DriverView

 

In diverse occasioni può far comodo visualizzare tutti i driver caricati nel sistema, per conoscere la versione o per stilare un elenco che potrebbe tornare utile nel caso di formattazione del PC.

Esistono vari modi per evincere queste informazioni ma con l’utility DriverView di Nir Sofer abbiamo tutte le informazioni in un unico programma. Per ogni device driver caricato il programma visualizza molte informazioni utili, l’indirizzo di caricamento, la descrizione, la versione, il produttore e molte altre.

Il programma lavora su tutte le versioni di Windows a partire dalla 2000, per NT bisogna scaricare la dll psapi.dll da mettere nella directory SYSTEM32. Una volta scaricato l’eseguibile, disponibile in versione x32 e x64, basta lanciarlo senza necessità di installazione.

L’utility può funzionare sia in modalità grafica, sia in modalità comandi per essere inserita all’interno di file batch.

image

Il programma può essere scaricato da questo link:
http://www.nirsoft.net/utils/driverview.html

Implementazione di una VPN SSTP

 

Chiunque si trovi ad amministrare dei server, sia propri o dei propri clienti, usa sicuramente una VPN per collegarsi con la propria rete LAN. Fino a qualche tempo fa le uniche alternative di tunneling erano il PPTP o l’L2TP/IPSEC. Con l’uscita di Windows Server 2008 e Windows Vista SP1 è stato aggiunto un ulteriore protocollo di tunneling Secure Socket Tunneling Protocol (SSTP) che usa eslusivamente il protocollo HTTPS sulla porta TCP 443. Questo lo rende immune da tutti i problemi che ben conosciamo relativamente ai firewall, proxy, etc. che spesso bloccano gli altri protocolli.

Nel server SSTP deve avere un certificato computer con l’opzione Server Authentication o All-Purpose Enhanced Key Usage (EKU). Questo certificato è usato dal client SSTP per autenticare il server quando la sessione viene inizializzata. Per validare il certificato del server nel computer client deve essere installato il certificato della root authority (CA) che ha rilasciato il certificato del server.

Vediamo una tabella comparativa dei tre protocolli.

Attributes PPTP L2TP/IPSEC SSTP
Encapsulation GRE L2TP over UDP SSTP over TCP
Encryption Microsoft Point-to-Point Encryption (MPPE) with RC4 IPsec ESP with Triple Data Encryption Standard (3DES) or Advanced Encryption Standard (AES) SSL with RC4 or AES
Tunnel maintenance protocol PPTP L2TP SSTP
When user authentication occurs Before encryption begins After the IPsec session is established After the SSL session is established
Certificates required to establish the VPN tunnel none Computer certificates on both the VPN client and VPN server Computer certificate on the VPN server and root CA certificate on the VPN client

 

Quando un utente su un computer che esegue Windows Server 2008, Windows Server 2008 R2, Windows Vista SP1 o Windows 7 inizia una connessione VPN basata su SSTP i seguenti passaggi vengono eseguiti:

  1. The SSTP client establishes a TCP connection with the SSTP server between a dynamically-allocated TCP port on the client and TCP port 443 on the server.
  2. The SSTP client sends an SSL Client-Hello message, indicating that the client wants to create an SSL session with the SSTP server.
  3. The SSTP server sends its computer certificate to the SSTP client.
  4. The SSTP client validates the computer certificate, determines the encryption method for the SSL session, generates an SSL session key and then encrypts it with the public key of the SSTP server’s certificate.
  5. The SSTP client sends the encrypted form of the SSL session key to the SSTP server.
  6. The SSTP server decrypts the encrypted SSL session key with the private key of its computer certificate. All future communication between the SSTP client and the SSTP server is encrypted with the negotiated encryption method and SSL session key.
  7. The SSTP client sends an HTTP over SSL request message to the SSTP server.
  8. The SSTP client negotiates an SSTP tunnel with the SSTP server.
  9. The SSTP client negotiates a PPP connection with the SSTP server. This negotiation includes authenticating the user’s credentials with a PPP authentication method and configuring settings for IPv4 or IPv6 traffic.
  10. The SSTP client begins sending IPv4 or IPv6 traffic over the PPP link.

 

In questa guida cercherò di descrivere i passi fondamentali per creare una semplice struttura in grado di accettare connessioni VPN SSTP. Molte impostazioni saranno scelte per semplificare la guida e non devono assolutamente essere implementate in produzione.

L’ambiente utilizzato è un ambiente virtuale composto da 3 macchine:

  • DC1 (Windows Server 2008 R2) – Domain Controller, Server DNS
  • VPN1 (Windows Server 2008 R2) – Routing and Remote Access (2 eth), AD Certificate Services, IIS
  • CLIENT1 (Windows 7 Business) – Client

La figura seguente illustra la configurazione dell’ambiente:

Configuration of the SSTP connection test lab.

 

Configurazione di DC1

Il server DC1 va configurato come Domain Controller e Server DNS, i passi da seguire sono:

  1. Rinominare il server in DC1
  2. Assegnare all’interfaccia di rete l’indirizzo IP 192.168.0.1, subnet mask 255.255.255.0, gateway 192.168.0.2, server DNS 192.168.0.1
  3. Aggiungere il ruolo Active Directory Domain Services
  4. Creare un nuovo dominio in una nuova foresta tramite il comando DCPROMO e chiamarlo CONTOSO.COM
  5. Impostare il livello di funzionalità del dominio e della foresta ad almeno Windows Server 2003
  6. Installare il server DNS
  7. Creare l’utente user1 con password P@ssw0rd e assegniamo l’accesso dial-in tramite la console Active Directory Users and Computers, tasto destro sull’utente, Dial-in tab, in Network Access Permission cliccare su Allow access.
    Nota: In uno scenario reale è preferibile gestire i permessi di accesso tramite Network Policy Server (NPS).
    image

 

Configurazione di VPN1

Questo server ha due schede di rete, una Privata e una Pubblica e svolgerà i ruoli di server RRAS, Active Directory Certificate Services, Certification Authority Web Enrollment, Web Server (IIS). I passi da seguire sono:

  1. Rinominare il server in VPN1
  2. Rinominare l’interfaccia interna in Private e l’interfaccia esterna in Public
  3. Assegnare all’interfaccia Private l’IP 192.168.0.2, subnet mask 255.255.255.0, server dns 192.168.0.1
  4. Assegnare all’interfaccia Public l’IP 131.107.0.2 e subnet mask 255.255.0.0
  5. Verificare che il server DC1 sia raggiungibile tramite il comando ping DC1
  6. Unire il computer al dominio contoso.com
  7. Installare il ruolo Active Directory Certificate Services con il servizio Certification Authority Web Enrollment, scegliere una CA standalone e poi Root CA, creare una chiave private e proseguire con le impostazioni di default. Il nome della CA dovrebbe essere contoso-VPN1-CA
  8. Impostare il security level di Internet Explorer per la zona Local Intranet a Low
    Nota: In uno scenario reale si dovrebbe modificare l’impostazione individuale realtiva ai controlli ActiveX.
    image
  9. Richiedere un nuovo certificato del tipo Server Authentication tramite Internet Explorer andando all’indirizzo http://localhost/certsrv scegliere Request a certificate, e poi advanced certificate request e infine Create and submit a request to this CA, cliccare si per permettere il controllo ActiveX e compilare il form con i seguenti valori:
    1. Name: vpn1.contoso.com
    2. Country/Region: IT
    3. Type of Certificate Needed: Server Authentication Certificate
    4. Mark keys as exportable: Yes
  10. Cliccare su Submit
    image
  11. Aprire la console Certification Authority
  12. Scegliere il tab Extensions nelle proprietà del server contoso-VPN1-CA e cancellare la riga http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
  13. Inserire la riga http://vpn1.contoso.com/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl e spuntare le voci Include in CRLs. Clients use this to find Delta CRL locations e Include in the CDP extension of issue certificates
    image
  14. Rilasciare il certificato richiesto andando in Pending Requests e scegliere Issue sulla richiesta presente.
  15. Tornare all’indirizzo http://localhost/certsrv e cliccare su View the status of a pending certificate request e poi su Server Authentication Certificate (mercoledì 27 aprile 2011 00:06:22), consentire l’ActiveX e installare il certificato cliccando su Install the certificate. Il certificato sarò così installato nel datastore dell’utente, dobbiamo spostarlo nel datastore computer.
  16. Aprire la console MMC e aggiungere due volte lo snap-in Certificates, una volta per gestire i certificati dell’account utente e una volta per l’account computer locale
  17. Andare in Console Root\Certificates – Current User\Personal\Certificates, cliccare sul certificato vpn1.contoso.com e scegliere Export, scegliere Yes, export the private key, scegliere una password e salvare il file sul desktop con il nome vpn1cert.pfx
  18. Cancellare il certificato appena esportato
  19. Andare in Console Root\Certificates (Local Computer)\Personal\Certificates, cliccare su Certificates e scegliere Import, selezionare il file salvato in precedenza, inserire la password e proseguire con le impostazioni di default
    Nota: La presenza del certificato contoso-VPN-CA1 di tipo all purposes può causare problemi, conviene quindi eliminarlo
    image
  20. Installare il ruolo Network Policy and Access Services e scegliere il servizio Routing and Remote Access Services
    image
  21. Aprire la console di gestione del Routing and Remote Access e cliccare con il tasto destro sul nome del server VPN1 e scegliere Configure and Enable Routing and Remote Access, scegliere Remote access (dial-up or VPN) e successivamente spuntare la casella VPN, selezionare l’interfaccia Public e togliere la spunta su Enable security on the selected interface by setting up static packet filters.
    Nota: In uno scenario reale si dovrebbe lasciare questa opzione abilitata.
  22. Non avendo in questo lab un server DHCP scegliamo From a specified range of address nel successivo passo e impostiamo il range 192.168.0.200-192.168.0.210 e nella richiesta successiva lasciamo l’opzione di default per non usare un server RADIUS per l’autenticazione.
  23. Nella finestra successiva di informazione circa la necessità di configurare le proprietà del DHCP Agent clicchiamo su Ok.
    image

 

Configurazione di CLIENT1

L’interfaccia di rete del CLIENT1 andrà collegata allo stesso switch virtuale dell’interfaccia pubblica di VPN1 e i successivi passi da seguire sono:

  1. Rinominare il client in CLIENT1
  2. Assegnare all’interfaccia di rete l’indirizzo IP 131.107.0.3, subnet mask 255.255.0.0
  3. Non avendo un server DNS nella parte pubblica del lab creiamo un record nel file hosts del client per risolvere il server vpn1.contoso.com. Apriamo il Notepad con i privilegi elevati e carichiamo il file %windir%\system32\drivers\etc\hosts e inseriamo alla fine la riga seguente:

    131.107.0.2    vpn1.contoso.com

    in modo da risolvere il FQDN vpn1.contoso.com con 131.107.0.2 che è l’ip assegnato all’interfaccia pubblica di VPN1.

  4. Possiamo testare la connessione con il server VPN1 eseguendo un ping vpn1.contoso.com
    image
  5. Nel caso il ping fallisca modifichiamo le impostazioni del Firewall sul server VPN1 per accettare le richieste di ping sull’interfaccia Public
    image

 

Configurazione connessione VPN PPTP

Testiamo ora una connessione VPN PPTP per verificare che tutto sia configurato correttamente. Dal CLIENT1 creare una nuova connessione di rete del tipo Connect to a workplace
image

scegliamo Use my Internet connection (VPN) e successivamente I’ll set up an Internet connection later, come indirizzo inseriamo vpn1.contoso.com e come utente e password quelli creati in AD, utente user1 e password P@ssw0rd.

Terminata la configurazione della connessione possiamo farla partire cliccando sull’icona nell’elenco delle connessioni VPN:
image

e una volta stabilito il collegamento possiamo verificare la configurazione di rete tramite il comando ipconfig:
image

come si può vedere ci è stato assegnato l’indirizzo 192.168.0.203. Andando a visualizzare lo stato della connessione VPN ci accorgiamo che stiamo utilizzando il PPTP:
image

A questo punto possiamo disconnetterci e nel server VPN1 configurare il firewall per bloccare il protocollo GRE così da bloccare i tunnel PPTP:
image

dopodichè se proviamo a connetterci in VPN dovremmo ottenere un errore e la connessione non sarà instaurata.

 

Configurazione connessione VPN SSTP

Un client VPN per usare una connessione STP deve aver installto il certificato della root CA che ha rilasciato il certificato usato dal server. Durante il fase di autenticazione SSL il client verifica il certificato del server.

Per ottenere il certificato della root CA basta andare all’indirizzo http://vpn1.contoso.com/certsrv cliccare su Download a CA certificate, Certificate Chain, or CRL e poi su Download CA certificate.

Nella finestra che si apre scegliamo Open
image

e nelle proprietà del certifichiamo clicchiamo su Install Certificate… per installarlo scegliendo tutte le impostazioni di default
image

Il certificato sarà installato nel datastore dell’utente, dobbiamo ora spostarlo in quello relativo al computer per poterlo usare per la connessione VPN. Per far questo apriamo una console MMC e inseriamo due volte lo snap-in Certificates, una volta per l’account utente e una volta per il computer locale.

Apriamo il percorso Console Root\Certificates – Current User\Intermediate Certification Authorities\Certificates e dovremmo vedere il certificato rilasciato a contoso-VPN1-CA, tramite un’operazione di Cut&Paste andiamo ad spostarlo nel percorso Console Root\Certificates (Local Computer)\Trusted Root Certification Authorities\Certificates
image

Visualizziamo ora le proprietà della connessione VPN e nel tab Security impostiamo il tipo VPN a Secure Socket Tunneling Protocol (SSTP):
image

dopodichè possiamo far partire la connessione. Se tutto è andato a buon fine la connessione VPN dovrebbe instaurarsi correttamente e nelle proprietà della connessione possiamo vedere il tipo SSTP:
image

Il tutto sfruttando esclusivamente la porta TCP 443 (HTTPS)
image

 

Link

Exam 70-649: TS: Upgrading Your MCSE on Windows Server 2003 to Windows Server 2008, Technology Specialist

 

La settimana scorsa sono finalmente riuscito a sostenere l’esame 70-649 con esito positivo. Essendo un esame di upgrade dalla MCSE è molto lungo e non proprio semplicissimo, si divide in 3 parti corrispondenti agli esami 70-640, 70-642 e 70-643 e fa ottenere le 3 certificazioni corrispondenti:

image

 

Per chi fosse interessato questi sono gli argomenti trattati:

Configuring Additional Active Directory Server Roles

  • Configure Active Directory Lightweight Directory Service (AD LDS)
    May include but is not limited to: migration to AD LDS, configuring data within AD LDS, configuring an authentication server, server core, Windows Server 2008 Hyper-V

  • Configure Active Directory Rights Management Service (AD RMS)
    May include but is not limited to: certificate request and installation, self-enrollments, delegation, Active Directory Metadirectory Services (AD MDS), Windows Server virtualization

  • Configure the read-only domain controller (RODC)
    May include but is not limited to: unidirectional replication, Administrator role separation, read-only DNS, BitLocker, credential caching, password replication, syskey, Windows Server virtualization

  • Configure Active Directory Federation Services (ADFS)
    May include but is not limited to: installing AD FS server role, exchange certificate with AD FS agents, configuring trust policies, configuring user and group claim mapping, Windows Server virtualization

Configuring IP Addressing and Services

  • Configure IPv4 and IPv6 addressing
    May include but is not limited to: configuring IP options, subnetting, supernetting, alternative configuration

  • Configure Dynamic Host Configuration Protocol (DHCP)
    May include but is not limited to: DHCP options, creating new options, PXE boot, default user profiles, DHCP relay agents, exclusions, authorizing server in Active Directory, scopes, server core, Windows Server Hyper-V

  • Configure routing
    May include but is not limited to: static routing, persistent routing, Routing Internet Protocol (RIP), Open Shortest Path First (OSPF)

  • Configure IPsec
    May include but is not limited to: creating IPsec policy, IPsec Authentication Header (AH), IPsec Encapsulating Security Payload (ESP)

Monitoring and Managing a Network Infrastructure

  • Configure Windows Software Update Services (WSUS) server settings
    May include but is not limited to: updating type selection, client settings, Group Policy object (GPO), client targeting, software updates, test and approval, disconnected networks

  • Capture performance data
    May include but is not limited to: Data Collector Sets, Performance Monitor, Reliability Monitor, monitoring System Stability Index

  • Monitor event logs
    May include but is not limited to: custom views, application and services logs, subscriptions, DNS log

  • Gather network data
    May include but is not limited to: Simple Network Management Protocol (SNMP), Baseline Security Analyzer, Network Monitor

Deploying Servers

  • Deploy images by using Windows Deployment Services
    May include but is not limited to: installing from media (IFM), configuring Windows Deployment Services, capturing Windows Deployment Services images, deploying Windows Deployment Services images, server core

  • Configure Microsoft Windows activation
    May include but is not limited to: installing a KMS server, creating a DNS SRV record, replicating volume license data

  • Configure Windows Server Hyper-V and virtual machines
    May include but is not limited to: virtual networking, virtualization hardware requirements, Virtual Hard Disks, migrating from physical to virtual, VM additions, backup, optimization, server core

  • Configure high availability
    May include but is not limited to: failover clustering, Network Load Balancing, hardware redundancy

  • Configure storage
    May include but is not limited to: RAID types, Virtual Disk Specification (VDS) API, Network Attached Storage, iSCSI and Fibre Channel storage area networks, mount points

Configuring Remote Desktop Services

  • Configure RemoteApp and Remote Desktop Web Access.

    May include but is not limited to: providing access to remote resources; per-user filtering; forms-based authentication; single sign-on

  • Configure Remote Desktop Gateway (RD Gateway).

    May include but is not limited to: certificate configuration; Remote Desktop resource authorization policy (RD RAP); Remote Desktop connection authorization policy (RD CAP); Remote Desktop group policy

  • Configure Remote Desktop Connection Broker.
    May include but is not limited to: redirection modes; DNS registration; set by using group policy

  • Configure and monitor Remote Desktop resources.
    May include but is not limited to: allocate resources by using Windows Server Resource Manager; configure application logging; fair share CPU scheduling; viewing processes

  • Configure Remote Desktop licensing.
    May include but is not limited to: deploy licensing server; connectivity between Remote Desktop Session Hosts (RD Session Hosts) and Remote Desktop Licensing (RD Licensing); recovering Remote Desktop Licensing server; managing Remote Desktop Services client access licenses (RDS CALs); revoking licensing

  • Configure Remote Desktop Session Host.
    May include but is not limited to: session options; session permissions; display data prioritization; profiles and home folders; IP Virtualization; RemoteFX

Configuring a Web Services Infrastructure

  • Configure Web applications
    May include but is not limited to: directory-dependent, publishing, URL-specified configuration, Microsoft .NET components, for example, .NET and .aspx, configuring application pools

  • Manage Web sites
    May include but is not limited to: migrating sites and Web applications, publishing IIS Web sites, configuring virtual directories

  • Configure a File Transfer Protocol (FTP) server
    May include but is not limited to: configuring for extranet users, configuring permissions

  • Configure Simple Mail Transfer Protocol Services (SMTP)
    May include but is not limited to: setting up smart hosts, configuring size limitations, setting up security and authentication to the delivering server, creating proper service accounts, authentication, SMTP relay

  • Manage Internet Information Services (IIS)
    May include but is not limited to: Web site content backup and restore, IIS configuration backup, monitoring IIS, configuring logging, delegation of administrative rights

  • Configure SSL security
    May include but is not limited to: configuring certificates, requesting SSL certificate, renewing SSL certificate, exporting and importing certificates

  • Configure Web site authentication and permissions
    May include but is not limited to: configuring site permissions and authentication, configuring application permissions, client certificate mappings

Cambiare il font in Windows Live Mail

Windows Live Mail offre la possibilità di cambiare il font di lettura delle email, all’interno del menù Options troviamo infatti il pulsante Fonts per la selezione del tipo e della grandezza del font.

image

Una volta modificati i parametri vi sarete accorti che in realtà la visualizzazione avviene sempre con gli stessi caratteri.Questa impostazione viene utilizzata quando si è scelto di leggere tutti i messaggi in testo tramite l’apposita opzione:

image

Attivando questa opzione andiamo si a utilizzare il font che abbiamo scelto ma perdiamo tutta la formattazione HTML dei messaggi. Un modo per continuare a visualizzare i messaggi in HTML e usare il font che vogliamo c’è ma dobbiamo agire tramite un altro programma.

Apriamo Internet Explorer, selezioniamo Internet Options e poi il pulsante Fonts:

image

scegliamo quindi il font che vogliamo usare e clicchiamo su Ok. La modifica viene direttamente applicata a Windows Live Mail per tutte le mail di puro testo.

SBS 2008 Backup fallito per mancanza di spazio

 

Con Windows Small Business Server 2008 il concetto di backup full e incrementale è cambiato rispetto a quello di NTBackup. Con SBS 2008 ogni backup è incrementale dal punto di vista dello spazio occupato ma è full dal punto di vista del restore. Concettualmente il backup salva soltando i blocchi cambiati nella sorgente e mantiene lo storico dei blocchi cambiati per ogni versione. In caso di restore verrà ripristinata la versione completa. Per un approfondimento vi rimando all’articolo Introducing SBS 2008 Backup (http://blogs.technet.com/b/sbs/archive/2008/11/03/introducing-sbs-2008-backup.aspx).

Con SBS 2008 abbiamo anche la possibilità di usare più dispositivi esterni USB di backup che saranno gestiti in totale autonomia dal sistema. Non dovremmo neanche preoccuparci di cancellare le vecchie versioni perchè esiste la feature auto-delete che si occupa di cancellare i vecchi backup contenuti nel dispositivo qualora non vi sia più spazio per i nuovi.

In alcune circostanze però può capitare che questa feature non funzioni e il backup non riesca a terminare per mancanza di spazio e nell’Event Viewer sarà presente un errore del tipo:

image

Questo problema si presenta se il primo backup eseguito sul dispositivo, che sarà di tipo full, occupa più dei 7/8 (circa il 13%) della dimensione del dispositivo ovvero in altre parole se tutte le copie shadow nel dispositivo occupano più di 1/8 del dispositivo allora la feature auto-delete non funziona e siamo costretti a cancellare le copie più vecchie a mano.

Per prima cosa dobbiamo ricavare il GUID del dispositivo esterno USB sul quale vogliamo cancellare le copie, tramite un prompt dei comandi con i privilegi amministrativi lanciamo il domando:

mountvol

e analizzando l’output:

Possible values for VolumeName along with current mount points are:

    \\?\Volume{1acb37c4-ccc0-11df-bd16-806e6f6e6963}\
        C:\

    \\?\Volume{e6e3b365-d370-11df-991a-842b2b1ac9a9}\
        E:\

    \\?\Volume{1acb37c7-ccc0-11df-bd16-806e6f6e6963}\
        D:\

    \\?\Volume{8baa39bf-d828-11df-9c35-842b2b1ac9a9}\
        *** NO MOUNT POINTS ***

possiamo ricavare il GUID, in questo caso {8baa39bf-d828-11df-9c35-842b2b1ac9a9}. A questo punto possiamo cancellarle tutte o solo la meno recente. Per far questo dobbiamo utilizzare il comando DiskShadow.exe e successivamente:

delete shadows VOLUME \\?\Volume{GUID}\

se vogliamo cancellare tutte le shadow copy nel volume caratterizzato dal GUID specificato oppure il comando:

delete shadows OLDEST \\?\Volume{GUID}\

se vogliamo cancellare soltanto la copia meno recente sempre del volume con lo specifico GUID.

Tornando al nostro esempio lanciamo il comando:

delete shadows OLDEST \\?\Volume{8baa39bf-d828-11df-9c35-842b2b1ac9a9}

e otteniamo

Deleting shadow copy {02d5c1e5-5948-401e-a39a-3b6a967cf7fe} on volume \\?\Volume{8baa39bf-d828-11df-9c35-842b2b1ac9a9}\ from provider {b5946137-7b9f-4925-af80-51abd60b20d5} [Attributes: 0x00020019]…

1 shadow copy deleted.

 

A questo punto possiamo proseguire iterativamente fino a liberare lo spazio richiesto.