Accesso a Domain Controller senza rete WAN

[Fabrizio Resilli]

Buongiorno a tutti,
non sono un sistemista, ma sono costretto a fare lavori da sistemista (su questa storia strappalacrime potete vedere la mia presentazione su questo forum.

Ieri, per problemi con il provider dovuti a lavori, siamo stati "off" per almeno un paio di ore.
Inoltre, gli utenti nella rete locale, non riuscivano a contattare il DC, per potere eventualmente lavorare su file presenti nelle cartelle condivise o stampare.

Il diagramma della infrastruttura, molto raffazzonato e semplificato e con la problematica è questo qui sotto:


Ora, per quello che mi è parso di capire dello stack OSI, i PC a dominio in questa condizione lavorano al livello 2. Ma non è possibile, in questo caso, poter lavorare comunque? Avere un DC raggiungibile anche nel caso non ci sia rete WAN al layer 3? Non tanto per usare i servizi di AD di autenticazione, poiché gli utenti riescono comunque a fare accesso con le credenziali cachate, poi pazienza se non pinga AD e non capisce che le credenziali siano, eventualmente, scadute, ma per gli altri servizi?

Per quanto riguarda le stampanti posso capire, sono state aggiunte come dispositivi TCP/IP..., ma non si possono comunque raggiungere le cartelle di rete? Visto che sopra abbiamo dei file da modificare e il catalogo bibliotecario...

Eventualmente, è possibile una configurazione del genere?

Chiedo scusa per la domanda da fantascienza informatica...

 

[r3dl4nce]

Ora, per quello che mi è parso di capire dello stack OSI, i PC a dominio in questa condizione lavorano al livello 2.

No. Active directory lavora a L3. Si basa principalmente su DNS e LDAP.

Ma non è possibile, in questo caso, poter lavorare comunque? Avere un DC raggiungibile anche nel caso non ci sia rete WAN al layer 3?

Cos'è la "WAN al layer 3"?

Io credo che tu abbia un po' di confusione con lo stack ISO/OSI per cui o ti fai un bel ripassino del Tanenbaum o lascia stare :) (ironico!)


Intanto, il dominio che usa è su Microsoft Azure o un dominio locale su Windows server interno? Se è la prima, allora hai necessità di internet per i servizi di dominio, se invece hano dominio AD interno, basta che i client abbiano impostato come unico server DNS l'IP del server di dominio (messo statico o dal dhcp server) e in questo modo possono raggiungere il server di dominio, autenticarsi, usare le share, ecc

 

[Fabrizio Resilli]

No. Active directory lavora a L3. Si basa principalmente su DNS e LDAP.



Cos'è la "WAN al layer 3"?

Io credo che tu abbia un po' di confusione con lo stack ISO/OSI per cui o ti fai un bel ripassino del Tanenbaum o lascia stare :) (ironico!)


Intanto, il dominio che usa è su Microsoft Azure o un dominio locale su Windows server interno? Se è la prima, allora hai necessità di internet per i servizi di dominio, se invece hano dominio AD interno, basta che i client abbiano impostato come unico server DNS l'IP del server di dominio (messo statico o dal dhcp server) e in questo modo possono raggiungere il server di dominio, autenticarsi, usare le share, ecc

Ciao, la tiratina di orecchie me la merito eccome! Non ti preoccupare :P

Per "WAN layer 3" intendevo rozzamente il fatto che i PC andassero in internet con gli IP, ma ho usato la terminologia sbagliata.

Allora, l'infrastruttura è tutta on-prem, non è ibrida e neanche lontanamente in cloud.
Quindi, impostando nella scheda di rete il DNS primario con l'IP del DC, posso usare i servizi anche in assenza di connettività? Questo vale sia per PC in cablato che per wireless? E per le stampanti? Immagino di no...

Grazie davvero!

 

[r3dl4nce]

Per "WAN layer 3" intendevo rozzamente il fatto che i PC andassero in internet con gli IP, ma ho usato la terminologia sbagliata.

Layer 1 = livello fisico, il mezzo trasmissivo effettivo
Layer 2 = livello MAC address delle interfacce di rete
Layer 3 = livello a cui si gestisce il protocollo di trasporto più diffuso ovvero IP esteso poi con vari altri protocolli (TCP, UDP, ICMP, ecc)
Layer 4...7 = layer superiori applicativi

Sia l'IP che il nome di dominio (DNS) operano a L3, semplicemente i nomi di dominio tramite un server DNS vneogono risolti in IP

Nel caso di active directory, è necessario che il server DNS sia almeno un server DC del dominio perché nei record DNS del dominio nel type SRV ci sono informazioni che i client davono ricevere per contattare poi il server LDAP (sempre sul DC) che hai i gli elenchi necessari (elenco utenti, elento macchine, ecc ecc)


Puoi verificare se il servizio DNS del DC sta funzionando correttamente e i client lo trovano facendo così, da un client sul prompt dei comandi scrivi:
NSLOOKUP
SET TYPE=SRV
_ldap._tcp.dc._msdcs.DOMAIN-NAME

sostituisci DOMAIN-NAME con il nome completo del dns del tuo dominio esempio _ldap._tcp.dc._msdcs.pippo.local

Se il DNS risponde e ti riporta gli indirizzi e le porte LDAP dei DC del dominio, allora il client contatta regolarmente il server DNS del DC.

Quindi, impostando nella scheda di rete il DNS primario con l'IP del DC,

Io ti direi di non imposare a mano, fai fare tutto al server DHCP, tra le opzioni che il DHCP server passa ai client ci sono anche gli IP dei server DNS, ci metti l'IP del DC o di più DC se li hai ridondanti

posso usare i servizi anche in assenza di connettività? Questo vale sia per PC in cablato che per wireless? E per le stampanti? Immagino di no...

Questo vale per tutto ciò che è sulla rete interna (cablato, wireless, non cambia nulla se non il mezzo trasmissivo), la rete internet non ha nulla a che fare con la rete interna

 

[Fabrizio Resilli]

Sì, ti confermo che il DNS è sul DC, è solo ridondato su un secondo server, ma quello sui cui si autenticano ha un DNS.

Ti ringrazio per le info, sei stato chiarissimo.

Non ho solo capito per il DHCP. Mi è capitato di lavorarci solo per fare delle reservation per gli apparati che ha senso avere fissi (stampanti, AP, ecc) e l'ho usato per segmentare la guest. Non ho capito come dovrei utilizzarlo per impostare il DNS sui vari client...

 

[r3dl4nce]

Sì, ti confermo che il DNS è sul DC, è solo ridondato su un secondo server, ma quello sui cui si autenticano ha un DNS.

Cosa intendi? Se hai due DC, entrambi hanno il servizio DNS e inoltre la replication tra i due deve funzionare.

Non ho solo capito per il DHCP. Mi è capitato di lavorarci solo per fare delle reservation per gli apparati che ha senso avere fissi (stampanti, AP, ecc) e l'ho usato per segmentare la guest. Non ho capito come dovrei utilizzarlo per impostare il DNS sui vari client...

Chi è nella rete che fa server DHCP? Un Windows Server o un apparato tipo router/firewall?
In ogni caso, sul server DHCP hai le varie informazioni che il server DHCP passa al client che fa richiesta al DHCP. Quindi oltre all'indirizzo IP assegnato al cliente con relative subnet, viene passato l'IP del router, gli IP dei server DNS, IP di server NTP, ecc ecc, ci sono tante opzioni.
Ecco, te al server DHCP devi impostare che come opzione al client passi che l'IP del DNS è gli IP dei DC, o più IP se hai più DC replicati

 

[Fabrizio Resilli]

Cosa intendi? Se hai due DC, entrambi hanno il servizio DNS e inoltre la replication tra i due deve funzionare.



Chi è nella rete che fa server DHCP? Un Windows Server o un apparato tipo router/firewall?
In ogni caso, sul server DHCP hai le varie informazioni che il server DHCP passa al client che fa richiesta al DHCP. Quindi oltre all'indirizzo IP assegnato al cliente con relative subnet, viene passato l'IP del router, gli IP dei server DNS, IP di server NTP, ecc ecc, ci sono tante opzioni.
Ecco, te al server DHCP devi impostare che come opzione al client passi che l'IP del DNS è gli IP dei DC, o più IP se hai più DC replicati

Mi sono di nuovo espresso male. C'è un altro DC replicato per ridondanza, intendevo dire che non sono zone DNS differenti, ma sono uno la replica dell'altro.

Il DHCP viene fatto dal Windows Server, rilascia gli IP e lì posso gestire scope e reservation e vedere gli IP che si sono collegati.
Adesso vedo se trovo una guida per l'ultima cosa che hai detto. Questa guida potrebbe andare bene:

?

 

[r3dl4nce]

Mi sono di nuovo espresso male. C'è un altro DC replicato per ridondanza, intendevo dire che non sono zone DNS differenti, ma sono uno la replica dell'altro.

Certo che sono le stesse zone, sono DC dello stesso dominio, è bene che siano replicati.
Quindi hai due DC.
La replica funziona regolarmente?

Da entrambi i DC esegui il comando

repadmin /replsummary

posta screenshot del risultato, comunque deve risultare che non ci siano errori nella replica


Quindi entrambi comunque hanno ruolo DC, quindi entrambi possono funzionare da DNS server

Nel server in cui hai il DHCP server, vai sulle impostazioni del DHCP server e trovi le impostazioni qua:



sull'ambito, non so se ne hai più d'uno, trovi opzioni ambito, con il destro - configura puoi impostarle, come le ho impostate io sono corrette, con opzione 3 router ovvero ip del gateway, opzione 6 ovvero gli ip dei server DC di dominio, opzione 15 nome del dominio e se vuoi anche opzioni 4 che è l'ip del server NTP sempre un server di dominio dato che windows server sui DC attiva nache il server NTP necessario per tenere sincronizzato orario tra server e clients

 

[Fabrizio Resilli]

Certo che sono le stesse zone, sono DC dello stesso dominio, è bene che siano replicati.
Quindi hai due DC.
La replica funziona regolarmente?

Da entrambi i DC esegui il comando

repadmin /replsummary

posta screenshot del risultato, comunque deve risultare che non ci siano errori nella replica


Quindi entrambi comunque hanno ruolo DC, quindi entrambi possono funzionare da DNS server

Nel server in cui hai il DHCP server, vai sulle impostazioni del DHCP server e trovi le impostazioni qua:

Visualizza allegato 480832

sull'ambito, non so se ne hai più d'uno, trovi opzioni ambito, con il destro - configura puoi impostarle, come le ho impostate io sono corrette, con opzione 3 router ovvero ip del gateway, opzione 6 ovvero gli ip dei server DC di dominio, opzione 15 nome del dominio e se vuoi anche opzioni 4 che è l'ip del server NTP sempre un server di dominio dato che windows server sui DC attiva nache il server NTP necessario per tenere sincronizzato orario tra server e clients

Volevo semplicemente dire che non hanno record diversi, ma sono lo stesso ridondato. Non saprei come esprimermi...

Al momento non riesco ad eseguirlo, ma lo avevo lanciato di recente, anche perché sto valutando un demote del DC di replica, che è un "cesso", se mi è permesso il francesismo...

Chiarissimo quello che hai detto, quelle impostazioni non le avevo neanche mai toccate in vita mia ad essere sincero, c'è caso che ci sia già impostato l'IP del DC. Eventualmente compare anche nel campo DNS facendo un ipconfig /all, vero? Quello posso lanciarlo sul mio latpop

 

[r3dl4nce]

Volevo semplicemente dire che non hanno record diversi, ma sono lo stesso ridondato. Non saprei come esprimermi...

Quando puoi fai repadmin /showrepl e mostrami l'output così ti do conferma sulla replica

Al momento non riesco ad eseguirlo, ma lo avevo lanciato di recente, anche perché sto valutando un demote del DC di replica, che è un "cesso", se mi è permesso il francesismo...

Se fa solo DC secondario di replica, anche se non è un granché ci può stare, spesso il dominio si incasina e se hai un DC secondario da cui recuperare, è sempre meglio

Eventualmente compare anche nel campo DNS facendo un ipconfig /all, vero? Quello posso lanciarlo sul mio latpop

con ipconfig /all vedi che IP hai assegnati nel DNS dal dhcp, dovrebbero essere gli IP dei due server DC

 

[Fabrizio Resilli]

Quando puoi fai repadmin /showrepl e mostrami l'output così ti do conferma sulla replica




Se fa solo DC secondario di replica, anche se non è un granché ci può stare, spesso il dominio si incasina e se hai un DC secondario da cui recuperare, è sempre meglio


con ipconfig /all vedi che IP hai assegnati nel DNS dal dhcp, dovrebbero essere gli IP dei due server DC

C'è un modo per verificare gli errori di replica con degli alert? Magari un task schedulato che esegua il comando ogni tot e avvisi nel caso ci siano degli errori? Qui nell'infrastruttura si voleva implementare un Nagios, ma non so se abbia questa feature. Mentre Veeam ha gli alert via mail, ma immagino che per le repliche dei DC sia un sogno...

Allora, in output sul mio laptop mi dà due indirizzi IPV6, immagino perché non sono in rete e non mi giro l'IP del DNS corretto.

Però, se così fosse, non capisco perché ieri non riuscissi a fare RDP sul DC e a collegarmi alle share di rete...

 

[r3dl4nce]

C'è un modo per verificare gli errori di replica con degli alert? Magari un task schedulato che esegua il comando ogni tot e avvisi nel caso ci siano degli errori? Qui nell'infrastruttura si voleva implementare un Nagios, ma non so se abbia questa feature. Mentre Veeam ha gli alert via mail, ma immagino che per le repliche dei DC sia un sogno...

Gli errori di replica vanno nell'event log di windows con ID 4935 mi pare, quindi se usate un tool che analizza l'event log di windows (quello che si vede nel visualizzatore eventi per capirsi) potete avere alert sugli errori di replica FRS / DFSR.

Allora, in output sul mio laptop mi dà due indirizzi IPV6, immagino perché non sono in rete e non mi giro l'IP del DNS corretto.

La rete interna è su IPv6? sicuro? Siccome mi sembra strano, guarda gli IPv4, non gli IPv6

 

[Fabrizio Resilli]

Gli errori di replica vanno nell'event log di windows con ID 4935 mi pare, quindi se usate un tool che analizza l'event log di windows (quello che si vede nel visualizzatore eventi per capirsi) potete avere alert sugli errori di replica FRS / DFSR.




La rete interna è su IPv6? sicuro? Siccome mi sembra strano, guarda gli IPv4, non gli IPv6

Mi sembra un ottimo metodo impostare gli alert così.

Ho fatto fare una prova ad un utente presente in biblioteca, ti confermo che prende gli IP dei due DC.

Adesso devo capire perché ieri non andasse

 

[r3dl4nce]

Ho fatto fare una prova ad un utente presente in biblioteca, ti confermo che prende gli IP dei due DC.

Chi ha impostato il server DHCP (mi sembra di capire hce non l'hai impostato te?) ha fatto i llavoro giusto!

Non vedo motivi per cui i PC non dovrebbero contattare il DC in caso di interruzione internet

 

[Fabrizio Resilli]

Chi ha impostato il server DHCP (mi sembra di capire hce non l'hai impostato te?) ha fatto i llavoro giusto!

Non vedo motivi per cui i PC non dovrebbero contattare il DC in caso di interruzione internet

Sìsì, l'intera infrastruttura è opera del (vero) sistemista che lavora prima qui

Ieri allora devo indagare per quale motivo stampanti, etc. non andassero... Le share di rete in Esplora Risorse avevano proprio la X rossa e non erano raggiungibili

Durante i prossimi giorni, complici le ferie, devo riavviare gli apparati. Magari li spengo proprio e vedo se a questo giro riesco...