Imparare a gestire un server ed impostarlo da zero

[109Tango]

Salve a tutti,
apro questa discussione per chiedere se esiste una qualche guida per iniziare ad apprendere il mondo della gestione dei server e della loro configurazione o se esistono dei corsi da poter frequentare.
Ho avuto da poco la possibilità di cambiare lavoro (in precedenza facevo l'operaio figuriamoci) , in questo nuovo lavoro mi trovo ad interagire con server, domini e computer client collegati ad essi.
Premetto che ci sono colleghi più anziani che, se non riesco a risolvere qualcosa, ci pensano loro a sbrogliare la matassa, ma ovviamente vorrei che non fosse cosi.
Vi faccio un esempio: All'interno di un istituto scolastico ci sono più server che girano su delle macchine virtuali. A questi server si collegano un centinaio di macchine e queste macchine le usano centinaia di studenti e professori.
Ora se i problemi sono semplici tipo settare gli indirizzi ip statici, mettere in dominio altre macchine, collegare e cablare cavi o switch , creare nuovi gruppi con nuovi criteri, ecc. o roba simile non trovo particolari problemi, il problema sta nel fatto che non riesco a trovare una "traccia" nel web su come dovrei fare per configurare un server da zero nel caso in cui scoppiasse un casino o nel caso in cui dovessi creare una rete con un server centrale, da zero, in un azienda.
A casa da questo pc ho montato una vr che mi fa girare windows server 2016, ho anche capito a grandi linee come settare le policy , i gruppi e altri parametri, ma per esempio non riesco a capire come posso fare per abilitare/disabilitare momentaneamente o perennemente, l'uso di internet per un gruppo di persone. Esiste una guida per questi argomenti? In particolare su come impostare il server proxy di windows server e abilitare/disabilitare una classe o un gruppo di persone a navigare su internet?
E' da ieri a pranzo che cerco di arrivare a capire un minimo certe cose ma purtroppo non ce la faccio, inoltre non sono manco una cima in inglese quindi visto che i temi sono abbastanza complessi, mi rimane anche difficile consultare qualche discussione in inglese.
Grazie in anticipo per la pazienza e scusate se ho scritto qualche cavolata senza saperlo a causa della mia ignoranza in materia.

[51133luca]

Ciao,
allora partiamo dal presupposto che non si diventa sistemisti in pochi giorni (non è per dirti che non ne sei capace), ma ci vogliono alcuni anni di studio e per fare questo ci sono dei corsi sia per acquisire che aggiornare le conoscenze nel campo (Ovviamente sono a pagamento, e non costano poco, però alla fine ti rilasciano degli attestati come ad esempio Cisco CCNA).
Per l'inglese purtroppo in questo lavoro è fondamentale conoscere almeno quello tecnico, dato che la terminologia è inglese e le soluzioni ai problemi le trovi spesso sul forum microsoft in inglese.

Venendo ai problemi:
1)teoricamente non dovrebbe mai essere necessario partire da zero in caso di fail del server (che possono essere un problema irreparabile sulla macchina virtuale o nel server fisico vero e proprio), perché si presume si effettuino tutti i backup del caso delle macchine virtuali (Spero sia così dato il numero importante di persone che si collegano alla rete e sfruttano il server).
Non troverai una guida su come impostare un server da zero in quanto è impossibile farla... dipende per cosa devi utilizzare il server, in base alla risposta a questa domanda troverai le guide su come implementare tale funzione.
Per dire... mi serve un server per gestire Active directory e DNS, beh allora installerò la mia macchina virtuale con i seguenti ruoli. Mi serve un server mail ? beh installerò una macchina che faccia da mail server.

2)Per la questione impedire ad un computer di entrare in internet, devi fare vari passaggi. Il pràimomè che ovviamente la macchina debba essere nel dominio, poi dovrai creare una GPO dove assegni cosa vuoi impedire o permettere al computer di fare (tipo tale gruppo di computer o persone non può accedere ad un determinato archivio di rete per esempio).
Ci sono vari video in rete dove spiegano questo argomento.
Prova a guardare su youtube il canale di sistemista italiano, secondo me è veramente bravo.

[109Tango]

Ciao Luca grazie mille per la risposta, sei stato davvero gentilissimo.
Forse "mi sono descritto" in modo piuttosto drastico mi spiego meglio:
Sono perito informatico ed ho sempre fatto il tecnico di computer nel tempo libero anche se per necessità ho lavorato come operaio fino a qualche tempo fa.
Solitamente per le piccole problematiche domestiche mi sono arrangiato sempre e ho sempre trovato, bene o male soluzioni.
Ora che sui server le competenze richieste sono nettamente maggiori, ovviamente, trovo più difficoltà.
In questi giorni, da quando ho scritto il primo messaggio, sono riuscito a fare le seguenti cose:
Messo 3 macchine virtuali sul mio pc per simulare un server con windows server 2016 e 2 client con 2 so differenti che vi accedono al dominio, seven e 10 sempre a 64 bit.
Ho impostato delle quote a seconda delle sottocartelle create (riguardo al mio ambito lavorativo, professori e stundenti dove all'interno si creano cartelle dei vari account creati quando si entra nei pc client) che non possono essere superate (400 mb per i professori, 200 mb per gli studenti) cosi da limitare lo spazio occupato dai file salvati sul server da parte degli utenti.
Ora mi servirebbe fare due tipi di classi principali sull'active directory, come già detto studenti e professori.
I primi che devono essere abilitati a navigare soltanto quando decide l'amministratore, i secondi invece devono essere sempre abilitati.
Il problema sta nel fatto che, una volta messe le macchine sul dominio, queste ovviamente non navigano, hanno sul gateway l'ip del server ma non escono su internet a prescindere a meno che non metto , ovviamente, l'ip del modem/router sul gateway.
E' ovvio che per quello che serve a me, non posso modificare gli ip su decine e decine di pc ogni volta che le lezioni richiedono l'accesso ad internet, sarebbe improponibile.
Essendo a digiuno di programmazione da più di un decennio ormai, vedo che esistono proxy come squid che molti usano, ma personalmente non sono riuscito a capire come fare per abilitare la connessione ad internet a seconda degli accounti o gruppi di active directory.
Ora stavo vedendo se ci sono dei programmi open source che mi permettono di gestire , con delle interfacce grafiche, le connessioni tramite ip dei pc da lasciar connettere ad internet ma ovviamente sarebbe molto meglio fare come dici tu, tutto tramite active directory e gpo. Anche chi ha strutturato l'attuale rete a scuola ha usato le gpo con l'uso di un programma che si interfaccia con squid. A me basterebbe anche fare ogni volta tutto l'iter abilita/disabilita la connessione da active directory, ma non sono riuscito ancora a capire come fare.
Per carità so benissimo che non potrò mai essere un sistemista, ma per il lavoro che svolgo ora mi basterebbero queste 4/5 cosette che ho appena elencato, in realtà ho già predisposto tutto in teoria simulando la cosa qui su macchine virtuali, mi manca solo questa cosuccia dell'abilitazione a internet a seconda dei gruppi creati su active directory.

Hai ragione sui backup delle macchine, ma succede e mi è successo l'anno scorso in un istituto. Server che girava su macchina fisica, la macchina ci abbandona, ordinato nuovo server con nuovo sistema operativo, panico. 2 Settimane per rimettere tutto online, la ditta che ci aveva venduto il server non era in grado di riconfigurarlo nonostante l'istituto avesse pagato per questo servizio, alla fine abbiamo dovuto chiamare un collega di un altro istituto che ha riprogrammato il server da zero e rimesso tutto online.
Siccome c'è l'eventualità che succeda, vorrei saper fare tutto da zero, ripeto ci sono quasi riuscito, mi serve solo un input per capire come fare questa cosa dell'abilitazione ad internet in base al volere dell'admin e quindi delle richieste delle lezioni e dei professori.

[51133luca]

Lasciando stare per il momento server scolastico, mi concentro sulla simulazione che stai facendo.

Allora hai una macchina virtuale windows server 2016 su cui hai installato i ruoli DNS e Active directory (Installando Active ti installa in ogni caso il servizio DNS).
Ovviamente la macchina dovrà avere un ip statico.
Sul server menager una volta installto i servizi, ti avrà chiesto di alzare il server a controller di dominio e avrai creato una nuova foresta dove avrai messo il nome del dominio.local o nomedominio.priv

Una volta fatto questo controlla nelle impostazioni di rete che sul protocollo IPv4 nel server DNS preferito sia 127.0.0.1

Successivamente apri la console DNS, tasto destro sul nome del server e controlla nel tab server d'inoltro che ci siano i due ip di google (8.8.8.8 e 8.8.4.4) perchè quando i client inviano una richiesta al server e questo non riesce a risolverla, gira la richiesta agli indirizzi ip inseriti in questa tab, cioè google se vuoi navigare.

Fatto ciò, sempre nella console DNS, bisogna creare la zona di ricerca inversa (non è obbligatoria ma la consiglio sempre perchè serve per trovare la macchina attraverso il nome rispetto all'indirizzo IP, sostanzialmente ci pensa il server a convertire il nome nell'idirizzo IP coretto), tasto destro su zona di ricerca inversa e clicca su nuova zona e segui la procedura guidata.
Lascia pure tutto come impostato di defaul. Quando ti chiede l'ID della rete devi mettere l'ip della rete (ad esempio 192.168.1 , l'ultimo numero non serve inserirlo).

Ora dovrai mettere in dominio il client, così facendo tutti i computer inseriti in dominio andranno tranquillamente su internet (ci vanno anche se non sono in dominio).

Una volta controllato che tutto sia corretto si può procedere con le GPO. secondo me è inutile complicarsi la vita con Squid, dato che si può fare attraverso le gpo. Più si rimane sul "semplice" e meno probabilità ci sono che le cose possano creare problemi.

Per la questione Backup, se i backup vengono eseguiti regolarmente ogni notte, nel caso di rottura anche fisica della macchina non ci sono problemi, perchè prendi il nuovo server installi windows server (o il sistema operativo più consono), installi il ruolo hyper-v (nel caso di windows) e attraverso il programma di backup fai il recovery delle macchine virtuali (il bello del virtualizzare è che le macchine sono indipendenti dall'hardware su cui girano).

[109Tango]

Ho fatto tutto come mi hai detto, ho anche finito ora di vedere i primi video di due anni fa di "sistemista italiano" che parlavano proprio di come inizializzare windows 2016 ecc.

Anche li messe tutte le impostazioni e fatti tutti i passaggi ma niente.

Ho due macchine virtuali che sono entrate nel dominio casa.prv della macchina virtuale che ha windows server 2016 ma non navigano.

Si vedono tra di loro, i ping rispondono tutti, compreso il modem/router, risponde anche il ping del pc fisico dove sto facendo girare tutte e tre le macchine virtuali.

Se aggiungo sul gateway l'indirizzo ip del modem/router invece navigano.

Praticamente il server non le fa passare e non le fa andare su internet.

Sicuramente mi sfugge qualcosa ma non riesco a capire cosa.

Per poter provare a fare una policy su delle unità organizzative che impedisca la navigazione ad internet , devo prima fare in modo che la connessione arrivi ai client tramite il server altrimenti è intuile crearla

Non so perchè ma mi viene il forte dubbio che sia colpa del modem/router della telecom, il famoso scolapasta bianco.

Aggiornamento: Le due macchine virtuali con sopra i client che sono dentro al dominio, non mi pingano i dns di google 8.8.8.8 e 8.8.4.4 mentre il pc fisico e la macchina virtuale con sopra il server li pingano benissimo.

[51133luca]

Trovato il problema.
Nel Gateway ci va proprio l’indirizzo ip del router/modem
Altrimenti la macchina funzionerà solo in rete locale LAN.
Semplificando in maniera assoluta, in pratica il Gateway è lo strumento che permette di collegare la LAN con internet. Se non si inserisce il Gateway i computer non sanno come comunicare con l’esterno.

[109Tango]

Quote:

Originariamente inviato da 51133luca

Trovato il problema.
Nel Gateway ci va proprio l’indirizzo ip del router/modem
Altrimenti la macchina funzionerà solo in rete locale LAN.
Semplificando in maniera assoluta, in pratica il Gateway è lo strumento che permette di collegare la LAN con internet. Se non si inserisce il Gateway i computer non sanno come comunicare con l’esterno.

Ma la stessa cosa accadrebbe anche con dei pc fisici?
Non posso provare a casa perchè gli altri pc che ho, hanno tutti versioni home e non li posso aggiungere al dominio del server che ho sulla macchina virtuale.

Chiedo perchè nel video di sistemista italiano viene detto che il domain controller assume le funzioni di server dns e da continuità di connessione con gli ip dns di google a tutti gli indirizzi che non riesce a risolvere che gli arrivano dai client, perchè li gira ai dns di google, ma se io devo mettere l'ip del modem per uscire su internet dai client, vuol dire che non è vero che il server dns lo fa il domain controller per gli indirizzi che non conosce girandoli ai dns di google, il server dns per gli indirizzi sconosciuti che arrivano dai client lo fa il modem perchè se non lo metto nel gateway dei client, i client su internet non ci escono.
Anche nel video si vede che si lascia impostato su automatico l'assegnazione dell'ip del client, della subnet e del gateway, significa che sul server se ci sono o non ci sono i dns di google, il client su internet ci esce cmq perchè non è il server a mandare gli indirizzi che non conosce ai dns di google ma il modem /router dove c'è la connessione internet.
Sbaglio?
A me pare sia cosi altrimenti qui da me , sulle due macchine virtuali, internet doveva esserci anche senza l'indirizzo del modem sul gateway.

[Kaya]

Allora come si suol dire.. idee poche ma ben confuse.
Facciamo ordine
Il gateway è lo strumento che permette di fare routing tra due rete, quindi PER FORZA DI cose deve essere il router
Tu hai detto alla rete che il gateway è il server... si la cosa ha senso ma solo ovviamente se attivi il servizio e il forward del traffico.
Se usi un proxy server ovviamente deve avere anche autenticazione se vuoi differenziare chi può accede a cosa e puoi farlo usando l'autenticazione dell'active directory. Squid è un ottimo prodotto ma devi sapere cosa stai facendo per usarlo.
Per fare prima puoi far fare da proxy al server ma ovviamente va installato e configurato.
Inoltre non fare l'errore di mettere come gateway il server, ma devi indicarlo come proxy server nella configurazione dei client.

Inoltre per quanto concerne il DNS in un dominio active directory DEVE PER FORZA essere uno dei domain controller, altrimenti non risolve correttamente i nomi.
Se non funziona c'è qualcosa di errato nella configurazione.
Hint: usa il comando "nsloookup" per vedere se funziona.

Per i libri..
Inizia dalle basi
1) Corso di inglese!!!
2) Reti di Calcolatori, Tanembaum
3) https://www.microsoftpressstore.com/ è un punto di partenza,
4) Windows Server 2012. La guida - può essere un buon punto di partenza.

[51133luca]

Putroppo non essendo li è difficile dire in due secondi dove sta il problema.
Potrebbe essere anche un problema di configurazione della scheda di rete della macchina virtuale (Virtual Box, Hyper-V ?)

[109Tango]

Intanto colgo l'occasione per ringraziarvi dell'interesse che mi state dedicando e per i consigli.
Allora, ho usato virtual box per creare le tre macchine virtuali, 1 server ws2016 e 2 client win7 64 e win10 64.
Ho messo i 2 client sul dominio , i due client hanno l'ip del server sul dns primario sulle impostazioni di rete.
Se il gateway lo lascio libero non navigano, se metto l'ip del modem/router navigano.
Ho creato sul server diversi utenti base , loggano tutti in entrambe le macchine client e salvano i dati sul server in roaming all'uscita, se vanno oltre la capienza massima imposta da me sulle quote, il server non salva i file dell'utente (almeno sta cosa funziona come deve ).

Ora, come ripeto, a me serve poter decidere chi far uscire o meno su internet, un collega più anziano ormai in pensione e decisamente molto più capace di me, aveva programmato un software che tramite una semplice interfaccia grafica, interagiva con squid che faceva da proxy e faceva decidere all'admin molto rapidamente, quali gruppi dell'active directory abilitare o meno all'uso di internet.

Inoltre ha impostato di base due gruppi sui vari server, un gruppo che di default non esce su internet e un gruppo che invece lo fa sempre (rispettivamente "studenti" e "docenti").

Ora , ovviamente, non ho assolutmanete la presunzione di riuscire a fare tutto questo, non ne sono capace, a me basterebbe un altro modo, anche più lungo o macchinoso, per decidere quali gruppi dell'active directory far navigare o meno.

Ho visto cercando in rete che alcuni riescono a fare questo filtraggio tramite server iis senza usare ne proxy ne altri software, sapete qualcosa a riguardo?

Oggi non ho avuto tempo di "smanettare" altrimenti mi ci sarei messo a vedere sta cosa o altre soluzioni "più semplici".

Uso oracle virtual box, tutte le macchine virtuali hanno la scheda di rete virtuale impostata su "connessa a : scheda con bridge".

[109Tango]

Allora ragazzi ecco ci qua.
Vi aggiorno sulle mie ultime peripezie perché, non so se è capitato anche ad altri, ma praticamente sono impazzito diversi giorni perché credevo di non averci capito na mazza su come funzionassero le policy invece poi è uscito fuori che un aggiornamento di microsoft provoca dei mal funzionamenti nell’attuazione delle policy e , servendomi almeno 2 modelli di criteri applicabili a diversi gruppi di utenti connessi contemporaneamente , non posso usare il gruppo “authenticated users” per applicare le policy e li è venuto fuori il fattaccio che m’ha fatto impazzire.

Cmq avevo deciso di abilitare e disabilitare internet solo con le gpo in un modo molto grezzo, senza usare programmi a pagamento e senza proxy o altro (anche perché non saprei farlo), semplicemente bloccando tutti i browser che sono installati sui client.
Certo se capita il ragazzino un po’ smanettone, bypassa tutto in poco tempo, in quel caso ci penserò quando succederà semmai dovesse succedere.

Andavo ad applicare le policy rispettando i criteri illustrati nelle guide microsoft ma puntualmente non riuscivo ad applicare più di una policy contemporaneamente a diversi utenti connessi. Come sicuramente tutti voi saprete (ma io purtroppo non lo sapevo) se nelle policy c’è il gruppo authenticated users, tutti i gruppi che entrano sui pc in quel momento, prendono solo e soltanto una policy (almeno cosi a me succedeva).
Sono stato 2/3 giorni a capire perché mi succedeva e stasera finalmente me ne sono accorto (eh sono lento scusate).
Insomma per farla breve, se qualcuno per caso non lo sa e ci dovesse capitare (e mi auguro non ci perda tutto il tempo che c’ho perso io), dopo un aggiornamento di microsoft in sostanza ws 2016 non riesce più ad applicare le policy a gruppi , utenti o altro se nei destinatari della policy non c’è il gruppo authenticted users.
La cosa si risolve mettendo nelle deleghe delle policy i computer del dominio in lettura cosi che riescano a leggere le impostazioni da mettere ai diversi utenti sui client senza la presenza, negli utenti destinatari della policy, del gruppo authenticated users.

Sicuramente tutti starete pensando “e c’hai messo 3 giorni per capirlo?” eh si, c’ho messo tre giorni per capirlo e francamente stavo quasi per arrendermi quando poi stasera mi sono imbattuto in un post in inglese e ho capito qual’era il problema.
Per ora quindi sono riuscito a mettere un server online su una macchina virtuale decidendo le quote delle cartelle degli utenti a seconda della “classe” di appartenenza e ad impostare dei criteri per decidere quando e a chi dare la connessione ad internet.
Mi ritengo soddisfatto (eh lo so mi basta poco )

Ringraziandovi ancora per l’aiuto ed i consigli, per ora passo e chiudo.

[Dark345]

Quote:

Originariamente inviato da 109Tango

Allora ragazzi ecco ci qua.
Vi aggiorno sulle mie ultime peripezie perché, non so se è capitato anche ad altri, ma praticamente sono impazzito diversi giorni perché credevo di non averci capito na mazza su come funzionassero le policy invece poi è uscito fuori che un aggiornamento di microsoft provoca dei mal funzionamenti nell’attuazione delle policy e , servendomi almeno 2 modelli di criteri applicabili a diversi gruppi di utenti connessi contemporaneamente , non posso usare il gruppo “authenticated users” per applicare le policy e li è venuto fuori il fattaccio che m’ha fatto impazzire.

Cmq avevo deciso di abilitare e disabilitare internet solo con le gpo in un modo molto grezzo, senza usare programmi a pagamento e senza proxy o altro (anche perché non saprei farlo), semplicemente bloccando tutti i browser che sono installati sui client.
Certo se capita il ragazzino un po’ smanettone, bypassa tutto in poco tempo, in quel caso ci penserò quando succederà semmai dovesse succedere.

Andavo ad applicare le policy rispettando i criteri illustrati nelle guide microsoft ma puntualmente non riuscivo ad applicare più di una policy contemporaneamente a diversi utenti connessi. Come sicuramente tutti voi saprete (ma io purtroppo non lo sapevo) se nelle policy c’è il gruppo authenticated users, tutti i gruppi che entrano sui pc in quel momento, prendono solo e soltanto una policy (almeno cosi a me succedeva).
Sono stato 2/3 giorni a capire perché mi succedeva e stasera finalmente me ne sono accorto (eh sono lento scusate).
Insomma per farla breve, se qualcuno per caso non lo sa e ci dovesse capitare (e mi auguro non ci perda tutto il tempo che c’ho perso io), dopo un aggiornamento di microsoft in sostanza ws 2016 non riesce più ad applicare le policy a gruppi , utenti o altro se nei destinatari della policy non c’è il gruppo authenticted users.
La cosa si risolve mettendo nelle deleghe delle policy i computer del dominio in lettura cosi che riescano a leggere le impostazioni da mettere ai diversi utenti sui client senza la presenza, negli utenti destinatari della policy, del gruppo authenticated users.

Sicuramente tutti starete pensando “e c’hai messo 3 giorni per capirlo?” eh si, c’ho messo tre giorni per capirlo e francamente stavo quasi per arrendermi quando poi stasera mi sono imbattuto in un post in inglese e ho capito qual’era il problema.
Per ora quindi sono riuscito a mettere un server online su una macchina virtuale decidendo le quote delle cartelle degli utenti a seconda della “classe” di appartenenza e ad impostare dei criteri per decidere quando e a chi dare la connessione ad internet.
Mi ritengo soddisfatto (eh lo so mi basta poco )

Ringraziandovi ancora per l’aiuto ed i consigli, per ora passo e chiudo.

Quello a cui ti riferisci è l'impossibilità di applicare le policy se non viene specificato Authenticated Users nella scheda Sicurezza della stessa.

In pratica, se vuoi filtrare chi potrà applicare la policy, dovrai comunque tenere Authenticated Users con permesso di Read, togliendo quindi Apply group policy, e poi specificare oggetti users o groups in Read e Apply group policy