Sincronizzazione automatica Suite Sysinternals

 

Chi non conosce gli ottimi tools messi a disposizione da Sysinternals?

Nonostante si possano lanciare direttamente da rete senza doverli scaricaricare, ad esempio il programma Autoruns.exe può essere lanciato con il comando:

\\live.sysinternals.com\tools\autoruns.exe

a volte può essere utile avere una copia in locale di tutti i programmi e poterla sincronizzare a intervalli regolari.

Per far questo possiamo usare il programma Robocopy e un piccolo file batch

Iniziamo creando una directory che conterrà tutti i programmmi, ad esempio:

c:\Program Files (x86)\Sysinternals Suite

dopodichè apriamo il notepad e inseriamo queste righe:

@echo off

set path=c:\Program Files (x86)\Sysinternals Suite
%windir%\system32\robocopy \\live.sysinternals.com\Tools "%path%" /w:0 /r:0 /log+:"%path%\Update.log"

infine salviamo il file come Update.cmd nella directory appena creata.

Possiamo provare anche a lanciarlo e dopo qualche secondo dovremmo vedere i files che vengono scaricati e alla fine un log dell’operazione del file Update.log.

A questo punto non ci resta che creare un Task per far eseguire il file appena creato, ricordandoci di farlo girare con i diritti amministrativi nel caso il percorso si trovasse in una cartella di sistema come nell’esempio, impostando l’esecuzione una volta alla settimana ad esempio.

Cambiare il numero dei file di log di NTBackup.exe

 

Nonostante la presenza di Windows Server 2008 molti miei clienti utilizzano ancora Windows Server 2003 e con esso il software di backup incluso NTBackup.exe. Per situazioni non troppo complesse è uno strumento ottimo e funzionale.

Di default NTBackup salva gli ultimi 10 log nel percorso:

c:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Windows NT\NTBackup\data

con il nome:

backup01.log
backup02.log

 

A volte potrebbe essere necessario modificare il numero dei files di log generati, per far questo dobbiamo ricorrere al Regedit e cambiare il valore del seguente parametro:

HKEY_CURRENT_USER\Software\Microsoft\Ntbackup\Log Files\Log File Count

Microsoft IT Environment Health Scanner

 

Microsoft IT Environment Health Scanner è un tool destinato agli amministratori di sistema per verificare lo stato di salute della propria infrastruttura Active Directory. Il tool identifica i problemi comuni che possono portare la vostra infrastruttura a non funzionare correttamente.

image

Eseguito da un computer con le necessarie autorizzazioni è in grado di eseguire più di 100 controlli diversi e collezionare informazioni su:

  • Configurazione dei Siti e Subnet in Active Directory
  • Replicazione di Active Directory, filesystem e cartella SYSVOL
  • Risoluzione dei nomi (DNS)
  • Configurazione delle schede di rete dei Domain Controller, server DNS, e-mail server che eseguono Exchange Server
  • Stato dei Domain Controller
  • Configurazione del protocollo Network Time Protocol (NTP) per tutti i Domain Controller

Trovate maggiori informazioni e il link per scaricarlo a questo indirizzo: Microsoft IT Environment Health Scanner

Confronto Internet Explorer 9 Beta, Firefox, Opera , Chrome, Safari

 

Dopo l’uscita della Beta di Internet Explorer 9 ero curioso di vedere se le promesse di Microsoft sulla velocità di esecuzione del codice Javascript e sul supporto degli standard sono state rispettate.

Ho installato su una Virtual Machine con Windows 7 Professional a 64bit questi 5 browser:

  1. Internet Explorer 9 Beta – 9.0.7930.16406
  2. Mozilla Firefox – 4.0b6
  3. Opera – 10.62
  4. Google Chrome Beta – 7.0.517.8
  5. Apple Safari – 5.0.2 (7533.18.5)
    ed ho eseguito questi due test con tutti i browser:
  • Acid3 Test
  • SunSpider JavaScript Benchmark
    ottenendo i seguenti risultati.

      Acid3 Test

      Internet Explorer:

    image

        Mozilla Firefox:

      image

      Opera:

      image

      Google Chrome:

      image

      Apple Safari:

      image

       

      SunSpider JavaScript Benchmark

      Internet Explorer (http://bit.ly/a4t3tP):

      image

      Mozilla Firefox (http://bit.ly/aXRmVU):

      image

      Opera (http://bit.ly/bmTggd):

      image

      Google Chrome (http://bit.ly/aCNNFq):

      image

      Apple Safari (http://bit.ly/aqd0Dt):

      image

       

      Conclusioni

      Direi che le promesse sono state mantenute, i miglioramenti rispetto a Internet Explorer 8 sono veramente evidenti e finalmente il rispetto per gli standard è molto più elevato delle precedenti versioni.

      Installazione del proxy server Squid in ambiente Windows – Parte 2/2

       

      Nella prima parte della guida abbiamo visto come configurare il servizio squid, vedremo ora come configurare in automatico i client per utilizzarlo e alcune ottimizzazioni al servizio stesso.

       

      Configurazione client

      Il modo più semplice, ma più laborioso, per configurare i client è quello di modificare a mano le impostazioni di Internet Explorer per utilizzare il server proxy che abbiamo configurato. La stessa operazione può essere automatizzata sfruttando le GPO (Group Policy Object).

      Editiamo la Default Domain Policy o una qualsiasi policy in modo da configurare le impostazioni del proxy in questo modo:

      image

      che trovate nel percorso Configurazione utente –> Impostazioni di Windows –> Manutenzione di Internet Explorer –> Connessione.

      Questa configurazione funziona bene però ha lo svantaggio di impostare il proxy in modo permanente nei client, potrebbero quindi nascere dei problemi usandoli in altre reti dove non esiste un proxy o comunque esiste ma con parametri di accesso diversi.

      Per risolvere il problema possiamo sfruttare la funzione di configurazione automatica di Internet Explorer. In pratica tramite GPO andiamo a configure Internet Explorer per usare la configurazione automatica e poi configuriamo il DNS e un file di confiurazione per far si che i parametri del proxy siano configurati a ogni sessione.

      In questo caso la policy da modificare è la Configurazione automatica del browser che trovate sempre nello stesso percorso Configurazione utente –> Impostazioni di Windows –> Manutenzione di Internet Explorer –> Connessione.

      image

      Una volta che la policy si è applicata, o ne abbiamo forzato l’applicazione con il comando gpupdate /force, nelle Impostazioni LAN del tab Connessioni delle Opzioni Internet dovremmo vedere il flag Rileva automaticamente impostazioni flaggato.

      Fin qui abbiamo configurato Internet Explorer per usare le impostazioni automatiche, ora dobbiamo creare il file con le impostazioni e far in modo che possa essere trovato.

      Create un file di testo con dentro:

      function FindProxyForURL( url, host )
      {
        if( isPlainHostName( host )  ||          // se nessun dominio viene specificato
          dnsDomainIs( host, “.dominio.local”) ||
          isInNet( host, “192.168.1.0”, “255.255.255.0” ) ||
          )
          return “DIRECT”;                      // Non si usa alcun proxy
        else
          return “PROXY 192.168.1.10:3128”
      }

       

      dove al posto di dominio.local e 192.168.1.0/255.255.255.0 mettete i vostri dati che posso contenere anche più righe aggiunti sempre con l’operatore || (or).

      Salviamo il file con il nome wpad.dat in un percorso qualunque che sia raggiungibile tramite web, ad esempio lo possiamo inserire nella root di un server con IIS in modo da poterlo raggiungere con http://192.168.1.10/wpad.dat o http://srv-sbs/wpad.dat.

      Se provate uno degli indirizzi sopra e ottenete un errore del tipo:

      image

      è probabile che stiate utilizzando IIS e che l’estensione .dat non sia configurata nella lista delle estensioni MIME. Per far questo aprite la console di gestione di IIS e nella finestra delle proprietà del server cliccate il pulsante Tipi MIME e aggiungete l’estensione .dat così configurata:

      image

      e riavviate IIS. A questo punto dovreste essere in grado di vedere il file wpad.dat all’interno di Internet Explorer.

      Adesso che abbiamo creato il file dobbiamo configurare il sistema per far si che venga letto in automatico da Internet Explorer. Per far questo possiamo sfruttare il DNS e/o il DHCP.

      Vedremo ora come configurare il servizio DNS, per il servizio DHCP vi rimando a questo articolo che trovate sul TechNet: http://technet.microsoft.com/en-us/library/cc713344.aspx.

      Aprite la console di gestione del DNS e all’interno della zona di ricerca diretta del vostro dominio, create un record CNAME chiamato wpad che punta al server dove avete salvato il file wpad.dat. Dopodiche verificate che tutto funziona aprendo una finestra di Internet Explorer e digitando:

      http://wpad.dominio.local/wpad.dat

      Se tutto è configurato correttamente dovreste vedere il contenuto del file wpad.dat.

      Nel caso non riusciate a risolvere il nome wpad.dominio.local verificate che il nome wpad non sia inserito nella Global Query Block List: http://www.indented.co.uk/index.php/2009/05/21/windows-2003-dns-global-query-block-list/

      Ora non ci resta che aprire Internet Explorer e verificare l’effettivo uso del server proxy.

      L’utilizzo della configurazione automatica con il file wpad.dat risulta essere molto comoda se avete spesso necessità di far accedere ad internet, tramite il proxy, portatili esterni alla vostra rete.

      Configurazione log

      Il formato di default dei log di accesso al proxy, così come gli altri presenti, sono utili nel caso debbano essere interpretati da software esterni. Se volete invece un formato che sia più comprensibile per noi umani e facilmente importabile in Excel potete creare un nuovo tipo con queste specifiche:

      logformat my “%>a”,”%ul”,”%rm %ru HTTP/%rv”,”%Hs”,”%<st”,”%Ss:%Sh”,”%tl”

      e poi impostare squid per usarlo con la riga:

      access_log c:/squid/var/logs/access.log my

       

      Con il tempo vi accorgerete che i file di log, soprattutto il file access.log, tenderà a crescere notevolmente possiamo quindi usare la funziona logrotate di squid per creare diversi file in determinati momenti.

      Il modo più semplice è schedulare il comando:

      squid –n squid –k rotate

      magari una volta al mese in modo da poter archiviare i file di log.

      Ogni volta che eseguiamo il comando i file verranno rinominati secondo il seguente schema:

      access.log.x –> access.log.x+1
      cache.log.x –> cache.log.x+1
      store.log.x –> store.log.x+1

      access.log.0 –> access.log.1
      cache.log.0 –> cache.log.1
      store.log.0 –> store.log.1

      access.log –> access.log.0
      cache.log –> cache.log.0
      store.log –> store.log.0

      Il numero delle versioni dei file che vengono mantenute da squid dipende dal valore impostato per il parametro:

      logfile_rotate 60

      Nel caso specifico verranno conservate 60 copie dei log, che se ruotati ad ogni mese corrispondono a 5 anni di log.

      Configurazioni Varie

      Di default squid invia al sito visitato l’indirizzo reale della vostra macchina privata vedremo quindi:

      X-Forwarded-For: 192.1.2.3

      se volete nascondere il vostro IP privato dovete modificare questo parametro nel seguente modo:

      forwarded_for off

       

      Configurazione dei permessi

      Se siete arrivati fino a questo punto avrete un sistema perfettamente funzionante dove tutti gli utenti in Active Directory possono accedere a qualunque sito, mentre tutti quelli che non sono autenticati non hanno accesso verso l’esterno.

      Spesso nasce l’esigenze di consentire l’accesso ad alcuni siti web senza doversi autenticare e di bloccare in modo più o meno selettivo l’accesso ai siti, ad esempio potremmo voler consentire il download degli aggiornamenti di Windows o delle definizioni antivirus a tutti i pc.

      Per far questo dobbiamo dapprima creare un file di testo con l’elenco dei siti liberi:

      .windowsupdate.com
      .windowsupdate.microsoft.com
      update.microsoft.com
      download.microsoft.com

      e salviamolo come C:\squid\etc\URL_consentiti.txt, dopodichè modifichiamo il file di configurazione di squid per usare questa lista appena creata.

      Alla fine delle direttive ACL aggiungiamo questa riga:

      acl link-consentiti url_regex “c:/squid/etc/URL_consentiti.txt

      in modo da creare una Access Control List chiamata URL_consentiti che contiene tutti gli URL presenti nel file, dopodichè aggiungiamo la riga:

      http_access allow URL_consentiti

      subito prima di quella che nega l’accesso agli utenti non autenticati (http_access deny !Authenticated).

      Una volta riavviato Squid verificate che i link presenti nel file siano accessibili anche senza autenticazione.

      Allo steso modo possiamo definire una lista di utenti che hanno accesso illimitato al web. Creiamo quindi un file contenente gli utenti con il dominio incluso:

      dominio\utente1
      dominio\utente2

      dominio\utenten

      e salviamolo come C:\squid\etc\Utenti_illimitati.txt e modifichiamo il file di configurazione di squid per carica questa ACL utilizzando la riga:

      acl Utenti_illimitati proxy_auth “c:/squid/etc/Utenti_illimitati.txt”

      infine consentiamo l’accesso a questa ACL:

      http_access allow Utenti_illimitati

      subito dopo la direttiva http_access inserita precedentemente.

      Adesso possiamo creare una lista di siti che saranno bloccati per tutti gli utenti tranne per quelli inseriti nella lista Utenti_illimitati. Creiamo un nuovo file di testo chiamato C:\squid\etc\URL_bloccati.txt che conterrà l’elenco dei siti tipo:

      .facebook.com
      .youtube.com

      creiamo la solita ACL con la riga:

      acl URL_bloccati url_regex “c:/squid/etc/URL_bloccati.txt”

      e infine neghiamo l’accesso a questa ACL con la riga:

      http_access deny URL_bloccati

      da inserire subito dopo la direttiva http_access inserita precedentemente.

      Ad ogni modifica del file squid.conf va riavviato il servizio Squid.

      Se volete creare delle liste di indirizzi consentiti per utente dovete creare un file contenete uno o più utenti e un file contenente i link consentiti per quell’utente/i.

      Poi vanno create due ACL, una per gli utenti e una per i link:

      acl Utente1 proxy_auth “c:/squid/etc/Utente1.txt”
      acl Utente1_Link url_regex “c:/squid/etc/Utente1_Link.txt”

      e inserite all’interno della stessa direttiva in modo da dover essere soddisfatte entrambe:

      http_access allow Utente1 Utente1_Link

       

      Note

      Se installare Squid su una macchina dove è installato il servizio DNS molto probabilmente in seguito a un riavvio vi troverete nella situazione che Squid non riesce a partire perchè alcune porte sono giù state usate dal servizio DNS.

      Le porte di default di Squid, non tutte abilitate, sono:

      • 3128 TCP
      • 3130 TCP
      • 3135 TCP
      • 4827 TCP
      • dobbiamo quindi provvedere a impostare un parametro nel Registry di Windows per configurarle come Reserverd in modo che il DNS non le usi.

      •  
        1. Avviare l’editor del Registro di sistema (Regedit.exe).
        2. Individuare e selezionare la seguente sottochiave del Registro di sistema: KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
        3. Scegliere nuovo dal menu Modifica, quindi Valore multistringa.
        4. Fare clic con il pulsante destro del mouse sul nuovo valore, fare clic su Rinomina, digitare ReservedPorts e quindi premere INVIO.
        5. Fare doppio clic sul valore ReservedPorts, digitare l’intervallo di porte che si desidera riservare e quindi fare clic su OK.
          Nota È necessario digitare l’intervallo di porte nel formato seguente:xxxx-yyyy

          Per specificare una singola porta, utilizzare lo stesso valore di x e y. Ad esempio, per specificare la porta 4000, digitare 4000-4000.
          Avviso Se si specificano le porte continue separatamente e se una porta è riservata e non utilizzata correttamente alla porta successiva non è riservata e viene utilizzato.

        6. Fare clic su OK.
      • La procedura è molto semplice ed è riportata nell’articolo:Come riservare un intervallo di porte effimere in un computer che esegue Windows Server 2003 o Windows 2000 Server

        Conclusioni

        In questa quida ho cercato di descrivere i passi fondamentali per mettere in piedi il proxy Squid agganciandolo ad Active Directory e con un controllo sugli accessi ad Internet molto semplice.

        Le possibilità di configurazione di Squid sono però pressocchè illimitate.

      Per ulteriori approfondimenti potete consultare i seguenti link:

      Parte 1