Discussione:
Active Directory, questa sconosciuta
(troppo vecchio per rispondere)
natasha
2007-04-16 10:26:02 UTC
Permalink
Buongiorno a tutti,
su una macchina Windows Server 2003 R2 ho eseguito dcpromo creando un
"controller di dominio in un nuovo dominio"; il nome di dominio è "pippo.int"
e la macchina ha due schede di rete, 10.0.0.2 e 10.0.0.3, delle quali la sola
10.0.0.2 è attiva.
Ho usato CYS per aggiungere il ruolo DNS e configurato la zona inversa per
10.0.0, scegliendo di utilizzare un server di inoltro; la navigazione in
Internet tramite questo DNS, a volte funziona, a volte no.
Se su una seconda macchina Windows Server 2003 R2 (anch'essa con due schede
di rete, 10.0.0.4 e 10.0.0.5, tento di lanciare dcpromo e di configurare un
"controller di dominio in un dominio esistente", specificando ovviamente
"pippo.int" come dominio, username/password di un domain admin, ed avendo
configurato la scheda di rete 10.0.0.4 per usare 10.0.0.2, riesco a
contattare il domain controller, ma mi viene dato come errore "impossibile
continuare con la configurazione di AD.... perchè l'insieme di strutture non
è preparato per l'installazione di Windows Server 2003. Utilizzare Adprep".
Inutile dire che ho lanciato adprep /forestprep ed adprep /domainprep su
entrambe le macchine; inoltre, su tutte e due ho installato la Service Pack 2.
La cosa bella, è che sulla seconda macchina, specificando come DNS 10.0.0.2,
riesco a navigare (lo sto facendo ora, mentre scrivo).
Infine, ho provato ad aggiungere a "pippo.int" una TERZA macchina Windows
Server 2003 R2, SENZA usare dcpromo, ma banalmente da "Risorse del computer"
/ tasto destro / nome computer / Cambia / aggiungi a dominio.
Stavolta ho un timeout nella ricerca del DNS:

Durante la query su DNS relativa al record della risorsa percorso per il
servizio (SRV) utilizzato per individuare un controller di dominio per il
dominio arbea.int, si è verificato il seguente errore:

Si è verificato il seguente errore: "Timeout. Operazione non riuscita."
(codice di errore 0x000005B4 ERROR_TIMEOUT)

La query era per il record SRV per _ldap._tcp.dc._msdcs.pippo.int

I server DNS utilizzati dal computer per la risoluzione dei nomi non
rispondono. Questo computer è configurato per l'utilizzo dei server DNS con i
seguenti indirizzi IP:

10.0.0.2
127.0.0.1

Ovviamente, ho verificato la zona diretta del DNS sulla prima macchina e,
all'interno di _msdcs, vi è il ramo dc, all'interno di esso il ramo _tcp, ed
in quest'ultimo ramo il file di configurazione di _ldap, con la classica
porta 389.
Qualche suggerimento per risolvere questa "simpatica" situazione?
Edoardo Benussi [MVP]
2007-04-16 10:36:04 UTC
Permalink
Post by natasha
Buongiorno a tutti,
su una macchina Windows Server 2003 R2 ho eseguito dcpromo creando un
"controller di dominio in un nuovo dominio"; il nome di dominio è
"pippo.int" e la macchina ha due schede di rete, 10.0.0.2 e 10.0.0.3,
delle quali la sola
10.0.0.2 è attiva.
Ho usato CYS per aggiungere il ruolo DNS e configurato la zona
inversa per
10.0.0, scegliendo di utilizzare un server di inoltro; la navigazione
in Internet tramite questo DNS, a volte funziona, a volte no.
Se su una seconda macchina Windows Server 2003 R2 (anch'essa con due
schede di rete, 10.0.0.4 e 10.0.0.5, tento di lanciare dcpromo e di
configurare un "controller di dominio in un dominio esistente",
specificando ovviamente "pippo.int" come dominio, username/password
di un domain admin, ed avendo configurato la scheda di rete 10.0.0.4
per usare 10.0.0.2, riesco a contattare il domain controller, ma mi
viene dato come errore "impossibile continuare con la configurazione
di AD.... perchè l'insieme di strutture non è preparato per
l'installazione di Windows Server 2003. Utilizzare Adprep". Inutile
dire che ho lanciato adprep /forestprep ed adprep /domainprep su
entrambe le macchine; inoltre, su tutte e due ho installato la
Service Pack 2.
1) adprep /forestprep ed adprep /domainprep l'hai lanciato
sul primo domain controller
anche dal secondo cd di r2 ?
2) sui dc è sempre meglio avere una sola nic
ed a nulla vale che la seconda sia disabilitata,
andrebbe proprio rimossa.
Post by natasha
La cosa bella, è che sulla seconda macchina,
specificando come DNS 10.0.0.2, riesco a navigare (lo sto facendo
ora, mentre scrivo).
Infine, ho provato ad aggiungere a "pippo.int" una TERZA macchina
Windows Server 2003 R2, SENZA usare dcpromo, ma banalmente da
"Risorse del computer" / tasto destro / nome computer / Cambia /
aggiungi a dominio.
vedi il punto 2) qui sopra.
Post by natasha
Durante la query su DNS relativa al record della risorsa percorso per
il servizio (SRV) utilizzato per individuare un controller di dominio
Si è verificato il seguente errore: "Timeout. Operazione non
riuscita." (codice di errore 0x000005B4 ERROR_TIMEOUT)
La query era per il record SRV per _ldap._tcp.dc._msdcs.pippo.int
I server DNS utilizzati dal computer per la risoluzione dei nomi non
rispondono. Questo computer è configurato per l'utilizzo dei server
10.0.0.2
127.0.0.1
Ovviamente, ho verificato la zona diretta del DNS sulla prima
macchina e, all'interno di _msdcs, vi è il ramo dc, all'interno di
esso il ramo _tcp, ed in quest'ultimo ramo il file di configurazione
di _ldap, con la classica porta 389.
Qualche suggerimento per risolvere questa "simpatica" situazione?
proviamo così.
puoi rimuovere la seconda nic sul primo dc
e far rispondere il dns non su tutti gli ip
ma solo sul 10.0.0.2 ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Matteo Bonfanti
2007-04-16 12:31:12 UTC
Permalink
Post by Edoardo Benussi [MVP]
2) sui dc è sempre meglio avere una sola nic
ed a nulla vale che la seconda sia disabilitata,
andrebbe proprio rimossa.
perchè?

Matteo
Edoardo Benussi [MVP]
2007-04-16 13:01:02 UTC
Permalink
Post by Matteo Bonfanti
Post by Edoardo Benussi [MVP]
2) sui dc è sempre meglio avere una sola nic
ed a nulla vale che la seconda sia disabilitata,
andrebbe proprio rimossa.
perchè?
perchè prima o poi fa casino.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
natasha
2007-04-16 14:10:01 UTC
Permalink
Ciao Edoardo, non c'è che dire, per te devono inventare il titolo di
Super-MVP ;)
Allora....
Post by Edoardo Benussi [MVP]
1) adprep /forestprep ed adprep /domainprep l'hai lanciato
sul primo domain controller
anche dal secondo cd di r2 ?
No, perchè non ho installato nulla della R2. In effetti, è come se avessi un
Win 2003 SP1, oramai SP2. Mi consigli di farlo?
Post by Edoardo Benussi [MVP]
2) sui dc è sempre meglio avere una sola nic
ed a nulla vale che la seconda sia disabilitata,
andrebbe proprio rimossa.
Rimozione fisica.... uhmmmmmm..... non è che basta disabilitarla?
In effetti, il DNS wizard crea in zona diretta un record A per tutte e due,
ma la cosa peggiore, è che il WINS identifica il domain controller con la
scheda non attiva....
Edoardo Benussi [MVP]
2007-04-16 15:08:53 UTC
Permalink
Post by natasha
Ciao Edoardo, non c'è che dire, per te devono inventare il titolo di
Super-MVP ;)
come la devo interpretare questa ?
come una presa per il .... ?
Post by natasha
Allora....
Post by Edoardo Benussi [MVP]
1) adprep /forestprep ed adprep /domainprep l'hai lanciato
sul primo domain controller
anche dal secondo cd di r2 ?
No, perchè non ho installato nulla della R2. In effetti, è come se
avessi un Win 2003 SP1, oramai SP2. Mi consigli di farlo?
si.
Post by natasha
Post by Edoardo Benussi [MVP]
2) sui dc è sempre meglio avere una sola nic
ed a nulla vale che la seconda sia disabilitata,
andrebbe proprio rimossa.
Rimozione fisica.... uhmmmmmm..... non è che basta disabilitarla?
per esperienza consiglio di rimuoverla...
Post by natasha
In effetti, il DNS wizard crea in zona diretta un record A per tutte
e due, ma la cosa peggiore, è che il WINS identifica il domain
controller con la scheda non attiva....
...e quanto hai scritto qui conferma la mia grande esperienza :-)
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
natasha
2007-04-16 15:36:03 UTC
Permalink
Post by Edoardo Benussi [MVP]
come la devo interpretare questa ?
come una presa per il .... ?
Ehm.... voleva essere un complimento.... :)
Post by Edoardo Benussi [MVP]
Post by natasha
Post by Edoardo Benussi [MVP]
1) adprep /forestprep ed adprep /domainprep l'hai lanciato
sul primo domain controller
anche dal secondo cd di r2 ?
No, perchè non ho installato nulla della R2. In effetti, è come se
avessi un Win 2003 SP1, oramai SP2. Mi consigli di farlo?
si.
Ok, proverò
Post by Edoardo Benussi [MVP]
Post by natasha
Post by Edoardo Benussi [MVP]
2) sui dc è sempre meglio avere una sola nic
ed a nulla vale che la seconda sia disabilitata,
andrebbe proprio rimossa.
Rimozione fisica.... uhmmmmmm..... non è che basta disabilitarla?
per esperienza consiglio di rimuoverla...
proverò anche questo.
Edoardo Benussi
2007-04-16 17:14:50 UTC
Permalink
Post by natasha
Post by Edoardo Benussi [MVP]
come la devo interpretare questa ?
come una presa per il .... ?
Ehm.... voleva essere un complimento.... :)
allora grazie :-)
per il resto facci sapere.
ciao.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Rossano Orlandini [MVP]
2007-04-16 15:44:27 UTC
Permalink
On Mon, 16 Apr 2007 17:08:53 +0200, "Edoardo Benussi [MVP]"
<***@tin.it> wrote:
[CUT]
Post by Edoardo Benussi [MVP]
Post by natasha
Post by Edoardo Benussi [MVP]
2) sui dc è sempre meglio avere una sola nic
ed a nulla vale che la seconda sia disabilitata,
andrebbe proprio rimossa.
Rimozione fisica.... uhmmmmmm..... non è che basta disabilitarla?
per esperienza consiglio di rimuoverla...
Aggiungo che se è presente a bordo un software evoluto di gestione delle
NIC (vedi quello di Broadcom), allora è comunque buona cosa utilizzare
la funzione di NIC Teaming in modo che le due schede vengano aggregate
in una sola con ottime funzioni di fault tolerance e non solo.
--
Rossano Orlandini
MCSE MCSA MVP - Windows Server
natasha
2007-04-17 08:36:01 UTC
Permalink
Boys you're fantastic!!!!
Con il NIC Teaming ho risolto per DNS/WINS, e con l'aggiornamento dallo
schema 30 allo schema 31, l'aggiunta di un secondo controller di dominio è
andata giù un amore, per non parlare di quella di membri al dominio.
Ho un solo dubbio: se non è attivo il WINS sul primo domain controller, non
è possibile aggiungere computer ad AD. Possibile che questa richieda una
nslookup, e non possa funzionare col solo indirizzo IP?
Edoardo Benussi [MVP]
2007-04-17 09:02:07 UTC
Permalink
Post by natasha
Ho un solo dubbio: se non è attivo il WINS sul primo domain
controller, non è possibile aggiungere computer ad AD.
falso.
WINS non interviene nel processo,
per AD è solo il DNS che conta.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
natasha
2007-04-17 10:18:01 UTC
Permalink
Post by Edoardo Benussi [MVP]
falso.
WINS non interviene nel processo,
per AD è solo il DNS che conta.
??? Eppure ho sperimentalmente verificato... :(
Approfitto per chiedere: per far eseguire automaticamente uno script VBS a
tutti gli utenti, all'accesso nel dominio, è sufficiente metterlo nella
cartella %SYSVOL%\pippo.int\scripts ?
Edoardo Benussi [MVP]
2007-04-17 10:37:34 UTC
Permalink
Post by natasha
Post by Edoardo Benussi [MVP]
falso.
WINS non interviene nel processo,
per AD è solo il DNS che conta.
??? Eppure ho sperimentalmente verificato... :(
non è così.
il wins in dominio con active directory può benissimo
non essere neppure installato.
Post by natasha
Approfitto per chiedere: per far eseguire automaticamente uno script
VBS a tutti gli utenti, all'accesso nel dominio, è sufficiente
metterlo nella cartella %SYSVOL%\pippo.int\scripts ?
no.
dipende dai permessi che hanno i tuoi utenti,
poichè di solito gli utenti di dominio hanno permessi limitati
mentre l'account "system" di ogni client ha diritti amministrativi,
è necessario mettere lo script nella cartella che hai indicato
ma anche andare nelle domain policies e mettere lo script
in questione come script di startup (computer configuration)
e non di logon (user configuration).
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
natasha
2007-04-17 16:04:02 UTC
Permalink
Perfetto! :)
Continuando le domande.... gli snap-in amministrativi, tipo dsa.msc, c'è un
modo per averli su una macchina remota?
Rossano Orlandini [MVP]
2007-04-17 16:37:49 UTC
Permalink
On Tue, 17 Apr 2007 09:04:02 -0700, natasha
Post by natasha
Perfetto! :)
Continuando le domande.... gli snap-in amministrativi, tipo dsa.msc, c'è un
modo per averli su una macchina remota?
Scaricati l'ultimo Adminpak aggiornato da qui: http://snipurl.com/1gv3r

In ogni caso, io preferisco collegarmi via Terminal Server.
--
Rossano Orlandini
MCSE MCSA MVP - Windows Server
Rossano Orlandini [MVP]
2007-04-17 16:36:23 UTC
Permalink
On Tue, 17 Apr 2007 03:18:01 -0700, natasha
Post by natasha
Post by Edoardo Benussi [MVP]
falso.
WINS non interviene nel processo,
per AD è solo il DNS che conta.
??? Eppure ho sperimentalmente verificato... :(
Ti confermo che il WINS con Active Directory non c'entra nulla :-)
--
Rossano Orlandini
MCSE MCSA MVP - Windows Server
Continua a leggere su narkive:
Loading...