In un dominio Active Directory gli hash delle password degli utenti sono registrati nel file NTDS.dit presente in ogni Domain Controller (DC), il cui path di default è C:\Windows\NTDS\NTDS.dit
Esistono varimodi per fare una copia degli hash, ma tutti quelli normalmente elencati partono dal presupposto che si abbia accesso di un certo tipo ad un Domain Controller.
Molte linee guida raccomandano di monitorare e regolare bene l’accesso ai DC, ma si dimenticano di un dettaglio.
Microsoft ha annunciato che da inizio 2025 inizierà a forzare il passaggio da Outlook Desktop a New Outlook.
New Outlook non è altro che un brutto wrapper di Outlook Web Access, più limitato nelle funzionalità di Outlook Desktop, specialmente se si possiedono più account.
Capita spesso di voler creare dei nomi della LAN interna con il FQDN di un nome a dominio pubblico o di voler sovrascrivere alcuni host con IP pubblico con gli stessi nomi, ma con IP interno.
La soluzione più comune è creare una zona con lo stesso nome della zona esterna con gli stessi contenuti, a meno di quelli che devono essere differenti.
Questo post scaturisce da una conversazione che ho avuto pochi giorni fa con un elettricista a proposito di come debba essere inserito un UPS in un impianto elettrico un e della utilità dei relativi accessori. Mi sono reso conto di una ignoranza generalizzata di come funzioni un UPS e di quali siano i suoi punti di forza e di debolezza: di conseguenza ho deciso di riassumere qui una serie di argomenti che ho usato per convincere il fornitore che il modo di fare che proponevo io fosse il migliore.
Come prima cosa ci sarebbe da ribadire il concetto per cui, invece di essere il fornitore sedicente esperto nel campo, a suggerire al cliente (povero ignorante) le soluzioni migliori, per l’ennesima volta sono stato io a dovermi documentare, a dover trovare la soluzione giusta e anche a dover convincere l’altra persona della bontà delle mie conclusioni. Non ne usciremo mai.
Premetto che quanto racconto qui di seguito si applica in prima battuta a una server room, ma i concetti che stanno dietro alla spiegazione sono idealmente applicabili a impianti di ogni genere, al limite anche a quello di un datacentre.
Premesse
UPS è l’acronimo della frase inglese “Uninterruptible Power Supply” termine che in italiano è normalmente tradotto come “gruppo di continuità“. Nonostante esistano molti tipi di questi apparecchi, basati su varie tecnologie, nella sua forma più basica è sostanzialmente una batteria che viene installata tra la fornitura di corrente e gli apparati da alimentare.
Il suo scopo è quello di smorzare eventuali fluttuazioni di corrente che potrebbero rivelarsi dannose e di erogare energia anche in caso di blackout. A seconda dei casi, la quantità di energia immagazzinata è progettata per durare i minuti necessari al graceful shutdown delle apparecchiature collegata, oppure per permettere loro di funzionare anche per periodi di tempo lunghi senza corrente esterna. Le apparecchiature discusse sopra sono spesso quelle definite business-critical, ovvero che sono fondamentali per il funzionamento di una qualsivoglia organizzazione. All’atto pratico, sono spesso server e dispositivi di rete.
A questo punto è chiaro quindi che un UPS è un apparecchio importante, anzi fondamentale, nella progettazione di una infrastruttura IT, ma molti pensano che sia il classico silver bullet: lo compro, lo installo, me lo dimentico e tutto andrà bene. Anche no, questo funziona solo nei film: un UPS non fa primavera!
Reality check
Per prima cosa bisogna rendersi conto di due fondamentali verità:
Lo UPS prima o poi si guasterà
lo UPS deve essere manutenuto e, dopo qualche anno, andrà sostituito
Una volta fatto pace con queste due ineluttabilità, si può iniziare a ragionare su cosa serva intorno allo UPS per renderlo davvero efficace.
Dopo aver installato il vostro UPS ed essere andati a letto tranquilli, una telefonata vi sveglia dicendo che nella vostra infrastruttura IT non funziona nulla. Cosa sarà successo? Strano sembra che non ci sia elettricità da nessuna parte. Seguendo i cavi e controllando gli apparati, si scopre che l’UPS è guasto! Ebbene, sì, succede. Ve lo hanno venduto come un apparato indistruttibile e invece è proprio lui a tradirvi. Tuttavia avete collegato tutti i vostri apparati alle uscite del UPS pensando di essere protetti e dovrete quindi ricablare tutto, riparare lo UPS e poi ricablare tutto di nuovo. Forse esiste una soluzione migliore?
Certo che sì. Avrete notato che i vostri preziosi e costosi apparati di rete, così come i server e i NAS sono dotati di due (a volte anche quattro) prese elettriche. Invece di collegarle entrambe allo UPS, provate a collegarne una all’UPS e l’altra alla rete elettrica diretta: in caso di assenza di corrente da una delle due sorgenti, l’altra fonte continuerà a fornire energia, tenendo accesi i vostri apparecchi.
Regola numero 1: in ogni rack ricordate di portare due alimentazioni, una dalla rete elettrica, l’altra dall’UPS.
Sento già le proteste dal pubblico: molti apparati professionali hanno le due (quattro, sei, quello che volete) prese elettriche, ma molti non lo hanno! Classico è l’esempio del vostro Internet Service Provider che vi fa pagare un prezzo ragionevole per la vostra bella connessione a internet, ma che poi vi porta il router di fascia media con una presa elettrica e stop. Certo, è possibile avere il router della [inserite marca costosissima a piacere] con doppia alimentazione, ma vi costa millemila euro al mese in più.
Grazie, no. Quei mille euro li investo veramente, ma non in un router che dite voi, bensì in una cosa molto più utile: uno Automatic Transfer Switch. Un ATS è un apparecchio intelligente che ha due alimentazioni e una o più uscite. Avrete forse intuito che le due alimentazioni vanno collegate, una alla rete elettrica pubblica e l’altra allo UPS. Alle uscite del ATS si collegano i vari apparati dotati di singola presa elettrica e il commutatore si occupa automaticamente di passare da un’alimentazione all’altra quando una viene a mancare. Una serie di condensatori fanno si che l’alimentazione non fluttui nelle frazioni di secondo necessarie per commutare.
Regola numero 2: investite in un ATS e usatelo per alimentare gli apparati low end, dotati di singola presa elettrica.
Quindi dobbiamo alimentare lo UPS, alimentare gli apparati con doppia sorgente elettrica e alimentare lo ATS. Siamo a posto, finito?
Non esattamente, manca in effetti un tassello, forse meno importante, ma comunque da considerare. L’ultimo componente da considerare è il cosiddetto maintenance bypass, un apparecchio che consente di “aggirare” lo UPS per permetterne la manutenzione o addirittura lo smantellamento.
Ricordiamo che lo UPS è un apparecchio elettrico che, non solo è alimentato spesso a corrente trifase, ma che contiene anche una discreta quantità di energia (normalmente chimica) e quindi va trattato con attenzione. Alcune azione manutentive richiedono lo spegnimento, inoltre l’apparecchio ovviamente si può guastare in maniera catastrofica o semplicemente raggiungere la fine della sua vita operativa, necessitando smontaggio completo.
Il bypass ha la funzione di prelevare la corrente dalla rete, trasmetterla al UPS, dopodiché prenderne l’uscita “protetta” e distribuirla al carico. Il lettore avrà già capito che, agendo sugli opportuni comandi, il bypass permette di scegliere se “tagliare fuori” lo UPS dal circuito elettrico distribuendo la corrente di rete a tutti gli apparati a valle. Effettuata questa operazione, lo UPS può essere testato, riparato o eventualmente sostituito senza disturbare il carico.
Di nuovo sento una protesta: se i miei apparati hanno già doppia alimentazione oppure alimentazione tramite ATS, cosa mi serve avere un bypass che, in caso di guasto al UPS, non fa altro che distribuire due volte la corrente di rete? Fondamentalmente corretto, ma non considera la Legge di Murphy: nel momento in cui una delle due alimentazioni non è disponibile l’altro alimentatore potrebbe avere un guasto, mandando quindi a gambe all’aria la ridondanza.
Regola numero 3: investite in un maintenance bypass e fate in modo che si possa isolare lo UPS in qualsiasi momento.
Pessimismo?
Pensate che sia pessimista? Permettetemi un aneddoto. Dopo 10 anni di onorato servizio, causa mancanza di parti di ricambio e impossibilità a prolungare il contratto di assistenza, ho dovuto programmare la sostituzione di un UPS. Grazie a tutto quanto scritto sopra, è stato facile isolare l’apparecchio in una normale giornata lavorativa senza interrompere l’operatività.
Tutto bene e tutti contenti, ma cosa capita a metà del lavoro? Si verifica un black-out e, essendo lo UPS ovviamente smontato e fuori linea, si spegne tutto. Avrei dovuto avere due UPS in modo da fare manutenzione alternata, ma che probabilità c’era che succedesse una cosa del genere? Piccolissima, eppure è successo.
Anything that can go wrong, will go wrong
Conclusioni
Riassumendo, quando si progetta un impianto elettrico per centri dati (di ogni dimensione) è opportuno ricordare:
Una alimentazione dalla rete per apparecchi con ingressi ridondanti
una alimentazione per un apparecchio ATS
una alimentazione per un maintenance switch (che poi la erogherà al UPS)
Bisognerà poi distribuire:
L’alimentazione del ATS agli apparecchi con una sola presa
l’alimentazione del maintenance bypass (che la prende dalla rete o dal UPS) agli apparati con due prese
la stessa alimentazione di cui sopra all’ingresso del ATS
Spero di avervi convinto che, anche in questo caso, esiste un modo giusto è un modo sbagliato per progettare una soluzione di alimentazioni ridondante. Quella giusta sembra più cara e più complicata. Alla lunga si rivelerà quella più flessibile.
Un collega mi segnala questa perla che potrebbe essere lo zero Kelvin di come si scrive una guida per configurare i record del DNS per utilizzare il loro servizio.
Si tratta di una guida su come modificare il record SPF, ma le parti che ci si aspetterebbe che fossero copiabili come testo sono tutte immagini.
Può capitare di dover spegnere o riavviare rapidamente un host remoto, ben sapendo che il sistema sarà spento in modo anomalo con un’azione paragonabile a staccare il cavo di alimentazione.
Qui di seguito viene descritto come fare per un sistema Windows e Linux.
Il 2022 non è iniziato bene per chi gestisce Exchange Server 2016 o 2019 onprem.
Senza un intervento risolutivo manuale dal primo gennaio del 2022 i server di Exchange 2016 o 2019 smettono di recapitare i messaggi a causa di un problema del Microsoft Filtering Management Service.
Il registry di Windows, introdotto nella versione 3.1, è un database gerarchico che ha (in parte) sostituito ed espanso i file .INI per la configurazione del sistema operativo e degli applicativi. I programmi di Windows possono scegliere se usare o no il registry, non è detto che tutti lo facciano.
Il programma più utilizzato per analizzare e modificare il registry è RegEdit di Microsoft, fornito assieme a Windows, ma ha delle limitazioni.
Non è più una novità che RedHat abbia deciso di fatto di trasformare CentOS in una sorta di Fedora, ovvero una distribuzione in cui vengono testati i pacchetti prima di passarli in produzione.
Gregory Kurtzer, fondatore del progetto CentOS, ha deciso quindi di rifondare un progetto analogo con alcune modifiche derivate dalle lezioni imparate dagli errori commessi con CentOS.
Windows Terminal è una versione modernizzata dell’interfaccia a riga di comando di Windows. Come spesso accade, Microsoft è arrivata buona ultima nella inclusione di un terminale moderno e versatile per il suo sistema operativo, ma le si deve dare atto di averci messo impegno. Lo ha fatto con un progetto open-source, il che è già un buon inizio, e con un buon coinvolgimento della comunità. Il repository del progetto sitrova su GitHub mentre il blog per tenersi aggiornati sulle novità è nella area DevBlog .
In questo articolo vorrei condividere alcuni piccoli dettagli che possono aiutare a rendere produttivo il lavoro con questo strumento, dettagli da aggiungersi a questo utile post.
La configurazione del terminale si esegue tramite l’apposito file JSON accessibile dal menu con la freccia in basso. Si può ovviamente usare qualsiasi editor di testo per modificarlo, anche se è preferibile usarne uno con la sintassi evidenziata per semplificare la digitazione. Il file non si adegua esattamente allo standard JSON in quanto quest’ultimo non prevede i commenti, mentre il file di configurazione di WT, invece, li include usando //: questo genera alcuni errori in un editor che verifica la sintassi JSON. L’utente deve ricordarsi di ingorarli.
// To view the default settings, hold "alt" while clicking on the "Settings" button.
// For documentation on these settings, see: https://aka.ms/terminal-documentation
{
"$schema": "https://aka.ms/terminal-profiles-schema",
"defaultProfile": "{GUID}",
"profiles":
{
"defaults":
{
// Put settings here that you want to apply to all profiles
},
"list": [
Il codice qui sopra è la prima parte della configurazione standard. All’interno dell’array “list” vengono elencati le voci di ognuna delle finestre che possono essere aperte in WT.
Per aggiungere una nuova voce, prima di tutto bisogna assegnarle un identificatore univoco nella forma di un GUID. Ci sono vari modi per generarne uno: tramite una semplice ricerca si possono trovare diversi siti internet, inoltre si può generare tramite PowerShell con il comando
[guid]::NewGuid()
In sistemi LInux si può usare la utility uuidgen che fa parte del pacchetto uuid-runtime. Una volta ottenuto l’identificativo, si può procedere a creare le proprie sezioni personalizzate.
Una cosa che io trovo molto comoda è la possibilità di avviare il “vecchio” interprete dei comandi, però con la opzione di auto completamento dei nomi di file e directory. Ho aggiunto quindi una sezione così
{
// Make changes here to the cmd.exe profile
"guid": "{GUID}",
"name": "cmd /f:on",
"commandline": "cmd.exe /f:on",
"hidden": false
},
Per qualche ragione il normale comando che si può digitare in “Run” di Windows non funziona ed è necessario aggiungere l’estensione .exe
Un altro uso interessante è quello di lanciare lo stesso interprete, però con privilegi elevati:
{
// Make changes here to the cmd.exe profile
"guid": "{GUID}",
"name": "cmd runas admin",
"commandline": "runas /user:administrator \u0022cmd.exe /f:on\u0022",
"hidden": false
},
In questo caso è importante notare che il segno degli apici deve essere sostituito dal suo codice per essere incluso nel valore del parametro.
Windows 10 include anche un client per SSH, di conseguenza una interessante possibilità è includere un terminale verso un server remoto Linux, per esempio, direttamente in WT
{
// SSH local linux machine
"guid": "{GUID}",
"name": "SSH server Linux",
"icon": "https://www8.hp.com/it/it/images/i/hpi/header-footer/caas-hf-v3.2/hpi-favicon.ico",
"commandline": "ssh user@server",
"hidden": false
},
In questo esempio vediamo un’altra interessante personalizzazione ovvero l’uso di una icona non necessariamente in un file locale. Per identificare visivamente questo server, ho usato l’icona del produttore: per evitare di salvare immagini localmente e mantenerle in caso di cambio di macchina, è possibile referenziare icone direttamente da internet.
WT è sicuramente un prodotto ancora acerbo è ha ampio spazio di crescita, tuttavia si tratta di uno strumento versatile per l’utilizzatore di Windows che permette di mantenere ordinate connessioni eterogenee all’interno dello stesso tool.
In un ambiente virtuale capita ogni tanto di dover espandere il file system di un host. Con le versioni recenti di Windows Server l’operazione è quasi banale, con Linux molte guide che spesso compaiono per prime nei motori di ricerca suggeriscono sistemi molto macchinosi che passano dal boot della VM con l’ISO della distribuzione.
Di seguito viene descritto come ampliare una partizione di una VM CentOS 8 installata con i deafult.