La sincronizzazione in termini di date & time è un aspetto importante per una rete informatica poichè gli aggiornamenti dei clients e soprattutto le autenticazioni basate su Kerberos (Active Directory) sono influenzati da questi parametri. Per questo scopo bisogna appoggiarsi ad un servizio di sincronizzazione affidabile con un un alto livello di precisione limitando al minimo il valore di scarto.
L’I.N.RI.M (Istituto Nazionale di Ricerca Metrologica) fornisce un servizio di sincronizzazione per sistemi informatici collegati alla rete Internet mettendo a disposizione due servers NTP ad accesso libero con i seguenti indirizzi:
- ntp1.inrim.it (193.204.114.232)
- ntp2.inrim.it (193.204.114.233)
Configurazione
Per sistemi Linux, il servizio di sincronizzazione viene gestito dal daemon ntpd che ha la sua configurazione nel file /etc/ntpd.conf. Editando questo file vanno inseriti gli indirizzi dei servers di riferimento:
server ntp1.inrim.it # server primario
server ntp2.inrim.it # server primario
Nei sistemi Windows per impostare la sincronizzazione, bisogna operare a livello di registro editando la chiave NtpServer:
HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer
I parametri possono essere impostati come nomi DNS (in questo caso bisogna aggiungere ,0×1 alla fine di ogni nome DNS) o indirizzi IP.
Per configurazioni avanzate, Internet offre un’ampia documentazione alla quale fare riferimento.
- p@olo
Pubblicato in linux, windows | Contrassegnato da tag ntp, sincronizzazione, w32Time | Lascia un commento
Con il periodo nero dell’economia mondiale, le aziende stanno facendo un massiccio “cost saving” per arginare i bilanci sempre più critici. Purtroppo il settore IT è quello che più ne fa le spese con pesanti tagli sul budget di investimento informatico. Le nuove soluzioni da proporre al management per la gestione e implementazione dei sistemi IT sono per il momento da tenere nel cassetto in attesa di tempi migliori… che fare allora? E’ qui che sta anche la bravura dei sistemisti… trovare soluzioni funzionali risparmiando drasticamente sui costi.
Ed ecco che si riafferma, soprattutto per le PMI, una tecnologia per la gestione clients che, onestamente, ho sempre ritenuto efficace: WSUS. Tecnologia Microsoft, WSUS è una soluzione molto valida per la gestione dei sistemi di rete che permette di mantenere un parco macchine aggiornato limitando notevolmente i costi di implementazione e amministrazione poichè non prevede nessuna licenza di utilizzo.
Definire l’ambiente operativo
Naturalmente per avere questo servizio con determinati standard funzionali, WSUS deve essere opportunatamente configurato in modo da garantire la continuità del servizio (cluster) e prestazioni di rete adeguate (Network Load Balancing) per meglio distribuire il carico del server destinato a svolgere questo ruolo. Per evitare confusione è bene specificare che WSUS in modalità cluster non ha molto senso… è ben più utile per SQL ed Exchange invece.
Prima di procedere con l’installazione di WSUS, bisogna definire l’ambiente operativo per rispettare i termini di continuità e di prestazioni del servizio. Per fare in modo che il servizio sia fault tolerant e per evitare l’overload del server, il database di WSUS (SUSDB) viene “appoggiato” ad un server SQL configurato in modalità cluster mentre WSUS viene installato su un server in modalità NLB. Oggi giorno quasi tutte le aziende sono dotate di uno storage SAN dedicato ai sistemi “core” come Exchange e SQL. Quindi una valida soluzione può essere l’utilizzo di un LUN dedicato del SAN per rendere accessibili in remoto gli aggiornamenti di WSUS.
Requisiti per WSUS
WSUS richiede per la sua installazione i seguenti requisiti: Continua a leggere
Pubblicato in windows | Contrassegnato da tag cluster, iis, lun, nlb, san, sql, wsus | 2 Commenti »
Da qualche giorno uno dei server SBS 2003 notificava un alert inerente ad un uso eccessivo di memoria da parte di un qualche processo.
L’alert riportava il messaggio:
“A large amount of memory is committed to applications and processes. Consistently high memory usage can cause performance problems.
To determine which processes and applications are using the most memory, use Task Manager. Monitor the activity of these resources over a few days. If they continue to use a high level of memory and are less critical processes or services, try stopping and then restarting them.
You can disable this alert or change its threshold by using the Change Alert Notifications task in the Server Management Monitoring and Reporting taskpad.“
Analizzando il Task Manager, ho notato dei processi sqlservr.exe che hanno attirato la mia attenzione. Abilitando la visualizzazione del PID (non visibile da default), ho preso nota dei numeri associati a questi processi. Continua a leggere
Pubblicato in windows | Contrassegnato da tag allocation, memory, sbs, sql, windows | Lascia un commento
Una delle mille difficoltà che i sistemisti incontrano sempre più di frequente durante la fase di studio e sviluppo di nuove soluzioni, è l’implementazione dell’ambiente LAB per effettuare i test che si avvicini alla topologia di rete reale.
Simulare un ambiente Active Directory completo, ad esempio, con sistemi cluster, NLB, due o più Domain Controllers, alcuni FPS… richiede l’utilizzo di diversi sistemi. Ovviamente è impensabile comprare o reperire tutto l’hardware necessario perchè sarebbe, oltre che economicamente proibitivo, ingestibile all’interno di un ufficio o addirittura in casa. Fortunatamente la virtualizzazione ci viene incontro…
Grazie alla tecnologia della virtualizzazione (io utilizzo l’ormai consolidato software della VMware) è possibile “costruire” una rete con tutte le componenti richieste. E’ necessario però configurare il sistema di virtualizzazione in modo che possa sostenere il carico di lavoro fornendo prestazioni accettabili per l’ambiente LAB. Continua a leggere
Pubblicato in vmware | Contrassegnato da tag lab, test, virtualizzazione, vmware | Lascia un commento
Un ulteriore modo per rafforzare la sicurezza di un sistema Linux contro accessi non autorizzati è l’utilizzo della chiave pubblica (public key) durante la fase di login.
Vantaggi
- Elevato grado di sicurezza nel processo di autenticazione.
- Solo gli utenti con la chiave corretta possono autenticarsi nel sistema.
- Ogni chiave può essere protetta da password (ulteriore protezione). Continua a leggere
Pubblicato in linux | Contrassegnato da tag autenticazione, login, pki, privata, pubblica, ssh | Lascia un commento
Una volta implementato il servizio RMS, è fondamentale che tutte le componenti siano pienamente funzionanti onde limitare al minimo il rischio di failures del sistema e quindi di accesso ai documenti protetti.
CONFIGURAZIONE
Per un funzionamento ottimale di RMS, seguire alcune semplici regole può evitare dei forti mal di testa…
- Il servizio RMS non dovrebbe risiedere su domain controllers o Exchange servers onde evitare il workload dei sistemi con conseguenti rallentamenti dei servizi svolti. Continua a leggere
Pubblicato in windows | Contrassegnato da tag active directory, decommission, rms, scp, server, sql, unprovision | Lascia un commento
L’aspetto della sicurezza dei dati aziendali è ormai recepito come un fattore vitale per il business svolto anche dalle persone predisposte ad autorizzare “spese informatiche” che spesso non hanno un bagaglio tecnico adeguato alle spalle. La sicurezza di una rete non deve essere curata solo ed unicamente per le intrusioni dall’esterno, ma la protezione dei documenti da chiunque non sia autorizzato all’uso è un aspetto generale.
Nel mercato sono presenti diverse tecnologie per la protezione dei documenti più o meno efficienti, più o meno complesse e più o meno costose. Cosa adottare per l’azienda dipende principalmente dalle esigenze specifiche e anche dalle risorse tecnico/finanziarie disponibili.
Già sul mercato da qualche hanno, Microsoft ha introdotto una soluzione per rafforzare la sicurezza della rete mirata alla protezione dei documenti tramite il servizio Rights Management Service (RMS). RMS introdotto per la versione Windows Server 2003, è una tecnologia per la protezione dei documenti ed e-mails con applicazioni abilitate al servizio RMS per favorire la salvaguardia delle informazioni digitali da un uso non autorizzato.
In Windows Server 2008, RMS è già incluso ed è stato rinominato in Active Directory Rights Management Services per riflettere un più alto livello di integrazione con Active Directory.
Continua a leggere
Pubblicato in windows | Contrassegnato da tag active directory, ntfs, rms, server, sql | Lascia un commento
Se al vostro sistema Windows Vista viene applicato il Service Pack 1, lo spazio occupato dal sistema operativo si incrementa notevolmente. Questo perchè i files archiviati necessari per effettuarne la rimozione rimangono sul disco.
Se è stato applicato SP1 e NON si ha intenzione di disinstallare il SP1 in futuro, è possibile eliminare i files necessari alla sua rimozione tramite il Vista SP1 Removal Tool recuperando dello spazio prezioso.
Non è necessario scaricare questo tool perchè viene incluso durante l’installazione di SP1. Importante sottolineare che una volta effettuata la rimozione, non sarà più possibile disinstallare il SP1. Continua a leggere
Pubblicato in windows | Contrassegnato da tag disco, removal, sp1, spazio, tool, vista | 1 Commento »
La possibilità di connettersi ad una rete aziendale anche trovandosi al di fuori della sede è diventata una necessità quotidiana per lo svolgimento della propria attività lavorativa.
Tipici esempi dell’applicazione della tecnologia VPN possono essere le connessioni alla rete per recuperare o accedere ai dati, per eseguire dei lavori di manutenzioni in remoto o fornire il supporto per gli utenti.
Naturalmente l’accesso alla rete deve rispecchiare alcuni criteri di sicurezza per garantire l’integrità e la riservatezza dei dati durante la connessione.
Continua a leggere
Pubblicato in linux | Contrassegnato da tag gpl, ipsec, openvpn, pptp, remote, road warriors, site-to-site, vpn | 15 Commenti »
IPCop è un ottimo firewall open source basato su Linux Debian custom. La configurazione tipo è possibile reperila presso il sito ufficiale IPCop dove viene dettagliatamente documentata.
Ho trovato molto utili alcune modifiche ed informazioni per customizzare il sistema rendendolo più completo e sicuro.
ACCEDERE A IPCop VIA SSH
Per accedere al sistema via SSH (tramite l’utility Putty ad esempio) ricordarsi che IPCop non utilizza la porta standard 22 ma bisogna impostare la porta 222. Continua a leggere
Pubblicato in linux | Contrassegnato da tag firewall, ipcop, openvpn, proxy, sicurezza, ssh, su | Lascia un commento
Articoli precedenti »
