Dominio di rete con Windows 2008 Server R2 - Problema

[Federico83]

prova a leggere qui https://support.microsoft.com/kb/903267/it
qui https://social.technet.microsoft.co...ra-rete-nonostante-wins?forum=windowsserverit

e vedi se risolvi

 

[Conner_TN]

:grat: non ho più idee. Prova ad impostare un IP statico ad un paio di macchine problematiche.

 

[c0mrade]

Ciao,
concordando con quanto già detto ed espresso dagli altri nei post sopra, la domanda relativa all'indirizzo IP 169.254.207.65, che mi sorge spontanea è "Quante schede di rete hanno i due Domain Controller"? Io finora tutti i server che ho configurato avevano sempre due schede di rete minimo, e nelle proprietà del Ruolo DNS ho sempre avuto due interfacce configurate come vedo negli screenshot allegati:

1. La prima configurata con l'IP statico assegnato
2. La seconda, cioè quella non collegata fisicamente alla rete, con assegnato l'IP relativo al servizio ZeroConf (per i dettagli di questo servizio ti hanno già indicato il link su wikipedia che è ben documentato )

Anche controllando sui server qua in azienda ho la medesima situazione, quindi tranquillo che non è un'anomalia "tecnica".

Per quanto riguarda l'elenco dei PC, se i computer riesci a sfogliarli (quindi ad aprire le eventuali condivisioni attive), con il comando \\nome-computer\condivisione da Esegui, allora vuol dire che i servizi DHCP e DNS funzionano senza problemi e fanno il loro lavoro.

Ricorda che quella funzione che tu segnali, cioè l'elenco dei PC visibili in rete, sui client Windows 7 è regolata dalle impostazioni del Servizio "Individuazione di Rete", che è un'opzione che deve essere abilitata nel Pannello di Controllo nelle Impostazioni Avanzate di Condivisione e che è incaricata di fare l'autodiscovery dei client in rete. (il percorso è : start - pannello di controllo - Centro connessioni di rete - Impostazioni Avanzate di condivisione).

Ciauz

 

[neruda]

I server hanno 3 schede di rete...2 sono disabilitate ed una abilitata con gli indirizzi IP statici giusti per il mio domain.
Il servizio di individuazione di rete è abilitato per ciascun pc windows 7.

Leggendo in giro ho scovato che potrebbe essere un problema relativo al servizio Master Browser. Con un'utility particolare ho "visionato" tutta la rete e ho trovato che il Master Browser è un computer X (client con s.o. Windows 7). Non dovrebbe essere invece il domain controller (uno dei miei due DC)? Ho letto che "può accadere" che un pc può eleggersi "involontariamente" a tale ruolo.
E' forse questo il problema?

 

[c0mrade]

I server hanno 3 schede di rete...2 sono disabilitate ed una abilitata con gli indirizzi IP statici giusti per il mio domain.
Il servizio di individuazione di rete è abilitato per ciascun pc windows 7.

Leggendo in giro ho scovato che potrebbe essere un problema relativo al servizio Master Browser. Con un'utility particolare ho "visionato" tutta la rete e ho trovato che il Master Browser è un computer X (client con s.o. Windows 7). Non dovrebbe essere invece il domain controller (uno dei miei due DC)? Ho letto che "può accadere" che un pc può eleggersi "involontariamente" a tale ruolo.
E' forse questo il problema?

Penso proprio di sì neruda. Direi che a questo punto è molto probabile che il problema sia imputabile a questo "servizio" (se così lo si può chiamare vista la sua utilità).

Da sistemista ti direi di prendere la palla al balzo, provando a sistemare forzatamente la cosa da remoto tramite policies. Prova ad impostare tramite GPO, lavorando a livello di criterio macchina (quindi non utente), la chiave di registro per disattivare forzatamente il servizio "master browser" sui client.

La chiave da "forzare" va creata nel percorso: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters
dove devi creare un valore stringa denominato IsDomainMaster che deve avere come valore FALSE.

Prova ad assegnare la policy alla UO e ad aspettare fiche i client non fannoil refresh delle GPO e vedi se il problema si risolve.

Facci sapere appena hai news. Ciauz

 

[neruda]

Intanto grazie per la collaborazione. Appena lo faccio vi aggiorno. Purtroppo ho ereditato il "ruolo" da sistemista, visto che in in realtà sono un Oracle DB Administrator quindi tutt'altra cosa e tanti altri compiti e responsabilità. Grazie ancora....

 

[c0mrade]

Intanto grazie per la collaborazione. Appena lo faccio vi aggiorno. Purtroppo ho ereditato il "ruolo" da sistemista, visto che in in realtà sono un Oracle DB Administrator quindi tutt'altra cosa e tanti altri compiti e responsabilità. Grazie ancora....

Ok. Facci sapere come va. Purtroppo anche Microsoft è ambigua sul comportamento di questo servizio, quindi non mi stupirei se il problema della priorità del servizio master browser sia la causa del problema che hai riscontrato.

Ciauz

 

[neruda]

Penso proprio di sì neruda. Direi che a questo punto è molto probabile che il problema sia imputabile a questo "servizio" (se così lo si può chiamare vista la sua utilità).

Da sistemista ti direi di prendere la palla al balzo, provando a sistemare forzatamente la cosa da remoto tramite policies. Prova ad impostare tramite GPO, lavorando a livello di criterio macchina (quindi non utente), la chiave di registro per disattivare forzatamente il servizio "master browser" sui client.

La chiave da "forzare" va creata nel percorso: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters
dove devi creare un valore stringa denominato IsDomainMaster che deve avere come valore FALSE.

Prova ad assegnare la policy alla UO e ad aspettare fiche i client non fannoil refresh delle GPO e vedi se il problema si risolve.

Facci sapere appena hai news. Ciauz

Se non erro devo usare lo snap-in "Gestione criteri di gruppo" vero? E poi?

 

[c0mrade]

Se non erro devo usare lo snap-in "Gestione criteri di gruppo" vero? E poi?

Ciao,
start - esegui - gpedit.msc. All'interno della console MMC Gestione Criteri di Gruppo, crea un template a cui andrai ad associare le relative policies. Per creare un nuovo template, prova a seguire questa breve guida in italiano che trovi a QUESTO LINK

Tu ovviamente andrai a creare l'impostazione nel percorso seguente: COMPUTER CONFIGURATION - WINDOWS SETTINGS - REGISTRY in modo che la policy sia associata e quindi forzata a livello di configurazione computer (invece che utente)

L'unico consiglio che ti do, è che se nella console MMC di Active Directory i computer sono dislocati su Unità Organizzative diverse, sarebbe più corretto e pulito creare un nuovo template (quindi non di editare il template Default Domain Policy come visibile negli screenshot della guida) che poi andremmo a linkare (ed eventualmente forzare) su tutte le UO coinvolte dal problema.

Se riscontri altre difficoltà, o incongruenze con il tuo ambiente di produzione fammi sapere.

Ciauz

 

[neruda]

Ciao,
.............................

Se riscontri altre difficoltà, o incongruenze con il tuo ambiente di produzione fammi sapere.

Ciauz

Ciao. Grazie per la tua risposta. Allora nello snap-in io trovo solamente le seguenti voci (Configurazione computer):
- Criteri risoluzione nomi
- Script (avvio/arresto)
- Impostazioni di sicurezza
- QoS basata su criteri

Purtroppo nessuna traccia di "Registro"

 

[c0mrade]

Sorry, START - ESEGUI - GPMC.MSC; oppure Start - Strumenti di Amministrazione - Gestione Criteri di Gruppo

 

[neruda]

Sorry, START - ESEGUI - GPMC.MSC; oppure Start - Strumenti di Amministrazione - Gestione Criteri di Gruppo

Allora...in Gestione Criteri di gruppo scelgo il nodo relativo al mio dominio di rete e poi "Crea criterio di gruppo in questo dominio". Gli assegno un nome. Poi vado con l'Editor Gestione Criteri di Gruppo.



Scelgo "Nuovo Elemento Registro di Sistema".

Azione = CREA

Imposto i seguenti parametri come scritto al post #20



Quindi Applica. I miei pc non sono suddivisi per UO, ma lo sono solamente gli utenti. Pertanto quando i pc vengono riavviati e gli utenti si riloggano dovrebbero trovare questa modifica nel loro registro di sistema, vero?

Domanda...visto che anche i Domain Controller vengono interessati da questa modifica come faccio ad impostare uno od entrambi a Master Browser? Vedo che sotto Gestione Criteri di Gruppo c'è anche il nodo "Domain Controllers". Presumo che devo applicare la stessa modifica ma la chiave deve avere il valore TRUE.
Attendo conferma...
Grazie

 

[Conner_TN]

Hai risolto?

 

[neruda]

Hai risolto?

Non ancora. Prima di operare attendo la risposta alla domanda che ho posto al messaggio #27

 

[c0mrade]

Non ancora. Prima di operare attendo la risposta alla domanda che ho posto al messaggio #27

Per ottenere l'effetto contrario basta solo che la stringa nel registro denominata IsDomainMaster sia impostata a TRUE. Ovviamente, questa policy dovrà essere un template diverso da quello precedente, ed applicato solo ai Domain Controller (es. domain controller policy) altrimenti andrà in contrasto con il template che hai appena creato (annullando di fatto la policy creata).

Il mio consiglio, se fosse per te possibile è di creare oppure utilizzare una U.O. per separare i PC dai DC, e magari aiutarti a non far confusione in futuro se dovrai modifica le GPO ancora.

P.S. >> Guardando meglio la foto allegata mi sono accorto di un'imprecisione. L'azione associata alla chiave di registro, deve essere settata su SOSTITUISCI e non su CREA. Così facendo verrà applicata ad ogni riavvio indistintamente, andando a sostituire la chiave esistente / matchata. (in pratica con CREA se la chiave esiste già non viene verificata ed il sistema passa oltre, con SOSTITUISCI invece la chiave viene ri-applicata ad ogni riavvio andando a sostituire il valore settato se presente)