TechNet New Wave Tour Q&A: Windows Server 2008 e WSV
Eccomi con un altra serie di risposte alle domande che ci avete lasciato, come compito a casa, al TechNet New Wave Tour.
Questa volta ci occupiamo di Windows Server 2008 e di Windows Server Virtualization.
Dove posso trovare maggiori informazioni su come convertire macchine virtuali VMWare in macchine virtuali Microsoft?
La conversione di macchine virtuali VMWare in macchine virtuali Virtual Server 2005/Windows Server Virtualization può essere fatta usando una cmdlet per PowerShell resa disponibile da System Center Virtual Machine Manager.
La sintassi per la conversione è la seguente:
$c = get-vmmserver [VMM_SERVER]
$vmhost = get-vmhost -computername [HOST_SERVER]
new-v2v –vmmserver $c -vmhost $vmhost -path [PATH_ON_HOST] -vmxpath [PATH_TO_VMX_FILE] -Name [NEW_VM_NAME]
System Center Virtual Machine Manager è attualmente in versione Beta 2 ed è scaricabile da Connect come eseguibile di installazione o già installato sotto forma di hard disk virtuale (.VHD)
Con Windows Server Virtualization in Windows Server 2008 sarà possibile costruire cluster di macchine virtuali in esecuzione su host diversi o sullo stesso host?
Con Windows Server Virtualization sarà possibile costruire cluster di failover con macchine virtuali in esecuzione sullo stesso host o su host diversi
Windows Server Virtualization supporterà Oracle Rack?
Siamo ancora in una fase di sviluppo troppo precoce per poter dire cosa sarà supportato su Windows Server Virtualization e quali prodotti lo supporteranno
In un ambiente basato su Windows Server 2003 come posso integrare Windows Server 2008 (aka "Longhorn")? Devo fare l'upgrade dello schema di Active Directory?
Se si inserisce Windows Server 2008 come member server in una infrastruttura Active Directory basata su Windows Server 2003 non è necessario apportare alcuna modifica allo schema. Se Windows Server 2008 viene inserito come domain controller e si desidera utilizzare alcune delle funzioni nuove (per esempio la possibilità dei Read Only Domain Controller) sarà necessario modificare lo schema di Active Direcotry
Posso integrare Windows Server 2008 con macchine Linux/Unix come facevo con Windows Server 2003 e i Service for Unix?
Già con il rilascio di Windows Server 2003 R2 i Service for UNIX non sono più necessari in quanto le loro funzionalità sono state introdotte direttamente nel sistema operativo. Le stesse funzionalità di integrazione sono disponibili anche in Windows Server 2008 con una maggiore facilità di configurazione e gestione
In Windows Server 2008, i tempi di replica delle Group Policy tra un Domain Controller "writable" e un Read Only Domain Controller (RODC) sono gli stessi che si hanno attualmente con i domain controller Windows Server 2003?
Le repliche di Active Directory funzionano in Windows Server 2008 sostanzialmente come in Windows Server 2003. Nel caso particolare dei RODC, essendo pensati per il deployment in sedi remote, si possono sfruttare le "Repliche schedulate" per definire esattamente come la replica possa avvenire, restando fissi i valori di granularità dei tempi di replica
E' possibile trasformare un Read Only Domain Controller in un "writable" Domain Controller e viceversa?
Ad oggi questo passaggi sono possibili solo disinstallando e reinstallando il ruolo di Active Directory
Usando Network Access Protection non si introduce il rischio di bloccare la rete se qualche componente non funziona correttamente? Non si introducono costi aggiuntivi per ridondare i componenti ed evitare blocchi?
Se l'infrastruttura NAP è ben progettata e ben implementata le possibilità di "blocco della rete" sono veramente remote. Un buon progetto deve ovviamente prevedere anche un piano di ripristino delle funzionalità di rete in caso di problemi. Per quanto riguarda i costi, NAP consente di essere implementato in diverse modalità (es. DHCP vs IPSec) che si adattano alle diverse necessità di controllo della configurazione e dei costi delle diverse aziende
Come si comporta Network Access Protection in ambienti misti con client e server non Microsoft?
Al momento non è previsto il rilascio da parte di Microsoft di client NAP per sistemi operativi non-Microsoft (o almeno a me non è noto alcun piano del genere). Non è impossibile pensare che qualche partner di Microsoft possa rilasciare client NAP per sistemi operativi non-Microsoft
In Windows Server 2008 le Organizational Unit saranno Security Principal?
No, le Organizational Unit sono dei container che hanno lo scopo di raggruppare oggetti con caratteristiche simili da un punto di vista della loro natura, necessità amministrative, posizione nell'organizzazzione, ecc.
Come evitare il footprint di un sistema remoto che espone il servizio WinRM da parte di un client esterno alla rete?
Il servizio WinRM può essere protetto come qualsiasi altro servizio in ascolto usando per esempio Windows Firewall
Escludendo l'uso di smartcard, ci sono altri strumenti per avere la certezza che l'utente che fa logon alla rete sia proprio chi dice di essere?
E' possibile usare strumenti biometrici (lettori di impronte digitali, scanner della retina, ecc.)
Task Scheduler obbliga l'impostazione di utente e password per l'esecuzione dei task. Se le policy di sicurezza prevedono una scadenza periodica delle password ci si trova nella necessità di modificare manualmente le impostazioni dei diversi task anche se usano lo stesso account utente. E' possibile modificare con una sola operazione tutti i task che usano lo stesso account su un dato server?
In Windows Vista e in Windows Server 2008, Task Scheduler è stato profondamente modificato per renderlo uno strumento più flessibile e nello stesso tempo sicuro.
Per quanto riguarda la gestione delle credenziali necessarie ad eseguire i diversi task programmati riporto direttamente quanto scritto nel Windows Vista TechCenter:
Security. In the Windows Vista Task Scheduler, security is vastly improved. Task Scheduler supports a security isolation model in which each set of tasks running in a specific security context starts in a separate session. Tasks executed for different users are launched in separate window sessions, in complete isolation from one other and from tasks running in the machine (system) context. Passwords are stored (when needed) in the Credentials Manager (CredMan) service using encryption interfaces. Using CredMan prevents malware from retrieving the stored password, tightening security further.
In Windows Vista, the burden of credentials management in Task Scheduler has lessened. Credentials are no longer stored locally for the majority of scenarios, so tasks do not "break" when a password changes. Administrators can configure security services such as Service for Users (S4U) and CredMan, depending on whether the task requires remote or local resources. S4U relieves the need to store passwords locally on the computer, and CredMan, though it requires that passwords be updated once per computer, automatically updates scheduled tasks configured to run for the specific user with the new password.
E' possibile leggere tutto l'articolo relativo al Task Scheduler a questo link:
http://technet.microsoft.com/en-us/windowsvista/aa905074.aspx
Come proporre alle piccole realtà aziendali (1/2 server e una decina di client) le nuove tecnologie proposte durante il TechNet New Wave Tour?
Le nuove tecnologie presenti in Windows Server 2008 si adattano all'utilizzo in realtà aziendali di dimensioni diverse. Poco tempo dopo l'uscita di Windows Server 2008, Microsoft lancerà sul mercato due suite di prodotti dedicate alle piccole (Coguar: Small Business Server 2008) e medie aziende (Centro) in modo da facilitare l'adozione delle nuove tecnologie anche in queste realtà.
Giorgio