Stirling (Beta)..Note sulla installazione - Prima parte

Come molti di voi ho scaricato la versione Beta di Stirling, e come molti di voi ho utilizzato un ambiente virtualizzato per creare l'ambiente di test. Purtroppo l'installazione di Stirling non è andata a buon fine generando questo errore:

Error 26201. Error -2147467259: failed to create SQL database:
EnterpriseSecurity_Dac_DB, error detail: unknown error

Il problema è stato segnalato direttamente a Microsoft, vi tengo aggiornati con gli sviluppi. Non ho avuto modo di effettuare l'installazione di stirling su una macchina fisica per vedere se l'errore si presentava nuovamente; se qualcuno di voi ha gia' avuto modo di farlo puo' scrivere direttamente sul forum di ISAserver.it nell'apposita sezione dedicata a Stirling. Il test di installazione è stato fatto sia su VM create con ambiente Microsoft che con VMWare, sia su piattaforma Windows Server 2008 che su Windows Server 2003, sia x86 che x64.

Comunque a parte questo stop che mi auguro venga risolto presto vorrei descriversi la procedura che ho seguito per la creazione dell'ambiente per l'installazione di Stirlng. I requisiti Hardware (Raccomandati) prevendono un sistema Biprocessore con almeno 2GB di RAM. Io ho provveduto alla installazione dell'ambiente con una VM monoprocessore - Virtual Server non prevede la creazione di VM con 2 vCPU - ed 1.5GB di RAM.

La VM che ho creato diventerà un server membro del dominio Active directory - corp.isaserver.it -, in esecuzione su un altra VM. La beta non prevede l'installazione di Stirling come server Standalone.

Di seguito vi riporto la sequenza delle installazioni che sono state eseguite sulla VM per Stirling che chiamerò JMP-STR:

1. Sistema Operativo Windows Server 2003 SP2 (x86) in lingua inglese, impostazioni regionali in Italiano. Quest'ultimo punto - impostazioni regionali - è al momento in fase di chiarimento con il supporto Microsoft, se puo' essere direttamente o indirettamente collegato all'errore generato.
2. Aggiunti i componenti Windows: IIS, MSQM, ASP.NET
3. Installazione di .NET Framework 3.0
4. Installazione di PowerShell 1.0
5. Installazione di Windows Update Agent 3.0
6. Installazione di Microsoft Visual C++ 2005 Redistributable Package with Service Pack 1 (SP1)
7. SQL Server 2005 (componenti: Database, Reporting, Analysis, Integration, Workstation)
8. SQL Server 2005 SP2
9. Installazione di SCOM 2007 SP1

Le impostazioni che sono state adottate durante l'installazione dei vari componenti sono quelle di default. Nei casi in cui è stato richiesto l'inserimento di account ho sempre fatto riferimento all'account Local System, questo sia per SQL Server 2005 che per SCOM. Una volta completata l'installazione di tutti questi componenti ho provveduto a salvare permanentemente le modifiche sul disco virtuale.

Ho attivato sull'ambiente di virtualizzazione il disco delle modifiche così da permettermi di ritornare alle impostazioni inziali in caso di errori durante l'installazione - funzionalità molto utile, ve lo assicuro -.

Nota: Il processo di installazione di tutto l'ambiente necessario per l'installazione di Stirling ha richiesto qualche ora.

Una volta completata l'installazione di tutti i componenti ho lanciato l'installazione di Stirling - che torvate nella cartella \server\serversetup.exe -. Il processo di installazione vero e proprio inzia solo dopo aver verificato che il sistema soddisfi tutti i requisiti software. I requisiti software sono bloccanti, quindi se uno qualunque di questi non viene soddisfatto l'installazione non prosegue.

Nota: all'avvio della installazione viene richiesta lo username e la password di un account per accedere ai Report, inserite quella dell'amministratore di dominio, nel mio caso è CORP\Administrator con relativa password. L'obiettivo al momento è installare Stirling, quindi possiamo utilizzare questo account; in produzione non lo faremo MAI!

Se avete installato tutti i componenti che ho indicato non avrete problemi, a parte un Warning sulla quantità di memoria e sul numero di CPU, ma questo non è bloccante e vi fa procedere con l'installazione.

A questo punto passate alla schermata successiva che attiva il processo di installazione vero e proprio. L'installazione procederà con successo fino a raggiungere l'ultima voce...durante la creazione del DB di stirling, quando ha completato con successo il 99% dell'installazione.

A questo punto l'installazione si blocca generando l'errore che ho riportato in testa a questo post.

L'installazione è stata fatta con VM Microsoft - Virtual Server 2005, Virtual PC 2007 - che VMware - VMware Workstation - ma l'errore è il medesimo.

Se questo errore, durante l'installazione di Stirling, non vi viene generato allora scrivetemi via mail oppure direttamente sul forum.. Scrivetemi anche se installate Stirling su un server fisico, così da avere un feedback diretto.

La seconda parte di questo post seguirà quando avro' news da Microsoft...

Luca

Windows Vista + One Care: Il mistero delle connessioni VPN

Un problema che si verifica su postazioni Windows Vista con Microsoft One Care in esecuzione è l'impossibilità di creare connessioni VPN uscenti.

Il problema è stato evidenziato da NSW sul forum di ISAServer.it  In questo articolo vedremo cosa fare per poter creare su Windows Vista connessioni di rete funzionanti per creare una VPN Client/Server con il nostro ISA Server 2006.

Scenario:
Dominio Active Directory: corp.isaserver.it
JMP-DC:  Domain Controller, DNS Server
JMP-ISA:ISA Server 2006 Standard in configurazione Edge, VPN Server 
JMP-NB: Client non di dominio - Notebook - con Windows Vista Business e Microsoft One Care

JMP-ISA è configurato come server VPN per consentire l'accesso da remoto al dominio corp.isaserver.it. La configurazione di ISA Server come VPN Server è opertiva e funzionante così come l'accesso al rete interna da parte dei client VPN. La configurazione di ISA Server 2006 come server VPN sarà oggetto di un nuovo articolo.

PROBLEMA RISCONTRATO su JMP-NB:
Creando una connessione VPN tramite il Wizard di Windows Vista, quindi nessuna impostazione particolare ma la sola impostazione di default, si verifica il seguente errore quando tentiamo di connetterci al nostro server VPN - vpn.isaserver.it -:

 
Controllando il registro eventi di Windows Vista e non si ottengono altre informazioni, che permettano di capire l'origine del problema:

 
Allo stato attuale non riusciamo a connettere la nostra postazione Windows Vista alla rete interna di corp.isaserver.it.

MICROSOFT ONE CARE
Su JMP-NB è in esecuzione Microsoft One Care. Andiamo a verificare come si comporta One Care con le connessioni VPN. Lanciamo Microsoft One Care ed andiamo nella sezione Firewall e poi facciamo clic sul pulsante Impostazioni avanzate. 

 
Dopodichè selezioniamo la sezione Porte e protocolli e, scorrendo l'elenco delle porte e protocolli, vediamo che la voce Rete privata virtuale (IPSec o PPTP) non è abilitata. Con questa configurazione, quella di default, Microsoft One Care NON consente la creazione di connessioni VPN uscenti.
Per risolvere il "mistero" delle connessioni VPN abilitiamo la voce Rete privata virtuale (IPSec o PPTP) e facciamo clic su OK.

Chiudiamo le finestre di One Care facendo clic su OK. Adesso proviamo nuovamente a connetterci alla rete interna di corp.isaserver.it tramite il nostro server VPN.

CONNETTIAMOCI VIA VPN A CORP.ISASERVER.IT
Su JMP-NB lanciamo la connessione VPN a corp.isaserver.it e  vedremo andare a buon  fine la connessione...

 
...in più ci viene proposta la schermata di selezione, sempre da Microsoft One Care, del livello di protezione.


Connettiamoci alla rete aziendale selezionando Domestica o di lavoro. Adesso siamo connessi alla rete interna di corp.isaserver.it. Per scrupolo verifichiamo la connettività con il dominio corp.isaserver.it con qualche semplice test.

TEST DI CONNETTIVITA'
Facciamo due semplici test di connettività per verificare l'effettiva raggiungibilità dei server interni.
1° test: 
Ping sul domain controller JMP-DC.corp.isaserver.it
Esito: OK

 
2° test: 
Accesso allo share \\JMP-DC.corp.isaserver.it\SYSVOL sul domain controller.
Esito: OK

COSA REGISTRA ISA SERVER 2006
Se lanciamo la consolle di amministrazione di ISA Server 2006 vedremo che nella sezione Monitoring | Session | Session Type VPN Clients, sarà visualizzata la nostra connessione VPN.

 
Nella sezione Monitoring | Logging vedremo il tracciato record della connessione PPTP

Conclusione
In questo breve articolo abbiamo visto come consentire connessioni VPN uscenti da sistemi Microsoft Windows Vista che utilizzano Microsoft One Care come prodotto di protezione. Lascia effettivamente perplessi il fatto che non venga notificato, sia negli eventi di sistema sia negli eventi di One Care, il blocco della connessione VPN da parte di quest'ultimo. Non ho fatto una verifica con One Care su Windows XP, ma mi aspetto che il problema sia identico visto che la causa è One Care e non Windows. Come server VPN abbiamo utilizzato ISA Server 2006, ma poteva trattarsi di un qualunque altro server VPN Windows.

Per domande su One Care vi rimando ai newsgroup Microsoft, per ciò che riguarda invece ISA Server con domande, commenti o suggerimenti il luogo ideale è sempre il forum di ISAServer.it.
Buona lettura

Utilizzare i Certificati wildcard per pubblicare via SSL più siti Web

In questo articolo vedremo come utilizzare ISA Server 2006 per pubblicare via SSL più siti web interni con un solo web listener ed una sola web publishing rule.

ISA Server 2006 sarà configurato in maniera tale che la comunicazione su Internet sia protetta mediante l'uso di HTTPS, mentre la comunicazione in LAN con i server Web - in particolare fra ISA ed il server Web pubblicato - avvenga via HTTP.
I siti web a cui gli utenti Internet avranno accesso sono:

https://intranet.corp.isaserver.it ed anche https://www.corp.isaserver.it

Gli hostname www e intranet sono creati nella zona primaria corp.isaserver.it in hosting su un server DNS pubblico.

Scenario:
Dominio: corp.isaserver.it
JMP-DC:  Domain Controller, DNS Server
JMP-ISA:ISA Server 2006 Standard in configurazione Edge
JMP-MAIL: Web server

Sul JMP-MAIL sono in esecuzione i seguenti siti Web:

• intranet.corp.isaserver.it
• www.corp.isaserver.it

Nota: in questo articolo non vedremo la generazione del certificato digitale del tipo *.corp.isaserver.it e la sua installazione su ISA Server 2006. Sarà oggetto di un nuovo articolo.

Per raggiungere il nostro obiettivo dobbiamo per prima cosa creare un Web listener.

CREAIMO UN WEB LISTENER PER HTTPS
Lanciamo la consolle di amministrazione di ISA Server 2006 e facciamo clic sul nodo Firewall Policy. Dopodiché, nella sezione Toolbox selezioniamo Netwrok Objects e poi la cartella Web Listeners. Con il tasto destro del mouse selezioniamo New Web Listener.... Creiamo un Web listener con le seguenti caratteristiche:

Name: Secure Listener
Client connection: Secure (SSL/HTTPS)
Listen on: External
Client Authentication Method: No Authentication
SSO Enabled: No

 
Applichiamo le modifiche per salvare il Web listener che abbiamo appena creato.

 
Se non abbiamo commesso errori vedremo il nostro Secure Listener nell'elenco dei Web listeners.


Completata questa operazione possiamo passare alla pubblicazione dei siti web interni in hosting su JMP-MAIL.

PUBBLICHIAMO I SERVER WEB
Dalla Consolle di gestione di ISA Server 2006, lanciamo il wizard per la pubblicazione di un server web; nella  sezione dei Tasks selezionare Publish Web sites.

 
seguiamo le istruzione del wizard ed inseriamo i seguenti valori:

Name: Secure Web Sites Publishing
Action: Allow
Publishing Type: Publish a single Web site
Connect the published Web server using HTTPS: No
Site: jmp-mail.corp.isaserver.it
Public Name: All incoming names
Listener: Secure Listener
Accepted user sets: All users

Importante: Durante la creazione della regola Secure Web Sites Publishing , nella sezione Internal Publishing Details, è necessario selezionare la voce Forward the original host header instead of the actual one specified.... Di default questa voce non è selezionata.


In caso contrario verrà inviato al server web interno l'host header jmp-isa.corp.isaserver.it, impedendo così un corretto indirizzamento da parte di IIS al sito web corretto.

Salviamo la configurazione in ISA Server 2006 Standard Edition facendo clic su Apply.

A questo punto vedremo la nuova publishing rule nella Firewall Policy di ISA Server 2006.

 
La configurazione è completata. Verifichiamo che tutto funzioni correttamente collegandoci da un client Internet ai due siti Internet pubblicati.

ACCESSO DA INTERNET AL SITO WEB  intranet.corp.isaserver.it
Da un client Internet lanciamo il browser ed inseriamo nella barra degli indirizzi la URL: https://intranet.corp.isaserver.it. 

 
vediamo di seguito cosa ha registrato ISA Server 2006 nei log


Nota: In rosso è evidenziata la prima connessione fra il client Internet e ISA Server sulla porta 443, in blu la prima connessione fra ISA ed il server web interno sulla porta 80, in verde la connessione fra il client Internet ed il server web con ISA che fa da gateway con HTTS per la comunicazione su Internet e HTTP per la comunicazione con il server web interno.

ACCESSO DA INTERNET AL SITO WEB  www.corp.isaserver.it
Da un client Internet lanciamo il browser ed inseriamo nella barra degli indirizzi la URL: https://www.corp.isaserver.it. 

Anche in questo caso abbiamo avuto accesso dal nostro client Internet  al nostro server web interno, comunicando via HTTPS su Internet, ed utilizzando HTTP fra ISA ed il server Web.

Conclusioni:
Utilizzando un certificato digitale installato su ISA Server 2006 con FQDN  *.dominio Internet pubblico, possiamo pubblicare, utilizzando le indicazioni di questo articolo quanti siti web vogliamo, garantendo che l'accesso pubblico sia protetto via SSL. Tutti i siti web devono essere ospitati sullo stesso server web, in questo caso era jmp-isa. Il reindirizzamento verso il sito web corretto viene operato da IIS, non da ISA Server 2006, sfruttando le informazioni contenute nell'host header inserito dall'utente nel campo indirizzo del proprio browser.

Per domande, approfondimenti e commenti, il luogo ideale è il forum di ISAServer.it

Buon lavoro con ISAServer.it

Automatic Discovery con ISA Server 2006/2004

Una delle funzionalità più comode disponibili con ISA Server è la possibilità di configurare automaticamente sia i Web Proxy Client che i Firewall Client installati.

In questo post vedremo il funzionamento dell'automatic discovery mediante l'utilizzo del protocollo WPAD - Web Proxy Automatic Discovery Protocol -.

Sia il firewall client che il Web Proxy client - Internet Explorer 5 e versioni successive - supportano WPAD.

Il processo di configurazione  è abbastanza semplice, infatti il client deve:

1. localizzare ISA Server all'interno della rete
2. scaricare il file di configurazione da ISA Server

Il primo punto prevede:

• Configurazione del server DNS e/o DHCP
• Configurazione di ISA Server per la pubblicazione della configurazione

Scenario:
Dominio: corp.isaserver.it
JMP-DC:  Domain Controller, DNS Server
JMP-ISA:ISA Server 2006 Standard in configurazione Edge
JMP-MAIL: DHCP server

Configurazione del server DNS
Lanciamo la consolle di Amministrazione del server DNS utilizzato dai client. Andiamo in JMP-DC > Forward Lookup Zones > corp.isaserver.it.

Creiamo un nuovo alias wpad con le seguenti caratteristiche:
alias name: wpad
FQDN for target host: jmp-isa.corp.isaserver.it
 

Nella zona corp.isaserver.it vedremo il resource record wpad.corp.isaserver.it.

 
Utilizzeremo la configurazione del DNS quando non utilizziamo il server DHCP per distribuzione della configurazione.

Osservazione: Configurare sia DNS che DHCP non è un problema, l'importante è ricordarsi che sono stati configurati entrambi. La differenza fra le due modalità risiede principalmente nel fatto che, di default, il client DHCP scarica la configurazione dalla porta 8080 di ISA Server, mentre il client NON DHCP scaricano la configurazione dalla porta 80 di ISA Server.

La configurazione del server DNS è finita!

Configurazione del server DHCP
Lanciamo la consolle di configurazione del server DHCP.
Con il tasto destro del mouse facciamo clic sul server jmp-mail.corp.isaserver.it e facciamo clic sulla voce Set Predefined Options...

Dopodiché facciamo clic sul pulsante Add ed inseriamo i seguenti valori:
Name: wpad
Data Type: String
Code: 252
Description: ISA Server WPAD

facciamo clic su OK ed inseriamo nel campo:
value: http://jmp-isa.corp.isaserver.it:8080/wpad.dat



Facciamo clic su OK ed il gioco è fatto!

Adesso rendiamo attiva la nuova opzione. Sempre dalla consolle di amministrazione del DHCP facciamo clic con il tasto destro del mouse sulla cartella Server Options e selezioniamo Configure Options.... Fra le opzioni disponibili selezioniamo la 252 WPAD e facciamo clic su OK.

 

Sarà visibile la nuova opzione nella consolle di amministrazione del server DHCP

 
Il nostro server DHCP è configurato e pronto per svolgere al meglio il proprio lavoro. Adesso tutti i client DHCP sono in grado di rilevare automaticamente ISA Server...

Il lavoro ancora non è finito, dobbiamo configurare ISA Server...niente di più facile!!

Configuriamo ISA Server 2006
Lanciamo la consolle di Amministrazione di ISA Server, andiamo nella sezione Configuration > Networks. 
Facciamo clic con il tasto destro del mouse sull'oggetto network che pubblicherà le informazioni di configurazione e ne visualizziamo le proprietà - basta un doppio clic sull'oggetto -. In questo caso l'oggetto Internal.
Selezioniamo la sezione Automatic Discovery e selezioniamo la voce Publish Automatic discovery information for this network.


Facciamo clic su OK e salviamo le modifiche nella configurazione di ISA Server ed il gioco è fatto!!

Il lavoro è praticamente finito, basterà verificare che i Web Proxy Client ed i Firewall Client siano configurati per rilevare automaticamente la configurazione.

Configurazione di Internet Explorer:



Configurazione del Firewall Client:

 
Il lavoro è completato!!

Domande e Commenti sul forum di ISAServer.it

Buon lavoro!