Discussione:
2 DC.... ma funzionano veramente?!
(troppo vecchio per rispondere)
Solli
2005-02-12 13:53:33 UTC
Permalink
salve,

la mia rete è configurata con 2 DC

1) sul primo cè DNS, AD, exchange;
2) sul secondo cè DNS, AD, sqlserver;

i DNS si aggiornano, idem per AD ma la cosa strana è che se spengo il PRIMO,
il secondo NON funziona come drovrebbe nel senso che un nuovo utente che si
logga ad un PC x la prima volta riceve il messaggio: "dominio MIODOMINIO non
trovato";

sicuramente cè qualcosa che NON va, altrimenti che senso ha avere 2 DC se
poi di fatto al "cadere" di uno l'altro non si comporta come dovrebbe?!?!

qualcuno mi sa aiutare a capirne il motivo ed eventualmente indicarmi dove
sbaglio?


grazie
Andrea Gallazzi [MVP]
2005-02-12 14:07:15 UTC
Permalink
Post by Solli
qualcuno mi sa aiutare a capirne il motivo ed eventualmente indicarmi
dove sbaglio?
Innanzitutto devi verificare negli eventi che si replichino correttamente.
Se la zona DNS è AD integrata e, come dici tu, non si replica...
probabilmente i due DC non si replicano correttamente.
Nei server DNS dovrebbe esserci la zona _msdcs.
Inoltre dovresti impostare sui client entrambi i DNS server come primario e
secondario.
Verifica dagli eventi dei client se fa l'autenrollment all'avvio.

Non mi è chiaro dove hai questo problema.
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Solli
2005-02-12 14:41:43 UTC
Permalink
[cut]
Post by Andrea Gallazzi [MVP]
Innanzitutto devi verificare negli eventi che si replichino correttamente.
[cut]
si, si replicano, solamente a volte mi da un errore di sincronizzazione, ma
di fatto i dati si sincronizzano: ho verificato;

[cut]
Post by Andrea Gallazzi [MVP]
Se la zona DNS è AD integrata e, come dici tu, non si replica...
probabilmente i due DC non si replicano correttamente.
[cut]
gia... stiamo discutendo proprio su questo;

[cut]
Post by Andrea Gallazzi [MVP]
Inoltre dovresti impostare sui client entrambi i DNS server come primario
e secondario.
[cut]
si, tutto apposto;

[cut]
Post by Andrea Gallazzi [MVP]
Verifica dagli eventi dei client se fa l'autenrollment all'avvio.
[cut]
come faccio a verificare questa cosa?
cosè?
Andrea Gallazzi [MVP]
2005-02-12 14:56:42 UTC
Permalink
Post by Solli
come faccio a verificare questa cosa?
cosè?
Eventi sul client. All'avvio fa l'enrollment delle policy.
Ciao!
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Edoardo Benussi [MVP]
2005-02-12 17:59:32 UTC
Permalink
Solli <***@tiscali.it> ha scritto nel messaggio
***@TK2MSFTNGP12.phx.gbl:
[cut]
Post by Solli
come faccio a verificare questa cosa?
cosè?
credo che Andrea intenda l'evento 1202
con origine Scecli nella sezione applications
del registro eventi.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
http://italy.mvps.org
Solli
2005-02-14 06:52:25 UTC
Permalink
ho controllato l'evento SCECLI, ma da me è 1074 e l'esito è positivo,
insomma i criteri di gruppo vengono applicati....

e ora che fare?!?!


grazie
Edoardo Benussi [MVP]
2005-02-14 08:07:04 UTC
Permalink
Post by Solli
ho controllato l'evento SCECLI, ma da me è 1074 e l'esito è positivo,
insomma i criteri di gruppo vengono applicati....
scecli 1704, confermo.
dai il tempo alle persone di pensare.
ciao.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
http://italy.mvps.org
Andrea Gallazzi [MVP]
2005-02-14 08:25:21 UTC
Permalink
Post by Solli
e ora che fare?!?!
Post by Andrea Gallazzi [MVP]
Nei server DNS dovrebbe esserci la zona _msdcs.
Inoltre fai una query sui due dns dai client di questo tipo:

nslookup
set q=srv
_ldap._tcp.dc._msdcs.Active_Directory_domain_name DNS1
_ldap._tcp.dc._msdcs.Active_Directory_domain_name DNS2

Dove Active_Directory_domain_name è il FQDN del tuo dominio.
DNS1 e DNS2 sono i due DC o DNS.

Verifica che i risultati (se ci sono) siano corretti.

Riferimento:
http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/Default.asp?url=/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/sag_DNS_tro_VerifyDomainSrvLocRRs.asp
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Solli
2005-02-14 09:06:46 UTC
Permalink
[cut]
Nei server DNS dovrebbe esserci la zona _msdcs.
[cut]
si, la zona cè e navigando nelle sottocartelle noto che ci sono entrambi i
miei server;
solo nella sottocartella "pdc" compare UNO dei 2 server, guarda caso quello
che quando viene spento causa la NON autenticazione dei clients;


[cut]
Post by Andrea Gallazzi [MVP]
nslookup
set q=srv
_ldap._tcp.dc._msdcs.Active_Directory_domain_name DNS1
_ldap._tcp.dc._msdcs.Active_Directory_domain_name DNS2
Dove Active_Directory_domain_name è il FQDN del tuo dominio.
DNS1 e DNS2 sono i due DC o DNS.
Verifica che i risultati (se ci sono) siano corretti.
[cut]
si, perfetto.... i dati ci sono e sono corretti



ora che dite?
quale potrebbe essere il problema, quello segnalato nel primo paragrafo?


?!?!?
Andrea Gallazzi [MVP]
2005-02-14 09:41:54 UTC
Permalink
Post by Solli
solo nella sottocartella "pdc" compare UNO dei 2 server, guarda caso
quello che quando viene spento causa la NON autenticazione dei
clients;
E' giusto, solo uno dei due è il PDC emulator.
Non hai macchine NT4, vero?
Hai incrementato il domain level (e il forest level)?

Ho sbagliato a chiederti dove guardare nel DNS, non il PDC, ma i DC.
Comunque nella query avresti dovuto vedere entrambi... giusto?
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Solli
2005-02-14 09:52:32 UTC
Permalink
i server sono win2k, i client tutti winXP e win2k
nella query c'erano entrambi, si;

incrementato il domain level? forest level?
cosa sono, a cosa servono?
mai toccati
Andrea Gallazzi [MVP]
2005-02-14 10:28:42 UTC
Permalink
Post by Solli
incrementato il domain level? forest level?
cosa sono, a cosa servono?
http://support.microsoft.com/default.aspx?scid=kb;en-us;322692
Dimmi in che stato si trovavano.
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Solli
2005-02-14 15:03:14 UTC
Permalink
sinceramente NON ci ho capito molto, ma posso dirti che la mia rete è
formata da SOLI win2k server, sp4;

volevi sapere questo ?
Andrea Gallazzi [MVP]
2005-02-15 08:47:32 UTC
Permalink
Post by Solli
sinceramente NON ci ho capito molto, ma posso dirti che la mia rete è
formata da SOLI win2k server, sp4;
Questi sono più semplici, considera bene prima di elevare, non si torna
indietro:
http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/Default.asp?url=/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/sag_changedomlevel.asp

http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/Default.asp?url=/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/sag_changeforestlevel.asp
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Roberto Bisceglia
2005-02-15 16:47:38 UTC
Permalink
Il Tue, 15 Feb 2005 09:47:32 +0100, "Andrea Gallazzi [MVP]"
Post by Andrea Gallazzi [MVP]
Post by Solli
sinceramente NON ci ho capito molto, ma posso dirti che la mia rete è
formata da SOLI win2k server, sp4;
Questi sono più semplici, considera bene prima di elevare, non si torna
http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/Default.asp?url=/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/sag_changedomlevel.asp
http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/Default.asp?url=/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/sag_changeforestlevel.asp
posso inserirmi per una domanda ?

Il dominio misto è necessario solo se si hanno dei server NT4 ? Almeno
così ho capito.

Se i server sono 2 W2000 e 1 W2003, tutti con repliche attive, i
client XP pro, W2000 pro, W2003 srv membro e NT4 workstation, quale
livello è consigliabile ? Misto, W2000 nativo o W2003 ? Io sarei per
quest'ultimo. Ma gradirei conferma.

PS: i srv W2000 saranno upgradati questa estate, per ora tirano la
carretta benissimo ed essendo una scuola non posso permettermi
problemi.

Grazie.

R.B.


**************************************************************
* Prof. Roberto Bisceglia *
* http://www.itchiavari.org *
**************************************************************
Andrea Gallazzi [MVP]
2005-02-15 18:04:34 UTC
Permalink
Post by Roberto Bisceglia
posso inserirmi per una domanda ?
Ma naturalmente.
Post by Roberto Bisceglia
Il dominio misto è necessario solo se si hanno dei server NT4 ? Almeno
così ho capito.
Semplicisticamente sì, ma ci possono essere vecchie applicazioni che fanno
query LDAP oppure autenticazioni "vecchio stile" o disapprovate dagli
standard di sicurezza superiori che potrebbero risentirne.

Ci sono ovviamente dei pro a fare un passaggio superiore, non solo di
sicurezza ma anche di prestazioni.
Post by Roberto Bisceglia
Se i server sono 2 W2000 e 1 W2003, tutti con repliche attive, i
client XP pro, W2000 pro, W2003 srv membro e NT4 workstation, quale
livello è consigliabile ? Misto, W2000 nativo o W2003 ? Io sarei per
quest'ultimo. Ma gradirei conferma.
Non hai specificato quali siano i controller, se è il solo 2003 direi che
hai ragione.
Altrimenti devi limitarti a nativo per entrambi (dominio e foresta).
Problemi non ne ho trovati, ma ti consiglio di aprire un nuovo thread per
raccogliere eventuali esperienze di chi invece ne ha avuti.
Ovviamente tutte le macchine devono essere aggiornate ai recenti service
pack.
Post by Roberto Bisceglia
PS: i srv W2000 saranno upgradati questa estate, per ora tirano la
carretta benissimo ed essendo una scuola non posso permettermi
problemi.
L'importante è che abbiano SP4 o almeno SP3.
Post by Roberto Bisceglia
Grazie.
Di nulla, figurati.
Ciao.
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Alessandro Borille [MVP]
2005-02-15 18:15:56 UTC
Permalink
On Tue, 15 Feb 2005 17:47:38 +0100, Roberto Bisceglia
Post by Roberto Bisceglia
posso inserirmi per una domanda ?
Il dominio misto è necessario solo se si hanno dei server NT4 ? Almeno
così ho capito.
Solo se si hanno *domain controller* NT4.
--
Alessandro Borille
Microsoft MVP - Windows Server
http://www.almait.it
Roberto Bisceglia
2005-02-15 20:34:05 UTC
Permalink
Il Tue, 15 Feb 2005 19:15:56 +0100, "Alessandro Borille [MVP]"
Post by Alessandro Borille [MVP]
On Tue, 15 Feb 2005 17:47:38 +0100, Roberto Bisceglia
Post by Roberto Bisceglia
posso inserirmi per una domanda ?
Il dominio misto è necessario solo se si hanno dei server NT4 ? Almeno
così ho capito.
Solo se si hanno *domain controller* NT4.
sì, era un lapsus. Intendevo DC e non server membri.

Grazie.

R.B.

**************************************************************
* Prof. Roberto Bisceglia *
* http://www.itchiavari.org *
**************************************************************
Solli
2005-02-15 18:37:27 UTC
Permalink
ok grazie molte, ma esattamente a cosa serve questa operazione?

grazie
Solli
2005-02-15 18:42:41 UTC
Permalink
ok grazie molte, ma esattamente a cosa serve questa operazione?

grazie
Andrea Gallazzi [MVP]
2005-02-15 19:45:30 UTC
Permalink
Post by Solli
ok grazie molte, ma esattamente a cosa serve questa operazione?
E' per fare il punto della situazione, se mi dici in che stato si trovano
abbiamo più informazioni su cui riflettere.
Leggi almeno il livello in cui ti trovi.
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Solli
2005-02-15 19:57:02 UTC
Permalink
ok, domani mattina verifico immediatamente, ma a me la cosa sembra alquanto
strana......

a domani, sempre ke siate disponibili...

b.notte
Solli
2005-02-16 09:47:17 UTC
Permalink
allora: mi trovo in modalità MISTA

infatti un tempo avevo clients winNT, ma di fatto ora non ci sono +

cosa consigliate di fare?

questa modalità è riferita solo ai SERVERs o anche ai relativi clients che
si connettono?

nella mia rete ho solo DC win2k
e clients winXP


grazie
Andrea Gallazzi [MVP]
2005-02-16 10:16:11 UTC
Permalink
Post by Solli
infatti un tempo avevo clients winNT, ma di fatto ora non ci sono +
I client (con gli opportunamenti SP) non sono un problema.
I DC soli lo sono.
Post by Solli
cosa consigliate di fare?
Portati al livello massimo che ti è permesso dai controller che hai in rete.
Post by Solli
questa modalità è riferita solo ai SERVERs o anche ai relativi
clients che si connettono?
Ai DC, non ai server.
Post by Solli
nella mia rete ho solo DC win2k
e clients winXP
Quindi modalità 2000 nativa.
Cambia anche la forest level.
Poi rivediamo il problema... perchè mi sono un po' perso ;)
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Solli
2005-02-16 10:20:35 UTC
Permalink
essendo un'operazione delicata, credo, dovrò riavviare il DC ?

se premo il pulsante di MODIFICA modalità, non mi chiede a quale voglio
cambiare, ma solamente di ritornare alla modalità originale, che dovrebbe
essere quella nativa, giusto?!
Andrea Gallazzi [MVP]
2005-02-16 11:54:10 UTC
Permalink
Post by Solli
essendo un'operazione delicata, credo, dovrò riavviare il DC ?
Affatto, dovrai solo aspettare le replice se hai più DC.
Post by Solli
se premo il pulsante di MODIFICA modalità, non mi chiede a quale
voglio cambiare, ma solamente di ritornare alla modalità originale,
che dovrebbe essere quella nativa, giusto?!
Perchè la 2003 è stata introdotta solo con la W2003. Quindi hai una sola
scelta.
Giusto.
Falli entrambi, dominio e foresta.
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Solli
2005-02-16 13:17:47 UTC
Permalink
credo di aver fatto la "foresta" e ora tutti i rami sottostanti mi sono
spariti.........

la replicazione avverrà fra 15 minuti

ho toppato qualcosa?
prima dovevo fare il "dominio" ?
Andrea Gallazzi [MVP]
2005-02-16 14:02:19 UTC
Permalink
Post by Solli
prima dovevo fare il "dominio" ?
Indifferente, vai tranquillo.
Ti stai preoccupando troppo, ti avrei avvertito nel caso.
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Solli
2005-02-16 15:14:14 UTC
Permalink
forse si..........

bene, ora ho fatto, i 15 minuti sono passati....

ora cosa devo fare ?
Andrea Gallazzi [MVP]
2005-02-17 09:41:33 UTC
Permalink
Post by Solli
ora cosa devo fare ?
Ok, ora non ti resta che spegnere un DC, avviare un client e vedere che
errore ti da negli eventi.
Poi ce lo riporti.
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Solli
2005-02-17 10:56:15 UTC
Permalink
ok, appena posso la farò e vi farò sapere;

se l'esito sarà negativo aprirò un altro post


ciao e b.giornata
Andrea Gallazzi [MVP]
2005-02-17 11:36:59 UTC
Permalink
Post by Solli
se l'esito sarà negativo aprirò un altro post
Ok, ciao!
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Gerardo Fransecky [MVP]
2005-02-12 14:17:18 UTC
Permalink
Post by Solli
la mia rete è configurata con 2 DC
1) sul primo cè DNS, AD, exchange;
2) sul secondo cè DNS, AD, sqlserver;
i DNS si aggiornano, idem per AD ma la cosa strana è che se spengo il PRIMO,
il secondo NON funziona come drovrebbe nel senso che un nuovo utente che si
logga ad un PC x la prima volta riceve il messaggio: "dominio MIODOMINIO non
trovato";
sicuramente cè qualcosa che NON va, altrimenti che senso ha avere 2 DC se
poi di fatto al "cadere" di uno l'altro non si comporta come dovrebbe?!?!
qualcuno mi sa aiutare a capirne il motivo ed eventualmente indicarmi dove
sbaglio?
Il Global Catalog è presente su entrambi i DC?
Per riferimento:

http://support.microsoft.com/?kbid=313994
--
Ciao!
Gerardo Fransecky
Microsoft MVP - Windows Shell/User
Solli
2005-02-12 14:42:25 UTC
Permalink
[cut]
Post by Gerardo Fransecky [MVP]
Il Global Catalog è presente su entrambi i DC?
[cut]

questo catalogo globale, può essere presente nello stesso tempo su DC
differenti?

spero di si...................


?!?!?!


grazie
Edoardo Benussi [MVP]
2005-02-12 17:58:28 UTC
Permalink
Solli <***@tiscali.it> ha scritto nel messaggio
%***@TK2MSFTNGP12.phx.gbl:
[cut]
Post by Solli
questo catalogo globale, può essere presente nello stesso tempo su DC
differenti?
spero di si...................
[cut]

si, può essere presente contemporaneamente
su più dc ma la presenza o l'assenza del global catalog
non inficiano la possibiltà che un dc possa autenticare
un client o un'account utente.
il global catalog dev'essere raggiungibile quando
vai a modificare qualcosa in active directory.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
http://italy.mvps.org
Solli
2005-02-12 19:44:03 UTC
Permalink
allora, cosa posso fare x risolvere il problema...

ora che mi ci fate pensare l'evento 1002, scecli è presente.....

per risolvere il "guaio" cosa posso fare ?


grazie
Continua a leggere su narkive:
Loading...