Nelle scorse settimane ho effettuato alcuni test di compatibilità tra nuove macchine con installato il sistema Windows 8 professional e le configurazioni del nostro dominio.
Le ultime release dei sistemi Microsoft (Windows 7, Vista) in passato non avevano evidenziato particolari problematiche e mi aspettavo che anche questa volta sarebbe filato tutto liscio.
Purtroppo non è stato così….
Primo problema: le policy relative all’impostazione del proxy server non vengono applicate.
Come potete immaginare, non è un problema minore. L’utente abilitato alla navigazione secondo le credenziali di dominio non riesce ad andare su internet.
Ovviamente impostando manualmente i parametri di connessione del proxy si risolve temporaneamente il problema (fino al logon successivo..).
Leggendo un po’ di documentazione mi accorgo che le impostazioni di Internet Explorer 10 non possono più essere passate tramite GPO, ma solo tramite GPP.
Va bene, andiamo su uno dei controller di dominio ed effettuiamo l’impostazione, ma…..
Secondo problema: per effettuare le impostazioni bisogna utilizzare una macchina con i template (ADMX) aggiornati alla versione rilasciata con Windows 2012 Server o Windows 8.
Ecco infatti cosa succede a tentare di creare una GPP di connessione con uno dei nostri Windows 2008 Server R2 (aggiornato pochi mesi fa!):
Come si può notare manca del tutto l’opzione Internet Explorer 10 che è quella che servirebbe a noi.
Per procedere abbiamo 2 soluzioni:
- Aggiornare i template sui server seguendo le istruzioni riportate in questa pagina.
- Effettuare l’impostazione da una macchina Windows 8 con installato Microsoft RSAT.
Visto che effettuare installazioni (anche se non vitali) sui server in produzione durante l’orario di lavoro è un’opzione che mi inquieta abbastanza, avendo già sotto mano la macchina con Windows 8 (proprio quella del test) ho optato per la .2.
Installato RSAT è sufficiente loggarsi nel PC con un account che appartiene al gruppo Domain Admins e lanciare GPMC.msc.
Aprendo la Default Domain Policy, l’impostazione per Internet Explorer 10 questa volta appare tra le opzioni ed è possibile impostare tutti i parametri di connessione tra i quali quelli del proxy:
Dopo aver effettuato le impostazioni del caso, possiamo testarle con un semplice gpupdate /force (richiede logout).
Una volta riguadagnato l’accesso il proxy risulta correttamente configurato e si riesce a navigare in internet.
Ma passando alla schermata start….
Terzo problema, le APP non funzionano: messaggio “non connesso”.
Tutte le APP presenti concordano sul fatto che non siamo connessi ad internet e si rifiutano, contro ogni evidenza, di funzionare!
Googlando un po’ si nota che è un problema ben conosciuto. La stranezza principale è che le APP funzionano perfettamente con il proxy fino a quando si effettua il join al dominio, poi cessano totalmente di funzionare.
Questo fa pensare ad un vero e proprio BUG, ma Microsoft, dopo più di un anno dalle prime segnalazioni, si è guardata bene dal rilasciare una patch per risolverlo.
Probabilmente non ritiene (forse a ragione…) che si tratti di un sistema adatto ad un ambiente enterprise 🙂
O che in un ambiente enterprise la APP rappresentino solo una distrazione per i dipendenti 🙂
Scherzi a parte, provando varie soluzioni, l’unica che ha funzionato nel mio caso è l’impostazione di una chiave di registro. Più precisamente ho impostato il valore 0 nella seguente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet\EnableActiveProbing
ed il problema è scomparso.
La buona notizia è che non è necessario effettuare l’impostazione a mano su tutti i PC o distribuirla attraverso script di logon, ma è possibile inserire una GPP ad hoc come indicato nell’immagine seguente:
Qualcuno più attento noterà una piccola imprecisione: sono andato ad inserire una chiave relativa ad HKEY_LOCAL_MACHINE in una preferenza utente che tipicamente dovrebbe riguardare HKEY_CURRENT_USER, ma una volta caricata distribuita la policy non c’è differenza: tutto il registro è accessibile.
Non ho provato ad effettuare l’impostazione sulle preferenze del computer, ma credo funzioni ugualmente.
Concludendo
Mai un test di compatibilità di un sistema opetrativo è stato così doloroso. Un vero percorso ad ostacoli solo per riuscire a garantire le funzionalità di base agli utenti.
Se a questo aggiungiamo l’assurda interfaccia di sistema che richiederà un retraining per gli utenti anche solo per metterli in condizione di lavorare normalmente… mi viene da pensare che un deployment di questo sistema su rete aziendale sia quanto meno prematuro.
Al probelema dell’interfaccia si può ovviare subito grazie all’adozione di Classic Shell.
Oppure si può attendere che Microsoft effettui le modifiche che ha promesso a seguito della tiepida accoglienza riservata a questo sistema (nome in codice BLUE).
Fabrizio Vettore