OS X Server – Roaming Profile bloccati

Come sicuramente saprete sulle (poche) installazioni di reti con OSX Server “Open Directory Master” è possibile gestire i profili utente anche in modalità Roaming ovvero tutti i dati delle sessioni come Scrivania, Documenti, Download e alcune librerie risiedono in realtà sul server stesso e non sul client, eccezion fatta per i software installati (ecco la principale differenza con un Thin Client). Il principale vantaggio di questa struttura è il backup centralizzato di tutti i profili utente tramite il semplice ma efficace Time Machine configurato sul solo Server, quindi con un unico backup si ottiene una protezione globale di client e server. L’approfondimento su questa infrastruttura di rete esula dallo scopo di questa KB che vuole più che altro evidenziare e descrivere un problema frequente che si può riscontrare, ovvero il blocco delle sessioni utente. La principale causa può essere lo spegnimento del client Mac o del server stesso che impediscono... Leggi tutto →

Monitoraggio vSphere Replication

In ESX 5 VMware ha introdotto la possibilità di replicare le VM tra due storage impostando un tempo massimo di scostamento tra la replica e l’originale (RPO). Per maggiori informazioni consiglio di fare riferimento al sito di VMWare: http://www.vmware.com/products/vsphere/features/replication.html. La cosa che ci interessa di più però è, una volta impostato, capire se stia funzionando correttamente e se  quando e quanto spesso venga violato l’RPO (Recovery Point Objective). Purtroppo vCenter non fornisce queste informazioni in modo semplice o diretto. La console di monitoraggio è disponibile solo tramite client Web e permette di vedere lo stato attuale ma non lo storico. Si possono impostare degli allarmi per avere un feedback immediato (solo da client Web) ma non c’è modo ad esempio di sapere rapidamente quante volte una VM sia finita fuori RPO nell’ultimo mese. Fortunatamente può venirci in aiuto la PowerCLI e uno script powershell ad-hoc che premette di estrarre i... Leggi tutto →

Citrix Receiver, Presentation Server 4, refresh lento

A seguito di alcune ottimizzazioni grafiche il Citrix Receiver si comporta in modo nettamente diverso dal vecchio Client ICA. Può succedere quindi che client nuovi abbiano difficoltà nella connessione a farm con server precedenti alla creazione del receiver. Uno dei problemi più evidenti è la lentezza di refresh o l’apparente blocco delle applicazioni quando ci si connette ad una farm 4.0. Il problema in questione è dato dal fatto che il receiver per default ha abilitato il deferred update. Per disabilitarlo basta creare una chiave di registro sul client. Per i 64 bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Virtual Channels\Seamless Windows] “DeferredUpdateMode”=”False” Link diretto al file reg: DeferredUpdateMode_x64 Per i 32 bit [HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Virtual Channels\Seamless Windows] “DeferredUpdateMode”=”False” Link diretto al file reg: DeferredUpdateMode Per l’elenco delle ottimizzazioni grafiche di Citrix fate riferimento a “Frequently Overlooked Settings to Improve Graphics Performance for XenApp, XenDesktop, Receiver Technologies”    

Exchange: Conferme lettura su POP3/IMAP

Exchange dalla versione 2007 in poi genera una conferma di lettura ogni volta che un messaggio con richiesta di conferma di lettura viene scaricato da un client, indipendentemente da come poi la richiesta venga gestita dal client stesso. Questo significa che un ipotetico messaggio con conferma può causare l’invio di più ricevute. Per evitare che questo accada basta impostare il servizio POP3 per non generare conferme di lettura, lasciando quindi al client l’onere di inviarle o meno: set-PopSettings -SuppressReadReceipt $true Riavviare il servizio POP3 per rendere effettive le modifiche. Per il servizio IMAP: set-ImapSettings -SuppressReadReceipt $true Riavviare il servizio IMAP per rendere effettive le modifiche. Per riferimento: Duplicate read receipts are sent when you use a POP3 client or an IMAP4 client in an Exchange Server 2007 environment

WSUS DB fuori misura

A volte capita che il database del WSUS cresca ad una dimensione decisamente esagerata. Ad esempio in SBS 2011 dove per default è impostato il download di tutti i prodotti Microsoft può arrivare tranquillamente a 15Gb. L’elevata dimensione oltre a sprecare prezioso spazio disco sulla partizione C: causa anche un notevole calo di performance del servizio update. Verifica presenza del problema Per verificare lo stato del database conviene partire da un controllo della cartella C:\WSUS\SUSDB\UpdateServicesDbFiles. Se il file mdf è superiore ai 5Gb conviene approfondire. Il secondo passo è installare il SQL Server Management Studio Express e accedere al database del WSUS. Per accedere usare come nome server \\.\pipe\MSSQL$MICROSOFT##SSEE\sql\query e autenticazione integrata. Una volta fatto l’accesso espandere il nodo Databases e selezionare il SUSDB, poi tasto destro e proprietà. Se il SQL Manager dà un errore di mancata ownership sul database bisogna eseguire questo semplice script: use susdb EXEC sp_changedbowner... Leggi tutto →

Rinnovo Certificati SBS con CA locale

Questa è la procedura per rinnovare il certificato su Small Business Server 2008 e 2011, quindi Exchange 2007 e Exchange 2010. Da Shell Exchange: New-ExchangeCertificate -generaterequest -subjectname “cn=FQDN esterno dell’SBS (di solito remote.dominio.esterno o exchange.dominio.esterno”) -domainname FQDN esterno dell’SBS,hostname dell’SBS,FQDN locale,Hostname esterno,autodiscover.dominio.esterno,autodiscover.dominio.locale,localhost -path c:\certrequest.req Da CMD: Certreq.exe –submit –attrib “CertificateTemplate:webserver” c:\certrequest.req c:\Exchange.cer Da Shell Exchange: Import-ExchangeCertificate c:\Exchange.cer Ora aprite la Console SBS, tra le varie voci c’è “Installa un certificato attendibile”, cliccatela, dite che il certificato lo avete già e nell’elenco dei certificati disponibili sul server selezionate quello appena creato (di solito quello con la data di scadenza più lontana). Per SBS 2011 e quindi Exchange 2010 nella console di Exchange selezionando il server SBS c’è un comando a destra per la generazione del certificato che permette di saltare i comandi nella shell di Exchange. Selezionando le voci richieste (autodiscover, OWA, ActiveSync) fate la generazione del CSR. Consiglio di impostare... Leggi tutto →

Refresh Quota utenti in Exchange

Il cambio delle impostazioni della quota sui DB di Exchange o sui singoli utente vengono recepiti molto lentamente dal server e questo a volta causa problemi. Questo avviene perché il server lavora con una sua cache per evitare di interrogare Active Directory troppo frequentemente. Di default questa cache è di 2 ore. Per far leggere i nuovi valori immediatamente l’unica soluzione è riavviare l’Archivio Informazioni. Per evitare però di ritrovarsi nelle stessa situazione al cambiamento successivo basta seguire queste istruzioni: Mailbox Size Limits Are Not Enforced in a Reasonable Period of Time.  

Bloccare l’email spoofing in Exchange

Uno dei problemi più classici nell’apertura diretta di un server Exchange ad internet per quanto riguarda la ricezione della posta è l’email spoofing ovvero la ricezione di mail contenenti spam da internet che dichiarano di provenire da uno dei domini autoritativi del server. Queste mail ricevute senza autenticazione vengono normalmente lasciate passare perché sono destinate ad un indirizzo locale valido. Per disabilitare questo comportamento basta eseguire dalla shell di Exchange: Get-ReceiveConnector “Nome del connettore esterno” | Get-ADPermission -user “NT AUTHORITY\Anonymous Logon” | where {$_.ExtendedRights -like “ms-exch-smtp-accept-authoritative-domain-sender”} | Remove-ADPermission NOTA: Nel caso in cui il server Exchange sia installato su un server italiano l’utente è “NT AUTHORITY\Accesso Anonimo”. Attenzione inoltre che il nome del connettore è case sensitive. L’esecuzione del comando genera una richiesta di conferma da parte del sistema per l’eliminazione del permesso, se questa richiesta non appare verificare il nome del connettore. Questo comando elimina l’autorizzazione per l’utente anonimo... Leggi tutto →

Auto Enrollment dei Certificati

Scenario: Dominio Active Directory, Domain controller multipli e Certification Authority già installata sul primo domain controller. In questa configurazione può succedere che i DC secondari non riescano a rinnovare il certificato per il ruolo di Domain Controller, causando quindi problemi all’accesso SSL ad Active Directory specialmente da parte di applicazioni di terze parti (ad esempio il Single Sign On di VMWare). Nel log possiamo trovare questi errori subito dopo il logon: Onde evitare questo problema bisogna attiva l’Auto Enrollment dei certificati nel dominio. Sulla CA: Verificare che il gruppo Certificate Service DCOM Access abbia i corretti permessi sul DCOM. In Component Services nelle proprietà di My Computer, verrificare che nel tab COM Security sotto Access Permission – Edit Limits il gruppo sia presente ed abbia entrambi gli accessi abilitati. In Component Services nelle proprietà di My Computer, verrificare che nel tab COM Security sotto Launch and Activation Permissions – Edit Limits il gruppo sia... Leggi tutto →

Installazione ESXi su USB e passthrough

Come ben saprete ESXi si può tranquillamente installare su chiavetta USB. I pro e i contro di questa cosa esulano da questo articolo ma resta il fatto che in installazioni molto ridotte può essere decisamente comodo avere l’unico array di dischi dedicato interamente ai dati in modo da non trovarsi in situazioni delicate duranti gli eventuali upgrade di versione dell’hypervisor. Un’altra cosa che si fa spesso nelle piccole installazioni è passare delle periferiche USB come chiavette hardware o dischi di backup alle macchine virtuali. Ci sono due modi di fare questo in VMware, il primo è di aggiungere un USB Controller alla VM e quindi aggiungere l’USB Device e lasciare che l’emulazione USB faccia il suo lavoro, il secondo invece è di usare il DirectIO per assegnare i controller USB fisici direttamente alla macchina virtuale. La seconda soluzione è più veloce perché salta un intero strato di emulazione. Il problema... Leggi tutto →