Spesso mi capita di installare nuove reti “da zero”, sia in uffici/dipartimenti di nuova costituzione, sia in aziende di piccole dimensioni che decidono di lavorare su di una nuova infrastruttura. Dopo anni che faccio questo mestiere ho sviluppato una specie di “configurazione standard” per l’mplementazione.
Premetto che questa installazione è completamente “Microsoft oriented”, date le scelte commerciali dell’azienda per la quale lavoro. Per alcuni non sarà la migliore possibile, ma è quella che copre la maggior parte delle esigenze, inoltre è un servizio che posso erogare e supportare in piena autonomia. Conosco linux, ma non sono in grado di fornire un supporto professionale adeguato.
Diamo per scontato che chi legge conosca le reti, il protocollo TCP/IP e sappia come collegare cosa a dove.
Prendiamo ad esempio una piccola azienda, diciamo da 10 a 30 posti di lavoro, e forniamole il seguente materiale:
- Server Windows Server 2003, 1Gb RAM, controller RAID, 5 dischi, nastro DLT per il backup, interfaccia rete Gigabit, processore Intel Xeon, mono o biprocessore. (Si preferisca IBM);
- 10/30 PC con Windows XP Pro, 512 Mb RAM, di buona marca;
- Uno switch con un numero adeguato di porte, di cui almeno due Gigabit;
- Una o più stampanti laser di caratteristiche da valutare, con print server interno;
- Un firewall “hardware”, cioè un’appliance, un apparato in una scatola insomma, consiglio la serie ZyXel ZyWall, a partire dal modello 10W
- Il router per la connessione internet in comodato d’uso dal provider, altrimenti al primo problema si gioca allo scaricabarile: almeno è tutto loro (“E’ vostro il router?” è la prima cosa che chiedono i call center; “No, vostro!” Tié!);
- Almeno un indirizzo IP fisso.
In questo esempio semplifichiamo: la posta se la tiene il provider, così non mi devo mettere in casa un mail server, con tutto quello che questo comporta (DMZ, relay, ec. ecc). I client usano Outlook che punta al POP3 del provider.
Vediamo come configurare il server in maniera da supportare tutto ciò.
Controller RAID: due dei cinque dischi in RAID 1 (mirroring) e tre in RAID 5.
Fatto questo installo Windows Server 2003, tutti i drivers, aggiorno Windows tramite Windows Update. I server IBM vengono forniti con un CD “Server Guide”, che unifica l’installazione del s.o. e dei drivers.
Al termine assegno un indirizzo IP di classe privata al server, coerente con il progetto che avrà precedentemente redatto (possono anche essere due righe buttate giù in fretta ;-)).
Installo poi Active Directory, lasciando che il wizard configuri il DNS. Il nome del dominio sarà qualcosa tipo: azienda.local o azienda.lan.
Passo poi alla configurazione del DNS, fondamentale per il corretto funzionamento di Active Directory. In particolare creo la zona di risoluzione inversa e registro gli hosts statici, se ce ne sono (ad esempio un sistema AS/400 od un server Lotus Domino).
Gli altri servizi che installo sono DHCP e WINS. Quest’ultimo è inutile se tutti i client sono Win2000 o superiori , ma dovessi mai collegare qualche vecchio 9X, è già pronto.
Creo in Active Directory una o più Organizational Units per contenere gli utenti ed i gruppi; ad esse applicherò poi le Group Policies che decido col cliente.
A questo proposito dovete assolutamente scaricare il tool Group Policies Management Console da Microsoft, uno strumento per gestire meglio le GP.
Installo e configuro anche il servizio RAS, nel caso avessi bisogno di un accesso VPN dall’esterno. Attenzione: Windows 2000 server ha un buco nel wizard di configurazione, la dovete fare “a manina”. Da allora faccio a mano anche il 2003.
Installo e condivido le stampanti di rete, caricando anche i driver per altri sistemi operativi, così i client useranno il servizio print server e la configurazione sarà centralizzata. Se domani decido di cambiare indirizzo IP ad una stampante, farò le modifiche solo al server.
Se ho bisognodi un acceso dall’esterno per la gestione del server, installo e configuro anche Zebedee, per tunnellare la connessione al desktop remoto, oppure uso Re@lVNC. Di volta in volta scelgo quello più adatto.
Un’altra cosa che faccio sempre è la schedulazione di un riavvio settimanale, in genere la domenica sera. Non è assolutamente necessario, ma tant’è…
Se non ci sono servizi particolari, per il backup uso l’utility nativa del s.o. che funziona egregiamente. Imposto un backup giornaliero per 5 giorni la settimana su 5 cassette diverse. Il cliente deve solo ricordarsi di cambiare il nastro e dare un’occhiata ai log. Per il controllo di quest’ultimi condivido in sola lettura la cartella che li contiene, in modo da tenere la gente il più lontana possibile dalla tastiera del server.
Mi sembra di non avere dimenticato nulla. A questo punto il server è pronto per la creazione degli utenti, dei gruppi, delle cartelle condivise e dei privilegi di accesso.
Si passa poi alla eventuale installazione di un antivirus server e degli applicativi e servizi necessari per l’azienda, poi si installano i client e si fa il loro “join” al dominio, ma queste sono altre storie…
Commenti
158 risposte a “Come configuro i server”
Ah per�, le tratti bene le tue aziende, riescono tutte a sobbarcarsi il costo della licenza di Windows 2003 Server? 🙂
Yep! Tra l’altro la vesione OEM non costa come quella “da scaffale”, quindi….
Eheheh…. Andrea, hai tutta la mia comprensione…
http://www.giovy.it/blog_comment.asp?bi=258
Solo che la macchina che abbiamo preso � un IBM Dual Xeon 3.06 GB con 4 GB di RAM e 4 dischi SCSI da 73 GB, in Raid 5 + 1 in Hot Spare.
WinServer 2003 Small Business (a breve mi tocca anche la configurazione di Exchange e ISA Server…) 🙁
P.S. Noi per il backup usiamo il Veritas… 😉
Buon lavoro! Personalmente credo che Small Business sia una porcata: DC, Exchange e ISA su una sola macchina mi fa venire la pelle d’oca al solo pensiero….
In verit� stiamo pensando di metterla su diversamente…
Ovvero terremo il server attuale per SQL Server, ne tireremo su un’altro per Exchange e probabilmente ISA Server girer� su una macchina dedicata che far� anche da server Web (comunque su una DMZ, quindi la rete sarebbe in ogni caso al sicuro). 😉
Giusto, dimenticavo SQL.
ISA � la peggior cosa per mettere su una DMZ, l’ho visto fare ed � una schifezza, non so l’ultima versione com’�, spero meglio. Attento che Small Business, a livello di licenza, non ti consente di installare i servizi su macchine diverse….
Ehm… forse mi sono spiegato male…
Intendevo che la macchina con ISA va gi� in una DMZ, gestita da un firewall hardware. Quindi la sicurezza c’� gi�, ISA serve solo “per sicurezza” della sicurezza… 😀
Per le licenze: � ovvio che sia cos�… ma tanto non le pago mica io, le licenze, quindi… 😛
Ahahah, ok buon lavoro allora!
Ciao a tutti, sono un novizio del settore, la ditta per cui lavoro ha un server HP Proliant con win server 2003 sb. unit� di backup dds3
Il problema � che il backup funziona in maniera random, nel senso che a volte il registro dice che il backup c’� ma sulla cassetta non c’� nulla, e a volte il contrario, andando a controllare ho trovato degli errori nel visualizzatore degli eventi, errori del tipo:
rileveto blocco danneggiato su periferica….nome dell’unit� di backup.
La ditta che ci “segue” dice che li prog. di backup di win 2003 fa schifo e risolverebbe il problema installandone un altro.
Voi cosa dite ???
GRAZIE MILLE
Silentvoice: il backup di Win2003 va abbastanza bene. Comunque controlla anche il log del backup, non solo l’event viewer. Inoltre, sei sicuro che la catena SCSI funzioni bene? Hai qualcosa al riguardo nel registro degli eventi?
Andrea, rieccomi. A proposito di policy. Ho la necessit� di centralizzare la configurazione degli utenti di una rete con dominio, per esempio evitare, per ogni utente, di configurare IE (proxy, privacy, ecc.), limitare l’installazione di applicazioni, ecc…), qualte strumenti consigli di usare per fare ci�?
Ho un po fame e non so se sono stato sufficientemente chiaro…
Saluti
Alex, le group policies funzionano bene per questo scopo, si creano sul server e si applicano alle UO. Se non le conosci ti conviene prendere un libro sull’argomento, che � abbastanza vasto.
Ciao Andrea,
eccomi di nuovo per sottoporti un nuovo quesito.
Ciclicamente, per l’esattezza ogni 5 min., viene generato questo errore nel log degli eventi:
Tipo evento: Errore
Origine evento: Userenv
Categoria evento: Nessuno
ID evento: 1053
Data: 24/06/2005
Ora: 0.05.47
Utente: NT AUTHORITY\SYSTEM
Computer: DM-2
Descrizione:
Impossibile determinare il ruolo del computer. (Non � stato effettuato alcun mapping tra nomi di account e ID di protezione. ). Elaborazione Criteri di gruppo interrotta.
Non so se questo errore potrebbe esserne la causa, ma il pomeriggio tutti i client della rete hanno problemi ad accedere al server.
Bene, ho letto diverse KB, ma rguardano la presenza di ISA Server. Nel mio caso ISA non � installata, Per� � installata la SP1.
Come posso rimediare?
Il sistema operativo � MS Windows Server 2003 STD.
Grazie ancora per la risposta e il tuo aiuto.
PS: � possibile in maniera ASSOLUTAMNTE discreta poterti scrivere via e-mail?
Alex, dai un’occhiata qui: http://www.eventid.net/display.asp?eventid=1053&eventno=1584&source=Userenv&phase=1
forse � un problema di DNS. La mia mail � in homepage, usala pure…
@sandro � Il 08/06/2005 alle 17:39 – BACKUP
Carica il SERVICE PACK 1 di WINDOWS 2003 e risolvi, ho avuto le stesso problema.
ciao
ciao, ho appena installato win server 2003 enterprise: ho collegato una stampante hp al pc via usb; l ho condivisa ma quando mi collego in rete con un altro pc non mi fa stampare mi dice accesso negato.
Gabriele, sembra un problema di permessi utente.
allora, il pc in rete ke mi dice accesso negato appartiene allo stesso gruppo di lavoro ma non ho installato sul server active directory; creando un nuovo utente “prova” quando accedo al server per vedere le cartelle condivise mi chiede la pass, dopo averla inserita posso stampare (sempre avendo dato i diritti a “prova”, ma se provo a stampare prima di entrare a vedere i doc in rete giustamente non mi fa stampare perch� non gli ho dato la pass; non � possibile far in modo ke la pass mi venga richiesta al momento della stampa? PS non ho installato AD perch� mi sembra inutile per ora con un solo pc client in test, e perch� mi sembra un po’ complicato,
Gabriele, puoi creare un script in avvio automatico con qualcosa dentro tipo:
net use \server /user:prova password
Potrebbe anche funzionare.
Ciao , scusate ma se voglio fare un raid 1 in mirroring per il sistema op e un raid 5 per i dati ho bisogno di 2 controller scsi 1 x raid ??? o basta un solo controller???
grazie
Andrea, basta un controller.
ciao con win server 2003 impostando il sito ad esempio il php non funziona e quando mi collego ad una pagina con incorporato un swf mi chiede nome utente e pass, o gia provato con aggiungere i titi mime nelle impostazioni del sito ma ancora uguale
Ciao Andrea,
vorrei gestire due server intranet attraverso lo stesso dns, fino ad ora ho usato il file host e dovevo modificarlo tutte le volte che non andava un server come faccio a gestirlo col server dns? 🙁
grazie per qualsiasi prezioso consiglio tu ti senta di darmi!
carlos
aki. la domanda � un po’ vaga, puoi specificare meglio?
Ciao Andrea,
ho due server
la rete con client win 98 deve accedere ora all’uno ora all’altro server e vorrei gestire la cosa senza dover cambiare tutte le volte il file host dei client…
ancora vago 🙁
grazie mille comunque 🙂
aki
Ma i due server fanno parte dello stesso dominio? Non dovrebbero essere gi� risolti automaticamente? In ogni caso aggiungi a ciascun DNS un record statico che punti all’altro server.
Ciao , Nella mia configurazione Raid 5 ho 3 dischi da 18 su cui ho un server sql che ormai nn ha piu’ spazio , ora vorrei sfruttare i 2 dischi da 18 gb per fare 1 raid 1 con il sis op e un raid5 di dati con i dischi da 78 , finalmente sono arrivati i 3 dischi da 78 gb , secondo te posso fare un ghost della partizione c del vecchio raid 5 e poi fare un restore sul nuovo??? dopo di che farei un ghost del disco d dove ora ho i dati dei db che naturalmente ho backuppato e li ripristinerei sul nuovo raid 5 con i dischi da 78 gb??
grazie 1000
Andrea: in teoria puoi ghostare le partizioni, in pratica devi capire se il driver SCSI DOS supporta il tuo RAID e lo legge/scrive…
Ciao Andrea,
Ho una rete in cui l’ISP mi fornisce un NAT obbligato dandomi un IP interno.
Il server IIS6 ha in host alcuni web. Inoltre gestisco io il DNS per i vari web. In particolare il problema e’ che l’IP sul DNS e’ quello pubblico mentre la macchina ha l’IP NATTATO. Quindi da fuori vedo i web e dalla lan no. Hai suggerimenti?
Cristian, prova ad aggiungere una voce statica al file hosts del client.
Ho sperimentato e funziona. Pero’ ogni nuovo sito internet che ospiteremo dovremo manualmente aggiornare il file HOSTS su tutti i client. Si puo’ automatizzare in qualche modo?
Un altro quesito. Hai idea di come mettere piu’ server IIS in serie in modo da garantire continuita’ del servizio anche quando un server si rompe? Possibilmente senza intervento umano.
Grazie
Cristian: purtroppo la gestione del file hosts � completamente manuale. Non puoi usare DNS altrimenti i siti diventerebbero inaccessibili da fuori…
Sei sicuro cha la configurazione che usate sia quella giusta?
Il fatto che ti nattino la connessione invece di darti un IP pubblico non � bellissimo, visto quello che devi fare.
Poi: se non sbaglio, Windows Server 2003 con II6 fornisce una specie di funzione di clustering che dovrebbe essere ci� che ti serve.
Ho pensato al Clustering ma non ne so molto.
Per quanto riguarda il file Hosts, ho provato anche un’altra soluzione. Ho dato anche il valore di IP Pubblico alla scheda del server web. Il risultato e che da dentro, riesco a vedere i siti tramite il DNS. C’e’ pero’ un qualche problema dovuto all’aggiornamento dinamico dei DNS che mi da degli errori.
Il provider da IP pubblici ma il router ce li mostra nella forma 10.10…
ok!! confermo la riuscita della migrazione , l’unico problema che ho avuto e’ stata l’ attivazione della partizione primaria, infatti dopo aver fatto tutto , il server rimaneva li senza fare nulla , ho provato con volume manager ma nulla , alla fine ho ripiegato sul buon vecchio cd d’installazione di 2000 , percio’ ho lanciato un installazione e subito dopo la formattazione di c: ho fatto un restore del ghost della vecchia macchina ed e’ andato su .
grazie per i preziosi consigli.
tempo dell’ attivita’ un giorno lavorativo pieno.
Ciao,
ho due reti distinte con due domini distinti collegate in vpn. Devo registrare sulle due reti il dns della rete a cui fanno collegamento (cio� rete1 dns2 e rete2 dns1) in modo che ciascun dominio possa risolvere i nomi dell’altro.
Eseguo la procedura di registrazione del dominio ma non riesco a registrare perch� mi da accesso negato.
Come posso fare?
Grazie
C’era un errore nel messaggio precedente verso la fine:
non si tratta della registrazione del dominio ma del dns
AndreaBat: devi non sono sicurissimo che attraverso la VPN passi anche l’UDP, sinceramente non mi sono posto il problema. E non so neppure se c’� un fallback vero TCP in caso di mancanza di connettivit�.
Altro motivo potrebbe essere la mancata autenticazione dei client verso il dominio remoto, che non gli lasci ainterrogare il DNS oppure li lasci a interrogare ma non lascia libera la registrazione dinamica. Prova a stabilire un trust tra i domini ed a definire il dominio remoto nei due DNS locali, invece di puntare i client al DNS remoto.
il problema del dns � sorto proprio perch� non riesco a creare il trust…mettendo dentro il nome del dominio mi dice che non lo trova e quindi ho pensato che fosse perch� non era definito il dns…premetto che specificando l’indirizzo ip delle macchine le due reti riescono a vedersi
Ma le due reti si vedono? Le sfogli? pinghi tutto? Il TCP/IP passa tutto?
da console riesco a pingare tutto, per� non vedo in windows la struttura della rete: per vedere le cartelle condivise devo andare su risorse di rete e fare una ricerca del pc che mi interessa specificando il suo indirizzo ip.
non ho specificato che si tratta di due domini con nome differenti, non si tratta di una struttura di domini, se pu� servire.
cosa intendi se il TCP/IP passa tutto? come faccio a vedere?
Ciao,
ho commesso una sciocchezza e non riesco a venire a capo… ho un server Hp con installato Windows Server 2003. Prima di metterlo in rete, ho giocato con un po’ delle possibilit� che mi offre.
Una di queste � stata la creazione dell’Active Directory… una volta fatto il tutto, ho rimosso questa funzione e mi ha fatto riavviare il server… ma, indicata la password, mi viene risposto o che sbaglio la password o che il dominio � sbagliato (chiaramente non mi viene chiesto nessun dominio). Cosa fare ? Grazie
Sergio, devi usare la password che hai specificato per l’amministratore al momento della prima installazione. Non devi specificare nessun dominio, bens� la macchina locale. Non c’� il tasto per visualizzare il dominio?
Active Directory, l’hai disinstallato tramite il comando dcpromo, vero?
Ciao a tutti.
Ho voglia di imparare una nuova cosa.
Ho una rete con un server 2003 e client xp.
Active, dominio e dns correttamente configurati.
Adesso mi chiedevo come posso fare per mettere su internet un sito che vorrei ospitere sul mio server? Ho gi� registrato il dominio con la gestione del DNS; ed ho l’indirizzo “pubblico” fornito da Libero, ma come faccio ad indirizzarlo attraverso il router al mio server? Boh… grazie a tutti per l’aiuto.
ciao ho letto piacevolmente i b… del tuo sito.
Adesso volevo esporti un problema: o fatto installare due server con due licenze invertite, mi spiego, il primo server ha la licenza dell’altro e, viceversa.
lavorando sul registro come cambio la stuzazione?
ciao e grazie
Salve, sono una ragazza che lavora in una piccola ditta di 10 dipendenti. Il mio datore di lavoro ha appena messo su una lan con win server 2003 ma ha un problema. Dice che avendo chiamato il dominio nomeazienda.it quando cerca di visitare il sito della nostra azienda (che � su hosting di tiscali e registrato anche quello su dominio nomezianda.it)il DNS sul nostro server non risolve l’indirizzo e non trova il sito. Io di queste cose ci capisco poco ma se mi date una mano forse ci scappa l’aumento.
Garzie.
Alessia, l’errore ormai � stato fatto. Non � molto ortodosso, ma il tuo “capo” (:-D) pu� provare ad aggiungere una voce statica nel DNS, in modo che l’host http://www.nomeazienda.it punti all’indirizzo IP del sito pubblico.
Non sono sicuro che funzioni sempre, ma tentare non nuoce.
Ho riscontrato il seguente problema su 2003 Server: non accetta i driver alternativi per le stampanti (driver x NT 4.0), i driver 2003 vengono caricati senza problemi… ma in rete ci sono molte macchine con NT 4.0. Nessuno di voi ha avuto un problema analogo? Grazie
Ciao Andrea, sembra che il mio capo abbia risolto l’errore in modo diverso da quello che suggerivi tu. Mi ha spiegato che ha “semplicemente”(per lui forse, io non so cosa voglia dire)aggiunto come dns secondario su ogni macchina quello del nostro provider tiscali. Spero di aver capito bene. Ora funzia ed anche dai nostri computer possiamo vedere il sito dell’azienda. Comunque grazie per l’aiuto: l’aumento dice che non me lo d� ma almeno mi ha elogiato per l’interessamento.
Ciao ho una stampante in rete, installata su server win2000, il problema e� che sui client dove l�ho connessa praticamente non tiene le impostazioni di stampa, i driver sul server sono gli ultimi disponibili, cosa puo� essere?
Grazie
Come vi invidio!!!!
Sto tentando, senza risultati apprezzabili, di creare una VPN tra le sedi della mia azienda.
In due di esse ho a disposizione un IP statico, sulle altre due IP dinamici.
Ho focalizzato quindi i miei sforzi su una delle due con a disposizione un IP statico.
In essa ho solo PC con XP professional. Sono riuscito a creare una VPN all’interno della rete locale ma non riesco a capire come fare per stabilire tale collegamento in remoto.
Ho un router USR Robotics wireless no modem collegato ad un modem d-link.
Qualcuno vuole essere cos� cortese da spiegarmi come funzionano ‘sti maledetti IP WAN, IP LAN, Default gateway WAN, default gateway LAN, NAT, PPTP ecc.?
Grazie anticipatamente.