Consulenze presso Eunet srl, via dell'Artigianato 15, 09122 Cagliari 070 753609 Lun - Ven 08:30-13:00 / 14.30-17.00
  • Sei qui:  
  • Home
  • Windows Server
  • Certificazione Windows Server 2003, consigli e suggerimenti

Certificazione Windows Server 2003, consigli e suggerimenti

Windows
Read Time: 12 mins
Quest'articolo vuole essere d'aiuto a chiunque abbia intenzione di sostenere un esame di certificazione Microsoft su Windows Server. Verranno fornite informazioni sia di carattere generale, con informazioni riguardanti lo svolgimento degli esami e valide per tutto il percorso di certificazione MCSA/MCSE, sia di carattere puramente tecnico,  con informazioni riguardanti concetti chiave più volte richiesti nei vari esami.
Partiremo con l'esame di base 70-290, Managing and Maintaining a Microsoft Windows Server 2003 Environment. Cercherò di aggiornare nel tempo il presente l'articolo, con dettagli tecnici che riguarderanno via via tutti gli esami della certificazione MCSA/MCSE. In bocca a lupo!

Aspetti generali

Per iscriversi ad un esame di certificazione Microsoft, è necessario registrarsi presso Prometric, che distribuisce e amministra i test per la certificazione in tutto il mondo. Tramite Prometric si scelgono sede e data di svolgimento dell'esame, pagando lo stesso in anticipo con carta di credito (circa €140). L'esame si svolge al computer, con un PC configurato secondo le specifiche Prometric. Un esame di certificazione ha in genere fra le 40 e le 70 domande.

Il mio esame 70-290, Managing and Maintaining a Microsoft Windows Server 2003 Environment,  era costituito da 44 domande, per un tempo effettivo di circa 3 ore, nonostante la registrazione presso Prometric ne indicasse ben 4. In ogni caso 3 sono più che sufficienti,  chiunque dovrebbe essere in grado di terminare entro le 2 ore.

Per ogni domanda sono elencate più risposte. In alcuni casi la risposta corretta è una sola, in altri una domanda ha più risposte valide. Se le risposte corrette son due, vi verrà chiesto di rispondere a due domande, se le risposte corrette sono più di due vi verrà semplicemente chiesto di indicare tutte le risposte corrette; in questo caso, per esperienza personale, le risposte corrette saranno tre. Per superare l'esame bisogna raggiungere un punteggio minimo, calcolato in millesimi, che è diverso per i vari esami.  Quando ho sostenuto l'esame 70-290 il punteggio minimo richiesto era di 700, quindi almeno il 70% delle risposte deve risultare corretto. Il risultato è comunicato immediatamente al termine dell’esame.

IMPORTANTE: in caso di esito negativo gli esami si possono ripetere, sfruttando l'opportunità Second Shot offerta da Microsoft. Ci si deve registrare su Microsoft al link appena indicato, si ottiene un Voucher Number e si utilizza tale Voucher sul sito di Prometric.

Lo svolgimento dell'esame è controllato da un amministratore certificato da Prometric, che può fornire informazioni sulle procedure di esame, ma non sul contenuto degli esami. In aula è vietato introdurre qualsiasi tipo di documentazione, vocabolari compresi.  Vi saranno forniti carta e penna con dei fogli per prendere appunti sulle domande. Il tutto dovrà essere riconsegnato al termine dell'esame.

Per la preparazione vi consiglio le simulazioni di Transcender e SelfTest, sono quelle che, a mio giudizio, si avvicinano di più alla realtà dell'esame. Se nelle simulazioni siete sotto il 70% di risposte corrette, non date l'esame, potreste spendere dei soldi inutilmente.


70-290, Managing and Maintaining a Microsoft Windows Server 2003 Environment, consigli e suggerimenti.


Driver e periferiche

Microsoft esegue dei test per la compatibilità dei drivers con i sistemi operativi Windows, compreso Windows Server 2003. I driver certificati da Microsoft sono firmati digitalmente. Microsoft raccomanda l'uso di driver certificati. Per vedere le proprietà di un driver bisogna utilizzare Gestione Periferiche (Device Manager), andare sulle proprietà di un dispositivo (Device) e utilizzare il tab Driver.

Per ogni driver sono elencate 5 proprietà:
1)Nome driver (Driver Name)
2)Fornitore driver (Driver provider)
3)Data driver (Driver date)
4)Versione driver (Driver version)
5)Firma digitale (Digital signature)


Account utente

Nelle proprietà di un utente di Active Directory, ci sono due TAB sui quali è facile confondersi: Controllo remoto, con l'opzione "Abilita controllo remoto", e Profilo Servizi Terminal, con l'opzione "Nega accesso ai server terminal". Nel primo caso si imposta la possibilità che ha l'amministratore di osservare o prendere il controllo delle sessioni terminal di quell'utente. Nel secondo caso si può negare all'utente l'accesso a qualsiasi server terminal.


Per spostare degli account utente da un dominio ad un altro utilizzando la riga di comando, possono essere utilizzate due procedure:
- utilizzare il comando csvde (la modalità di default è quella di export) nel dominio sorgente e csvde -i (importazione) nel dominio di destinazione
- utilizzare il comando ldifde (la modalità di default è quella di export) nel dominio sorgente e ldifde -i (import) nel dominio di destinazione
L'utility Csvde importa ed esporta dati da Active Directory utilizzando file in formato CSV (Comma-Separated Value).
L'utility ldifde consente di creare, modificare ed eliminare gli oggetti di directory. È possibile utilizzare il comando ldifde anche per estendere lo schema, esportare le informazioni relative ai gruppi e agli utenti in altre applicazioni o servizi nonché inserire in ADAM (Active Directory Application Mode) i dati provenienti da altri servizi directory.


Per assegnare un profilo di default ad ogni utente al primo accesso in dominio, è necessario copiare il profilo desiderato nel percorso di rete del controller di dominio \\dc_name\netlogon\Default User

Non è necessario, in tal caso, specificare il percorso del profilo sulle proprietà di ogni utente: il profilo, una volta caricato dalla rete, verrà salvato automaticamente sui singoli PC, diventando quindi il profilo di base a partire dal quale gli utenti potranno eseguire modifiche e personalizzazioni.

Un profilo utente bloccato (mandatory user profile) è un profilo preconfigurato dove le modifiche dell'utente (impostazioni desktop, collegamenti, file e cartelle su desktop, etc..) vengono perse alla disconnessione. Quando l’utente accederà nuovamente al sistema, si troverà davanti allo stesso profilo preconfigurato creato dall'amministratore. I profili utente diventano bloccati quando si rinomina il file NTuser.dat in NTuser.man. Il file si trova nella radice del percorso relativo al profilo (C:\Documents and Settings\nome_profilo).

 

Logon utenti

L'accesso interattivo (Interactive logon) fa sì che le informazioni di accesso al dominio degli utenti vengano memorizzate nella cache locale, in modo che tali utenti possano effettuare l'accesso anche se non fosse disponibile un controller di dominio. Il numero di accessi precedenti da memorizzare nella cache in assenza di un controller di dominio è determinato dalla Policy "Accesso interattivo: numero di accessi precedenti da memorizzare nella cache", che si trova su Impostazioni di Protezione, Criteri Locali, Opzioni di protezione. Impostando a zero il suo valore, se non fosse disponibile un controller di dominio durante l'accesso, verrebbe visualizzato il seguente messaggio di errore: "Impossibile accedere adesso. Il dominio non è disponibile."

Se due foreste sono in trust, e un utente deve effettuate il login da una foresta per accedere alle risorse presenti nell'altra, è d'obbligo specificare le credenziali nella forma user@nomedominio (formato UPN, user principal name)

 

Livelli di funzionalità del dominio

Supponiamo che il vostro dominio si trovi nella modalità Windows 2000 nativa. Se riscontrate che i cambiamenti ai gruppi universali creano un eccessivo traffico di replica, la soluzione migliore per ridurre tale traffico è di elevare il livello di funzionalità del dominio a Windows 2003. In questo modo ai gruppi universali saranno replicate solo le modifiche incrementali, mentre nella modalità Windows 2000 un cambiamento nell'appartenenza al gruppo universale rendeva necessaria la replica delle informazioni dell'intero gruppo a tutto il dominio.
Attenzione: abilitare la cache dei gruppi universali non risolverebbe il problema. Quest'opzione semplicemente rende disponibili le informazioni sui gruppi universali ai siti remoti, così che gli utenti possano disporre di queste informazioni in modo efficiente durante il logon.

Quando nel dominio Active Directory sono presenti controller di dominio Windows 2000, e ci troviamo quindi in un livello di funzionalità impostato su Windows 2000 misto o nativo, non sono supportati gruppi con oltre 5000 utenti. Se vi si presentano domande dove vien chiesto di gestire/organizzare gruppi così grandi, tenete presente questa particolarità.


Licenze

Se il nostro Windows Server è installato nella modalità di licenza Per Device/Per User, le operazioni di gestione licenza devono essere effettuate da Gestione Licenze sui Strumenti di Amministrazione; lo strumento Gestione Licenze su Pannello di Controllo deve essere utilizzato solo se la modalità di Licenza è Per Server.


Backup e ripristino

Per gestire le operazioni pianificate da riga di comando si utilizza il tool Schtasks, che rimpiazza il vecchio tool AT (comunque presente per compatibilità).
Schtasks permette di pianificare le operazioni, modificarle o eliminarle quando non più necessarie. Per impostazione predefinita il comando gestisce le operazioni del computer locale, ma se si utilizza l'opzione /s si possono gestire le operazioni di un computer remoto, specificandone il nome o l'indirizzo IP.

Il ripristino automatico di sistema (ASR - Automated System Recovery) si effettua sempre e solo con boot dal CD di Windows 2003, premendo F2 quando indicato nella fase iniziale dell'installazione. Il floppy ASR và inserito quando richiesto dalla procedura.


Riga di comando

Una brevissima descrizione delle principali utilità da riga di comando per Active Directory:
dsadd è utilizzato per aggiungere oggetti in Active Directory
dsrm è utilizzato per rimuovere oggetti Active Directory
dsget è utilizzato per visualizzare le proprietà specifiche di oggetti Active Directory
dsmod è utilizzato per modificare attributi specifici di oggetti Active Directory
dsmove è utilizzato per spostare o copiare oggetti Active Directory dal contenitore attuale in un nuova posizione
dsquery è utilizzato per interrogare Active Directory alla ricerca di oggetti che corrispondono a specifici criteri di ricerca


Cluster

Occhio alle domande che riguardano le definizioni dei cluster Windows.
I cluster di bilanciamento del carico di rete (Network Load Balancing o NLB) offrono disponibilità elevate per applicazioni e servizi basati su TCP e UDP tramite la combinazione di un massimo di 32 server in un singolo cluster. Utilizzando questa funzionalità è possibile migliorare la disponibilità dei server Web e FTP (File Transfer Protocol), server ISA (per server proxy e servizi di firewall), server VPN (Virtual Private Network), server Windows Media, Servizi terminal. Ad ogni server o nodo del cluster sono assegnati due indirizzi IP, uno unico e dedicato, l'altro comune, detto indirizzo di cluster. Gli utenti utilizzeranno quest'ultimo indirizzo per usufruire del servizio offerto dal cluster.

I cluster di server (Server Cluster) offrono disponibilità elevate per le applicazioni tramite failover delle risorse. Lo scopo principale dei cluster di server è quello di preservare l'accesso client ad applicazioni quali Exchange, SQL Server e ai servizi di gestione file e stampa. I cluster di server possono includere fino a otto nodi, e in tutti i nodi devono essere in esecuzione Windows Server 2003 Datacenter Edition o Windows Server 2003 Enterprise Edition (ma non entrambi).


Terminal Server e servizi terminal

Come impostazione predefinita, nelle workstation e nei server è consentito l'accesso tramite servizi terminal e tramite Desktop Remoto ai gruppi Administrators e Utenti desktop remoto. Se però il server è un controller di dominio, per impostazione predefinita solo il gruppo Administrators è autorizzato ad effettuare l'accesso tramite Servizi terminal. Pertanto, se si vuole dare l'accesso in Desktop remoto su un controller di dominio, bisognerà inserire l'account utente desiderato dentro il gruppo Utenti Desktop remoto (il gruppo locale al dominio, nel contenitore Builtin) e autorizzare quest'ultimo all'accesso tramite servizi terminal sui controller di dominio nella Group Policy relativa ai controller di dominio (Impostazioni Protezione, Criteri Locali, Assegnazione Diritti Utente, Consenti Accesso tramite servizi Terminal).

Il diritto di accedere ad una macchina in Desktop Remoto viene verificato dal sistema con i seguenti passaggi:
1) Desktop Remoto deve essere abilitato nel computer che si vuol controllare
2) All'utente deve essere assegnato il diritto di accedere al computer tramite Servizi Terminal (diritto concesso in maniera predefinita ai gruppi  Administrators e Utenti Desktop remoto su PC e Server, ai soli Administrators nei Domain Controller)
3) L'account dell'utente deve essere abilitato all'accesso tramite servizi terminal. Di default, l'opzione è attiva per tutti gli utenti di Active Directory; la si può disabilitare dal tab Terminal Services Profile utilizzando l'opzione voce "Nega a questo utente l'accesso a qualsiasi Server terminal"
4) L'utente deve essere membro di almeno uno dei due gruppi locali "Utenti Desktop Remoto" e "Administrators".


Dischi

Non convertire un disco base con installazioni multiple di Windows 2000, Windows XP Professional o Windows Server 2003 (es. configurazioni dual boot) in un disco dinamico, pena l'impossibilità di far partire il PC con qualsiasi sistema operativo.


Permessi NTFS e condivisione cartelle

Quando si crea un nuovo volume NTFS, i permessi predefiniti fanno si che il gruppo Administrators di quel server sia proprietario (Owner) del volume con controllo completo sulla root del volume stesso ((Allow - Full Control NTFS). Il gruppo Users locale ha invece il permesso predefinito di lettura, esecuzione e visualizzazione del contenuto delle cartelle; inoltre, grazie alle autorizzazioni speciali, può creare cartelle e file dentro tali cartelle. Anche il gruppo Everyone ha il permesso predefinito di lettura, esecuzione e visualizzazione del contenuto delle cartelle, ma non quello di creazione di file o cartelle.

Quando un utente crea una cartella, il suo account viene aggiunto automaticamente al gruppo Creator Owner per quella risorsa; a tale gruppo è assegnato il permesso "Allow - Full Control", grazie al quale è possibile eseguire tutte le operazioni consentite dai permessi NTFS. Se degli utenti hanno creato delle cartelle in una directory condivisa, e si vuole che solo l'amministratore abbia il controllo completo delle risorse relative a quella directory, sarà necessario rimuovere da essa il gruppo Creator Owner.

Se una cartella viene condivisa su un PC con sistema operativo client, come Windows XP, il massimo numero di connessioni simultanee è 10; ulteriori tentativi di accesso non sono consentiti. Per superare tale limite è necessario condividere la cartella su Windows Server.

Stampanti

In modo predefinito, appena si installa una nuova stampante, sono abilitate le opzione "Inizia a stampare immediatamente" e "Stampa prima i documenti nello spooler". Microsoft consiglia che l'opzione "Invia direttamente alla stampante" NON dovrebbe essere utilizzata per stampanti condivise.

Se avete dei documenti in coda che non vengono stampati, potete provare ad eliminarli dalla coda. Se l'operazione non è possibile, si può tentare un riavvio del servizio di spool. Se fosse necessario, stoppare il servizio "Spooler di stampa" (Spooler service), cancellare i file corrispondenti ai documenti in coda dalla cartella di spool (di default \Windows\System32\Spool\Printers), quindi riavviare il servizio.



Windows
server
(0 Votes)