SMB1 (quello utilizzato da WannaCry per intenderci) non sarà più disponibile in Windows, come parte di un piano di sicurezza pluriennale. Quando verrà effettuata un’installazione pulita di Windows 10 build 16226, e successive, il protocollo di rete SMB1 sarà rimosso per impostazione predefinita. Al momento essa non riguarda gli aggiornamenti da una build all’altra.

Questo cambiamento è necessario al fine di ridurre la superfice d’attacco del sistema operativo. Altri dettagli:

  • Tutte le edizioni Home e Professional di Windows 10 ora hanno il componente Server di SMB1 disinstallato per impostazione predefinita. Il client SMB1 rimane, invece, installato. Questo significa che sarà possibile collegarsi ai dispositivi da Windows 10 utilizzando il protocollo SMB1, ma non sarà possibile collegarsi a Windows 10 con il medesimo protocollo. Se non utilizzate SMB1, Microsoft consiglia di disinstallarlo.
  • Tutte le edizioni Enterprise ed Education di Windows 10 hanno il protocollo di rete SMB1 completamente disinstallato, sia Server che Client.
  • Rimuovendo SMB1 non sarà più possibile utilizzare il vecchio servizio Computer Browser. Esso dipende strettamente dal protocollo di rete SMB1 e non può funzionare senza.

Per maggiori informazioni sul perché il protocollo di rete SMB1 vada rimosso vi rimandiamo a questo post, mentre per informazioni su programmi e dispositivi che richiedono SMB1 vi lasciamo quest’altro post.

Miglioramenti in Hyper-V. Finalmente sarà possibile condividere facilmente le proprie macchine virtuali grazie ad un nuovo pulsante presente sulla barra di Virtual Machine Connection (Figura 19). Facendo clic sul pulsante la VM verrà compressa in un file .VMCZ. Successivamente basterà copiarlo in una nuova destinazione e fare doppio clic sullo stesso per importare la macchina virtuale.

Figura 19 – Nuova funzione di condivisione e compressione di una macchina virtuale in Hyper-V

 

Altre informazioni in merito a ulteriori miglioramenti e fix per PC introdotti in questa build li trovate nel post ufficiale del Blog di Windows consultabile a questo link.

In ultimo, vi ricordiamo che le build Insider di Windows 10 non sono stabili ed è quindi consigliabile utilizzarle in ambienti di test (o virtuali) e non direttamente in produzione.

Windows 10 Insider Preview, rilasciata la build 16215 nel Fast Ring

Dopo qualche release di assetto (1619316199) e un piccolo errore tecnico, arriva finalmente una nuova build di Windows 10 Fall Creators Update nel ramo veloce per i Windows Insider. Questa nuovo aggiornamento di funzionalità sarà rilasciato a settembre 2017.

La build è ricca di novità (noi abbiamo estratto le più interessanti) ed è identificata dal numero 16215.

Novità di Windows 10 build 16215

Introduzione del Fluent Design all’interno del menu Start e del Centro Notifiche

Introdotto alla conferenza build 2017, il Fluent Design rappresenta una grossa novità per l’ecosistema Windows 10 in termini di UI e UX. Aspetto, trasparenze, animazioni, scalabilità,… rientrano in un grande progetto che sarà in continua evoluzione e, soprattutto, modulare.

Da questa build i nuovi elementi grafici vengono introdotti nel menu Start e nel Centro Notifiche, ma non solo.

Miglioramenti del menu Start

  • Materiale Acrilico. L’effetto trasparenza, sempre presente dalla prima versione di Windows 10, viene aggiornato con il nuovo design Acrylic (Figura 1).
  • Ridimensionamento verticale. I glitch nella parte in basso non dovrebbero più verificarsi.
  • Ridimensionamento diagonale. Finalmente il riquadro del menu Start potrà essere ridimensionato anche in diagonale.
  • Resize grips. Sarà molto più facile individuare un punto di “presa” e ridimensionare il menu Start.
  • Transizione alla Modalità tablet. L’effetto di transizione dalla e verso la Modalità tablet sarà più fluido.

Figura 1 – Nuovo design Acrylic implementato nel menu Start

Nuovo look del Centro Notifiche

Il Centro Notifiche è stato ridisegnato (Figura 2) in base ai Feedback ricevuti dagli utenti. Notifiche ben identificate e nuovi elementi che riprendono il nuovo Fluent Design.

Nota: In questa build le notifiche non presentano l’effetto trasparenza attivo come previsto. Il bug sarà sicuramente risolto nelle prossime build.

Figura 2 – Centro Notifiche ridisegnato con il Fluent Design

Miglioramenti in Microsoft Edge

  • Pin dei siti web sulla Barra delle applicazioni. Si tratta di una delle novità più interessanti introdotte con Internet Explorer 9, ma eliminata in Windows 10 con Microsoft Edge. Finalmente fa il suo ritorno (Figura 3) ed al momento possiamo “pinnare” un sito facendo clic sui 3 puntini in alto a destra e, successivamente, sul comando Pin this page to the taskbar.

Figura 3 – Possibilità di pinnare i siti web con Microsoft Edge

  • Modalità a schermo intero (F11). Questa build introduce una nuova esperienza a tutto schermo in Microsoft Edge. Basta premere il pulsante F11 sulla tastiera o selezionare la relativa icona nel menu Impostazioni per portare il browser a schermo intero (Figura 4). Per uscire da questa modalità basterà rifare una delle due operazioni già citate.

Figura 4 – Modalità a Schermo Intero di Microsoft Efge

  • Annotare sui “libri”. Viene aggiunta la possibilità di prendere delle annotazioni sugli eBook in formato EPUB, evidenziando in 4 colori, sottolineando e aggiungendo commenti. Per provare questa funzione basterà selezionare il testo e scegliere l’opzione dal menu a comparsa (Figura 5).

Figura 5 – Annotazioni in Microsoft Edge per gli eBook in formato EPUB

  • Miglioramenti per i file PDF. Sono stati aggiunti più colori per evidenziare il testo e viene introdotto il supporto alla funzione Ask Cortana (Figura 6).

Figura 6 – Nuove funzioni per i file PDF in Microsoft Edge

Miglioramenti in Cortana

  • Insights nel Rullino fotografico. Solo se autorizzata, Cortana sarà in grado di creare un promemoria automatico (Figura 7) non appena identificherà il poster di un evento nel rullino fotografico. Per provare questa funzione sarà necessario essere loggati con un Microsoft Account, o un account aziendale, e successivamente dare a Cortana il permesso di accedere al rullino fotografico dalle Impostazioni.

Figura 7 – Nuovi promemoria avanzati di Cortana

  • Cortana Lasso. Per tutti coloro che usano come modalità di input anche la Penna, sarà possibile selezionare/evidenziare delle informazioni. Cortana sarà in grado di riconoscere i dati importanti e suggerire il corretto follow-up tramite un menu contestuale (Figura 8). Per abilitare questa funzione bisognerà andare nelle impostazioni Penna & Windows Ink, in particolare la penna deve supportare la modalità Pressione prolungata.

Figura 8 – Cortana Lasso in azione

Evoluzione dell’esperienza di scrittura a mano libera in Windows 10

A partire da questa build Windows 10 integra un nuovo pannello per la scrittura a mano basato su XAML. Questo comporta molti miglioramenti per il sistema di scrittura, comprese nuove gesture, emoji e altro.

  • Scrivere “senza fine” nel pannello di scrittura a mano con il nuovo modello di conversione ed overflow.

  • Effettuare correzioni all’interno del pannello di scrittura, sovrascrivendo il testo già convertito.

  • Effettuare correzioni usando delle gesture con l’inchiostro digitale.

  • Simboli ed emoji più facili da raggiungere grazie ai due pulsanti dedicati (Figura 9).

Figura 9 – Nuovo pannello di scrittura con i pulsanti per simboli ed emoji

  • Trova la mia Penna. Non ricordiamo dove abbiamo lasciato la nostra penna digitale? Sicuramente non ha il GPS, ma Windows 10 potrà segnalarci dove e quando abbiamo utilizzato ultimamente l’inchiostro digitale sul nostro dispositivo. L’opzione si può attivare in Impostazioni > Aggiornamento e sicurezza > Trova il mio dispositivo (Figura 10).

Figura 10 – Nuova opzione “Dov’è la mia penna?”

Miglioramenti per le interazioni con l’input Penna

  • Scorrimento. Con l’obiettivo di creare un’interazione sempre più intuitiva in Windows 10, utilizzando una penna, ora è possibile scorrere qualsiasi contenuto in maniera diretta e fluida con la penna, come se fosse un dito.

  • Selezione. Maggiore controllo nel processo di selezione effettuato con una penna. Questo miglioramento riguarderà testo, oggetti o inchiostro digitale.

Nota: Attualmente lo scorrimento con la penna è supportato solo per le app UWP, ma verrà supportato anche da quelle Win32. La selezione con la penna è ancora in fase di implementazione.

Miglioramenti per la tastiera fisica e virtuale

  • Attivare le emoji utilizzando la tastiera fisica. Dopo aver ricevuto tanti feedback, Microsoft ha introdotto il nuovo pannello emoji (Figura 11). Esso potrà essere richiamato in qualsiasi momento, quando siamo in una casella di testo, attraverso queste due scorciatoie da tastiera: Win + (.) o Win + (;).

Figura 11 – Nuovo pannello emoji in Windows 10

Nota: Al momento il pannello è attivabile solo con la Tastiera (Stati Uniti).

  • Nuove funzioni per la tastiera virtuale. Finalmente Microsoft ha iniziato ad integrare le funzioni più richieste dai tempi di Windows Phone. Tra queste: il suggerimento avanzato delle parole, la possibilità di scorrere tutte le emoji, la modalità scrittura con una mano e la modalità Swipe (momentaneamente solo su tastiera USA) (Figura 12).

Figura 12 – Modalità Swipe ripresa da Windows Phone

Miglioramento dell’Interfaccia, delle Impostazioni e delle funzionalità integrate

  • Esperienza di Condivisione e Copia Link. La Condivisione in Windows 10 è stata ridisegnata con il Creators Update e migliorata con la build 16199, introducendo la possibilità di condividere un contenuto con un nostro contatto. Dalla build 16215 si aggiunge la possibilità di copiare direttamente il collegamento nel caso in cui non fosse presente una determinata app per la condivisione (Figura 13).

Figura 13 – Nuova opzione “Copia collegamento” nella schermata Condividi

  • Nuovi filtri colori nelle impostazioni di contrasto elevato. Grande attenzione per l’accessibilità da parte di Microsoft nelle ultime build di Windows 10. Con l’introduzione dei nuovi filtri colore, a livello di sistema (Figura 14), si semplifica maggiormente la vita di coloro che hanno problemi nel riconoscere in maniera corretta i colori o che sono sensibili alla luce.

Figura 14 – Nuovi filtri colore nelle impostazioni di contrato elevato

  • Configurare le impostazioni predefinite in base all’app. Il “vecchio” Pannello di Controllo, build dopo build, viene progressivamente integrato nelle nuove Impostazioni di Windows 10. Da questa build è possibile gestire le impostazioni predefinite entrando nella gestione di ogni singola app senza dover ritornare al Pannello di Controllo classico (Figura 15).

Figura 15 – Nuovo pannello per configurare le impostazioni predefinite di sistema in base all’app

  • Aggiornata la schermata riguardante la proprietà della Rete. Forse una delle cose più attese, dai tempi della prima versione di Windows 10, finalmente è stata implementata. Ora selezionare il profilo di rete corretto sarà un gioco da ragazzi (Figura 16), in precedenza il settaggio era poco intuitivo.

Figura 16 – Nuova schermata per l’impostazione del profilo di rete

  • Visualizzare le GPO attive di Windows Update. Se sono presenti e attive delle GPO per Windows Update, verrà visualizzata una pagina nelle impostazioni di Windows Update, in modo da poterle visualizzare.
  • Aggiungere altri utenti AAD (studenti / aziendali) dalle Impostazioni.
  • Windows Subsystem for Linux (WSL) non richiederà più l’attivazione della Modalità Sviluppatore. In precedenza era necessario attivare la modalità sviluppatore per lanciare Bash e gli strumenti di Linux su Windows. Da questa build si può avviare Bash senza problemi, anche perché nell’ultimo anno la funzionalità si è dimostrata assolutamente sicura ed affidabile dopo 2 aggiornamenti di funzionalità. Maggiori info qui e presto, lo ricordiamo, si potranno installare più distribuzioni di Linux su Bash/WSL.
  • Hyper-V integra il supporto virtuale della batteria. Sarà possibile visualizzare lo stato della batteria nelle proprie macchine virtuali. Per testare questa nuova funzione bisogna creare una nuova VM utilizzando il cmdlet New-VM con il flag -Prerelease. Questo permetterà di creare una versione “beta” della macchina virtuale con questa funzione abilitata.

Altre informazioni in merito a ulteriori miglioramenti e fix per PC introdotti in questa build li trovate nel post ufficiale del Blog di Windows consultabile a questo link.

In ultimo, vi ricordiamo che le build Insider di Windows 10 non sono stabili e quindi è consigliabile utilizzarle in ambienti di test e non direttamente in produzione.

Windows 10 Insider Preview, rilasciata la build 16188 nel Fast Ring

A partire dall’11 aprile 2017, Microsoft ha rilasciato per tutti Windows 10 Creators Update. Questa nuova versione di Windows 10 introduce una serie di novità che sviscereremo (e aggiorneremo) nelle prossime settimane con articoli dedicati qui su ICT Power.

Nel frattempo il ramo Insider di Windows 10 non si è fermato e, dopo diverse build di assestamento, viene rilasciata la build 16188 della prossima versione dal nome in codice Redstone 3. Essa, secondo i nuovi piani di rilascio, sarà disponibile a settembre 2017, con diverse novità interessanti.

Novità di Windows 10 build 16188

Nuove funzionalità del lettore PDF integrato in Microsoft Edge

In continuità con quanto chiesto a gran voce dagli utenti, attraverso l’Hub di Feedback, sono state introdotte nuove funzionalità nel lettore PDF integrato nel nuovo browser di Microsoft:

  • Compilazione moduli. Spesso capita di scaricare o visualizzare dei moduli online da riempire nei vari campi, in formato PDF. Ora è possibile compilarli direttamente all’interno di Microsoft Edge, salvarli e stamparli (Figura 1).

Figura 1 – Compilazione moduli in formato PDF direttamente in Microsoft Edge

  • Annotazioni. “Crea una nota Web”, una funzionalità presente in Microsoft Edge che sfrutta l’inchiostro digitale per prendere appunti su una pagina web e condividerli (Figura 2), viene estesa anche ai file PDF tramite lo stesso pulsante. Presenti le stesse modalità di utilizzo ed è possibile salvare il lavoro sul file PDF per una successiva consultazione.

Figura 2 – Crea una nota attraverso l’inchiostro digitale su un file PDF

  • Sommario. Nel caso di documenti PDF abbastanza lunghi abbiamo a nostra disposizione, nella barra degli strumenti, la funzionalità Sommario (Figura 3). Essa permette di navigare all’interno del documento in modo più semplice (se presente).

Figura 3 – Nuova funzione Sommario, se presente, all’interno di un file PDF

  • Visualizzazione e navigazione. Documenti scomposti e/o orientati male, quante volte capita? Dal lettore PDF di Microsoft Edfe ora si possono ruotare i documenti PDF per migliorarne la leggibilità. Altra novità importante, la possibilità di selezionare il layout di lettura, sempre dalla barra degli strumenti, scegliendo tra diverse opzioni (Figura 4).

Figura 4 – Nuove impostazioni per regolare il layout di lettura del file PDF

Windows Defender Application Guard

Una funzione annunciata lo scorso settembre sul blog di Microsoft Edge, Windows Defender Application Guard è disponibile per gli utenti Insider di Windows 10 Enterprise nel ramo veloce. Avviando Microsoft Edge in modalità Application Guard si garantisce alle imprese il massimo livello di protezione da malware e attacchi di tipo “zero day” su Windows. Scriveremo un articolo dedicato a questa nuova funzione di sicurezza.

Per attivare (testare) questa modalità è necessario:

  • Windows 10 Enterprise Insider Preview (Ramo veloce)
  • Hyper-V attivato (quindi un PC compatibile con le tecnologie di virtualizzazione)
  • Attivare la funzione corrispondente dal pannello Funzionalità Windows (Figura 5)

Figura 5 – Attivazione Windows Defender Application Guard

Il programma Windows Insider ha la sua icona: gatto ninja


Andando in Impostazioni PC > Aggiornamento e sicurezza > Programma Windows Insider troveremo la nuova icona identificativa del programma Insider di Windows 10 (Figura 6).

Figura 6 – Nuova icona del Programma Windows Insider

Settaggi di Cortana inseriti in Impostazioni PC

Cortana è ormai uno dei componenti principali di Windows. Gli utenti avevano difficoltà a trovarne le impostazioni e, grazie ai feedback, da questa build, sono state migrate in una categoria dedicata presente in Impostazioni PC (Figura 7). All’interno sono presenti diverse voci configurabili (Figura 8).

Se Cortana non è abilitata, al suo posto, compariranno le impostazioni della ricerca classica.

Figura 7 – Nuova categoria Cortana in Impostazioni PC

Figura 8 – Impostazioni presenti all’intero della categoria Cortana

Sezione Lente di ingrandimento migliorata

Per migliorare l’esperienza utente della funzione Lente di ingrandimento, per utenti con bassa visibilità o casuali, la pagina dedicata ai relativi settaggi è stata aggiornata. I più attenti noteranno subito l’introduzione di nuove funzioni.

Figura 9 – Impostazioni della Lente di ingrandimento aggiornate

Esperienza di aggiornamento migliorata

Dalla build 16188 di Windows 10 viene migliorata l’esperienza di aggiornamento del sistema operativo. Al posto del classico popup viene introdotta una notifica “toast” interattiva che avvertirà l’utente della presenza di un nuovo aggiornamento, senza interrompere il lavoro corrente. La vedremo in azione con l’arrivo della prossima build Insider.

Altre informazioni in merito a ulteriori miglioramenti e fix per PC introdotti in questa build li trovate nel post ufficiale del Blog di Windows consultabile a questo link.

In ultimo, vi ricordiamo che le build Insider di Windows 10 non sono stabili e quindi è consigliabile utilizzarle in ambienti di test e non direttamente in produzione.

Monitoraggio avanzato del Server DNS

Il servizio DNS è diventato uno dei cardini delle varie infrastrutture Aziendali, Active Directory si “appoggia” sul Name Server per tutta la componente Kerberos e non solo.

Le varie applicazioni aziendali hanno riferimenti FQDN anche all’interno dell’infrastruttura e del perimetro di rete Aziendale, e la navigazione Internet, da sempre richiede tale servizio.

Il DNS, appunto perché è utilizzato per la navigazione, può in qualche modo, chiaramente non da solo, fornire indicazioni su quelli che possono essere tentativi di risoluzione di siti malevoli.

Infatti alcune soluzioni commerciali di protezione si basano proprio su una gerarchia di questo servizio, mettendo a disposizione motori che forniscono esclusivamente risoluzioni per host in qualche modo “fidati”.

È interessante la lettura di questo articolo che introduce all’analisi forense dei log relativi al servizio DNS.

Dal punto di vista dell’operatività del servizio, conoscere le query che il DNS deve risolvere, permette anche di effettuare una pulizia di record dichiarati in modo statico e che nel tempo sono diventati assolutamente inutilizzati ed in generale creano soltanto confusione.

Cercheremo in questo articolo di analizzare quelle che sono le modalità di analisi del funzionamento del DNS aziendale andando a rilevare quali e quante sono le richieste che un DNS deve soddisfare nel corso del tempo.

Un’indicazione molto generica di funzionamento, tramite il PowerShell è possibile ottenerla con il Commandlet Get-DnsServerStatistics

Figura 1

Tuttavia, come si può vedere nella figura 1 vengono fornite solo informazioni molto scarne, principalmente sul numero di query effettuate per tipologia di Record ed il loro stato.

In Windows 2016 è disponibile nativamente la funzione “Enhanced DNS logging and diagnostics “un tool integrato che permette una diagnostica profonda sul funzionamento, non solo dal punto di vista della disponibilità del servizio, ma di come questo è utilizzato, le query a cui deve rispondere etc.

Dalla versione 2016, questa funzione è integrata nativamente, ma era già stata introdotta con Windows 2012 R2 per mezzo dell’installazione della KB: 2956577

Attivazione del log analitico del DNS

Di default il sistema non ha attiva questa funzione di tracing, ma deve essere abilitata mediante il registro eventi

Figura 2 attivazione della modalità di Debug

Posizionandosi nel “ramo” del log eventi “Application and Services Logs\Microsoft\Windows\DNS-Server nelle opzioni a disposizione tramite il tasto DX, esiste la possibilità di attivare il “Service and Debug Log” tramite il quale il DNS inizierà a registrare tutta la sua attività.

È importante considerare il fatto che, in installazioni molto grandi le dimensioni del file di log possono rapidamente raggiungere la soglia limite di 4Gb per registro, è bene quindi effettuare un periodo di osservazione al fine di verificare che non si raggiungano situazioni di funzionamento critiche.

Dal momento che ora tutte le attività del DNS sono tracciate nel Registro Eventi è possibile effettuarne un monitoraggio andando ad identificare il tipo di query che viene effettuata, ed anche quali hostname vengono richiesti al DNS.

Come detto in precedenza in questo modo possiamo verificare se e quali record in quanto non utilizzati possono essere con una certa sicurezza rimossi.

Figura 3 dettaglio voce del log di debug

Nella figura 3 è riportato il dettaglio di un elemento del registro eventi relativo ad una ricerca diretta per la risoluzione di www.google.com, siccome il messaggio di log vero e proprio viene archiviato sotto forma di testo è necessario estrapolarne le informazioni, dal punto di vista della diagnostica sono utili i “campi”:

  • Source
  • Qname
  • Qtype

Il primo individua il richiedente la risoluzione, ossia il client del servizio DNS,

il secondo è l’oggetto vero e proprio della richiesta di risoluzione DNS

mentre il “campo” Qtype individua il tipo di query, secondo l’RFC che norma il servizio DNS come riportato in questa tabella

Ricerca degli eventi all’interno del registro

Come detto sopra le informazioni utili alla diagnostica sono salvate sotto forma di stringhe testuali ed in questo caso è molto utile l’utilizzo delle “Espressioni Regolari” per individuare le varie parti del messaggio.

PowerShell dal canto suo dispone di cmd-let per l’accesso al registro e permette l’uso delle Regular Expression nei suoi parametri di ricerca.

Il cmd-let usato in questo esempio per accedere al registro eventi è Get-WinEvent per mezzo del quale vengono rilevati gli eventi del registro di debug

Get-WinEvent -LogName “Microsoft-Windows-DNSServer/Analytical” -oldest

Tramite le opzioni di filtro applicate all’output, possiamo ottenere le informazioni sul tipo di query che vengono sottoposte al server

Get-WinEvent -LogName “Microsoft-Windows-DNSServer/Analytical” -Oldest Where-Object { $_.Message -match “QTYPE=[0-9]+”} ForEach-Object {$DnsRecords += $Matches.Values}

Figura 4 rilevazione del tipo di ricerca fatta sul DNS

Lo script riportato sopra rileva il numero di query eseguite sul DNS raggruppate per tipologia

Get-WinEvent -LogName “Microsoft-Windows-DNSServer/Analytical” -Oldest Where-Object { $_.Message -match “QNAME=.*?; QTYPE=1”} ForEach-Object {$DnsRecords += $Matches.Values}

Figura 5 rilevazione e raggruppamento dei nomi host richiesti al DNS

Mentre in questo caso sono rilevate le risoluzioni richieste al DNS

Le Espressioni regolari utilizzate al fine della ricerca puntuale delle occorrenze all’interno dei vari messaggi sono riportate qui sotto, e come si vede fanno parte della stringa di ricerca

  • QTYPE=[0-9]+
  • QNAME=.*?; QTYPE=1

Al fine di essere ragionevolmente sicuro che I parametri di ricerca siano corretti, personalmente utilizzo il sito https://regex101.com/ per verificare che l’espressione applicata sulla stringa dia i risultati voluti, il sito Regex01 riporta anche le varie indicazioni sulle strutture delle stringhe di ricerca e consente in modo interattivo di verificare la costruzione delle query valutandone la correttezza sintattica.

Nel caso in cui sia necessario monitorare diversi DNS il cmd-let permette di accedere a server remoti tramite l’opzione -computername

Logging di versioni precedenti la 2012R2

Le versioni di WindowsServer precedenti la 2012R2 non permettono la modalità di attivazione del log DNS come visto finora, per questa tipologia di sistemi è possibile attivare un log su file, funzione che è comunque rimasta anche nelle recenti versioni.

L’attivazione del log avviene tramite lo Snap-in di gestione DNS, alla voce “Debug Logging” spuntando il checkbox, di attivazione del Log.

Figura 6 attivazione log per versioni “legacy”

Sono disponibili ulteriori opzioni, come ad esempio il log delle connessioni in uscita piuttosto che quelle in ingresso, la tipologia di pacchetti, il protocollo di trasporto etc. di default non è necessario attivare il dettaglio in quanto le informazioni di base forniscono già sufficienti indicazioni per determinare eventuali problemi di funzionamento.

Figura 7 DNS log file

Il file di log riporta la descrizione delle varie componenti il log stesso, tuttavia per l’analisi del contenuto del logfile è possibile utilizzare appositi tool free come ad esempio Zedlan

Figura 8 Output Zedlan

Considerazioni

Il servizio DNS è sempre di più uno snodo nevralgico del sistema, il suo monitoraggio, così come la sua manutenzione diventano quindi imprescindibili, le indicazioni riportate sopra non sono sicuramente esaustive ma sono frutto dell’esperienza quotidiana di chi le ha scritte, ed hanno lo scopo di fornire al lettore un punto di vista differente sull’approccio alla gestione di questo servizio.

Riferimenti

https://technet.microsoft.com/en-us/library/dn800669(v=ws.11).aspx

https://blogs.technet.microsoft.com/tip_of_the_day/2016/05/16/tip-of-the-day-using-dns-analytical-logging/

https://support.microsoft.com/it-it/help/2956577/update-adds-query-logging-and-change-auditing-to-windows-dns-servers

Blog italiani (e in italiano) nel mondo IT/ICT