Discussione:
Problema DNS su DC 2003
(troppo vecchio per rispondere)
Nicola
2005-10-10 10:55:36 UTC
Permalink
Ciao a tutti
ho appena installato un dc su win server 2003 EE italiano.
Dopo la creazione dell'unico dominio in una nuova foresta (non ci sono altri
dc nella lan) il server non naviga più in internet.
Il problema è del dns, perchè il server comunque naviga se ci metto un ip
esterno di un sito.
Andando nelle proprietà del dns ho visto che la query ricorsiva è errata sui
domini esterni, ma è corretta su quelli interni.
Ho anche messo i server di inoltro, ma senza successo...
Sulla scheda di rete (unica) il server dns è 127.0.0.1, come è giusto che
sia.
Non so che pesci prendere...
Cosa devo controllare che non ho già controllato? :-)
Uscire su internet mi serve per winupdate e per antivirus.
Grazie

Nicola
Rossano Orlandini [MVP]
2005-10-10 11:04:53 UTC
Permalink
Post by Nicola
Ciao a tutti
ho appena installato un dc su win server 2003 EE italiano.
Dopo la creazione dell'unico dominio in una nuova foresta (non ci sono altri
dc nella lan) il server non naviga più in internet.
Il problema è del dns, perchè il server comunque naviga se ci metto un ip
esterno di un sito.
Andando nelle proprietà del dns ho visto che la query ricorsiva è errata sui
domini esterni, ma è corretta su quelli interni.
Ho anche messo i server di inoltro, ma senza successo...
Quali server di inoltro hai messo? Per la voce "tutti i domini"?
Post by Nicola
Sulla scheda di rete (unica) il server dns è 127.0.0.1, come è giusto che
sia.
Meglio mettere l'indirizzo IP che l'indirizzo di loopback 127.0.0.1
Post by Nicola
Non so che pesci prendere...
Cosa devo controllare che non ho già controllato? :-)
Uscire su internet mi serve per winupdate e per antivirus.
Grazie
Controlla la tua connettività DNS, intanto, con Nslookup.
--
Rossano Orlandini
MCSE MCSA MVP - Windows Server
ObiWan
2005-10-10 13:40:32 UTC
Permalink
Post by Nicola
Ciao a tutti
Ciao
Post by Nicola
ho appena installato un dc su win server 2003 EE italiano.
Dopo la creazione dell'unico dominio in una nuova foresta
(non ci sono altri dc nella lan) il server non naviga più in internet.
Il problema è del dns, perchè il server comunque naviga se ci metto
un ip esterno di un sito.
Hmm ... il problema potrebbe essere stato causato dal fatto che al
momento dell'installazione il server non "vedesse internet" in questi
casi il DNS si auto-configura come "root server" ed ovviamente non
riesce a risolvere nulla che non sia compreso nelle sue zone locali;
in tal caso, basta eliminare la zona "." e reinstallare i "root hints"
(detti
anche "parametri principali" <sic>) scaricandoli da (es.) 198.41.0.4
fatto ciò basterà assicurarsi che non vi siano forwarders e che la
ricorsione non sia stata disattivata, dopodichè, effettuando sul server
un test normale+ricorsivo il risultato dovrebbe essere "passed" per
entrambi i tests, a questo punto, qualche ulteriore test effettuato usando
nslookup per risolvere nomi hosts "esterni" dovrebbe confermare il
buon funzionamento del DNS

Fammi (facci, il newsgroup) sapere

Ciao
--
* ObiWan

Microsoft MVP: Windows Server - Networking
http://www.microsoft.com/communities/MVP/MVP.mspx
http://italy.mvps.org

DNS "fail-safe" for Windows clients.
http://www.ntcanuck.com

Newsgroups and forums
news://news.ntcanuck.com
http://forums.ntcanuck.com

408+ XP/2000 tweaks and tips
http://www.ntcanuck.com/tq/Tip_Quarry.htm
Nicola
2005-10-10 14:49:41 UTC
Permalink
I root hints li vedo tutti...ho cmq provato ad aggiornare la lista come mi
hai suggerito (dall'ip di a.root-servers.net) e mi ha dato un errore
dicendomi che non riesce a contattarli.
Per quello che riguarda la zone "." io non riesco a vederla...in quale
schermata dovrei trovarla?...magari mi è sfuggita...
Per forwarders intendi i server di inoltro?
Ne ho messi un paio di telecom per rispondere alle query per tutti gli altri
siti...
Il test normale è passed, quello ricorsivo è failed.
Grazie in anticipo

Nicola
Post by ObiWan
Post by Nicola
Ciao a tutti
Ciao
Post by Nicola
ho appena installato un dc su win server 2003 EE italiano.
Dopo la creazione dell'unico dominio in una nuova foresta
(non ci sono altri dc nella lan) il server non naviga più in internet.
Il problema è del dns, perchè il server comunque naviga se ci metto
un ip esterno di un sito.
Hmm ... il problema potrebbe essere stato causato dal fatto che al
momento dell'installazione il server non "vedesse internet" in questi
casi il DNS si auto-configura come "root server" ed ovviamente non
riesce a risolvere nulla che non sia compreso nelle sue zone locali;
in tal caso, basta eliminare la zona "." e reinstallare i "root hints"
(detti
anche "parametri principali" <sic>) scaricandoli da (es.) 198.41.0.4
fatto ciò basterà assicurarsi che non vi siano forwarders e che la
ricorsione non sia stata disattivata, dopodichè, effettuando sul server
un test normale+ricorsivo il risultato dovrebbe essere "passed" per
entrambi i tests, a questo punto, qualche ulteriore test effettuato usando
nslookup per risolvere nomi hosts "esterni" dovrebbe confermare il
buon funzionamento del DNS
Fammi (facci, il newsgroup) sapere
Ciao
--
* ObiWan
Microsoft MVP: Windows Server - Networking
http://www.microsoft.com/communities/MVP/MVP.mspx
http://italy.mvps.org
DNS "fail-safe" for Windows clients.
http://www.ntcanuck.com
Newsgroups and forums
news://news.ntcanuck.com
http://forums.ntcanuck.com
408+ XP/2000 tweaks and tips
http://www.ntcanuck.com/tq/Tip_Quarry.htm
ObiWan
2005-10-10 15:38:00 UTC
Permalink
Post by Nicola
I root hints li vedo tutti...ho cmq provato ad aggiornare la lista come
mi hai suggerito (dall'ip di a.root-servers.net) e mi ha dato un errore
dicendomi che non riesce a contattarli.
Uhm .. "puzza" di problema di firewall/connessione; direi che la prima
cosa da fare sia verificare che la macchina sulla quale gira il DNS sia
in grado di contattare DNS esterni, per fare questo:

apri un prompt comandi "DOS" sul server DNS

immetti il comando "nslookup", ti apparirà il prompt ">" di nslookup

immetti il comando "server 193.155.207.61" per fare in modo che
nslookup utilizzi un server DNS esterno

immetti la query www.microsoft.com e verifica di ottenere una risposta
dal DNS (ossia gli indirizzi del sito Microsoft); se ricevi un timeout prova
a ripetere la query qualche altra volta, se ancora non ricevi risposta.. beh
verifica che il server sia in grado di "uscire" su internet ed in
particolare
verso le porte 53/UDP e 53/TCP

se la query di cui sopra è ok, immetti il comando "set vc" per forzare
nslookup all'uso di TCP quindi ripeti la query www.microsoft.com se ricevi
una risposta tutto ok, altrimenti dovrai assicurarti che le comunicazioni
verso
la 53/TCP siano possibili

fatte le verifiche di cui sopra e.. passato il test, ritenta con
l'aggiornamento
dei root-hints, una volta che questo sia stato correttamente completato vai
nel pannello "servers di inoltro", assicurati che la spunta "non usare
ricorsione"
non sia attivata e togli la spunta dai "usa forwarders", poi passa al
pannello
"avanzate" ed assicurati che non ci sia la spunta "disattiva ricorsione"
Post by Nicola
Per quello che riguarda la zone "." io non riesco a vederla...in quale
schermata dovrei trovarla?...magari mi è sfuggita...
Visualizza -> avanzate; a questo punto verifica se nelle zone "dirette"
hai una zona "." PRIMARIA, se questo è il caso, PRIMA di modificare
i parametri come visto sopra, elimina questa zona e ricarica i root hints
da "a.root..." quindi riavvia il servizio DNS, dopodichè procedi con gli
steps visti sopra

Ciao
--
* ObiWan

Microsoft MVP: Windows Server - Networking
http://www.microsoft.com/communities/MVP/MVP.mspx
http://italy.mvps.org

DNS "fail-safe" for Windows clients.
http://www.ntcanuck.com

Newsgroups and forums
news://news.ntcanuck.com
http://forums.ntcanuck.com

408+ XP/2000 tweaks and tips
http://www.ntcanuck.com/tq/Tip_Quarry.htm
Nicola
2005-10-10 16:10:50 UTC
Permalink
Post by ObiWan
Uhm .. "puzza" di problema di firewall/connessione; direi che la prima
cosa da fare sia verificare che la macchina sulla quale gira il DNS sia
Le porte sono aperte...ho controllato
Post by ObiWan
apri un prompt comandi "DOS" sul server DNS
immetti il comando "nslookup", ti apparirà il prompt ">" di nslookup
immetti il comando "server 193.155.207.61" per fare in modo che
nslookup utilizzi un server DNS esterno
immetti la query www.microsoft.com e verifica di ottenere una risposta
dal DNS (ossia gli indirizzi del sito Microsoft); se ricevi un timeout prova
a ripetere la query qualche altra volta, se ancora non ricevi risposta.. beh
verifica che il server sia in grado di "uscire" su internet ed in
particolare
verso le porte 53/UDP e 53/TCP
Ho provato ma non funzionava nulla....allora ho proseguito e....
Post by ObiWan
se la query di cui sopra è ok, immetti il comando "set vc" per forzare
nslookup all'uso di TCP quindi ripeti la query www.microsoft.com se ricevi
una risposta tutto ok, altrimenti dovrai assicurarti che le comunicazioni
verso
la 53/TCP siano possibili
Appena ho fatto il set vc ha cominciato a rispondere a tutte le query....
Post by ObiWan
fatte le verifiche di cui sopra e.. passato il test, ritenta con
l'aggiornamento
dei root-hints, una volta che questo sia stato correttamente completato vai
nel pannello "servers di inoltro", assicurati che la spunta "non usare
ricorsione"
non sia attivata e togli la spunta dai "usa forwarders", poi passa al
pannello
"avanzate" ed assicurati che non ci sia la spunta "disattiva ricorsione"
Non sono riuscito ad aggiornare i root hints...mi dice che il serve
rpotrebbe non essere raggiungibile (provato con diversi ip). Tutte le
opzioni specificate risultano disabilitate...quindi la ricorsione dovrebbe
funzionare. Non ho trovato la voce "Usa forwarders"....dov'è?
Post by ObiWan
Post by Nicola
Per quello che riguarda la zone "." io non riesco a vederla...in quale
schermata dovrei trovarla?...magari mi è sfuggita...
Visualizza -> avanzate; a questo punto verifica se nelle zone "dirette"
hai una zona "." PRIMARIA, se questo è il caso, PRIMA di modificare
i parametri come visto sopra, elimina questa zona e ricarica i root hints
da "a.root..." quindi riavvia il servizio DNS, dopodichè procedi con gli
steps visti sopra
Ciao
--
Non c'è una zona "."

Posso fare altre prove oltre a quelle che mi hai detto?

Grazie mille

Nicola
ObiWan
2005-10-10 16:33:39 UTC
Permalink
Post by Nicola
Le porte sono aperte...ho controllato
<snip>
Post by Nicola
Post by ObiWan
verso le porte 53/UDP e 53/TCP
Ho provato ma non funzionava nulla....allora ho proseguito e....
<snip>
Post by Nicola
Appena ho fatto il set vc ha cominciato a rispondere a tutte le query....
Ok, questo significa che hai un firewall che permette il traffico in
uscita verso la 53/TCP ma *BLOCCA* quello verso la 53/UDP
ora, la prima cosa da fare è modificare la config del firewall in
modo da abilitare una regola che permetta tale traffico, quindi
dovrai ripetere i tests "nslookup" verificando che tutto funzioni
sia senza che con "set vc" (in pratica il primo test lavora su UDP
il secondo, dopo il "set vc" invece su TCP)

Fammi sapere
--
* ObiWan

Microsoft MVP: Windows Server - Networking
http://www.microsoft.com/communities/MVP/MVP.mspx
http://italy.mvps.org

DNS "fail-safe" for Windows clients.
http://www.ntcanuck.com

Newsgroups and forums
news://news.ntcanuck.com
http://forums.ntcanuck.com

408+ XP/2000 tweaks and tips
http://www.ntcanuck.com/tq/Tip_Quarry.htm
Nicola
2005-10-10 16:46:17 UTC
Permalink
Ho disabilitato tutti i firewall presenti.
Le altre macchine presenti in rete cmq escono tranquillamente...
Il problema si è verificato dopo il dcpromo e per ben due volte....la
macchina è nuova...ho formattato ed è successo nuovamente.
Lo stesso software su un'altra macchina non ha dato problemi.
Non saprei cosa pensare?
Chiavi di registro?

Ciao

Nicola
ObiWan
2005-10-10 17:06:35 UTC
Permalink
Post by Nicola
Ho disabilitato tutti i firewall presenti.
No .. aspetta.. NON disabilitare i firewall s/w; controlla la
configurazione del tuo router/firewall hardware; è possibile
che il problema sia proprio lì; inoltre verifica se il default
gateway del server è quello corretto e se la tabella di
routing (accessibile con un route print) è corretta

Ciao
Nicola
2005-10-11 08:05:19 UTC
Permalink
Ho disabilitato anche il firewall hw presente sul router Zyxel 650
La configurazione è di nat statico 1-1 sull'ip del server.
Non ho riscontrato altre anomalie...il server è perfettamente raggiungibile
dall'esterno e al momento è usato come server radius IAS per autenticazione
client wireless.
Dal route print sembra che tutto funzioni bene, che registri sia
l'interfaccia che il gateway corretto.
Se dalla scheda di rete provo ad eliminare come dns se stesso e metto un dns
esterno, continua a non funzionare.
Siccome questo è successo con il dcpromo e con l'installazione del dns, non
vorrei che qualche chiave di registro crei problemi, visto che controllando
le configurazioni sembra che vada tutto a posto.
Devo controllare altro?

Ciao

Nicola
Post by ObiWan
Post by Nicola
Ho disabilitato tutti i firewall presenti.
No .. aspetta.. NON disabilitare i firewall s/w; controlla la
configurazione del tuo router/firewall hardware; è possibile
che il problema sia proprio lì; inoltre verifica se il default
gateway del server è quello corretto e se la tabella di
routing (accessibile con un route print) è corretta
Ciao
ObiWan
2005-10-11 16:11:32 UTC
Permalink
Post by Nicola
Ho disabilitato anche il firewall hw presente sul router Zyxel 650
La configurazione è di nat statico 1-1 sull'ip del server.
Urk .. occhio, senza firewall rischi di beccarti qualche "bestiaccia" !
Post by Nicola
Non ho riscontrato altre anomalie...il server è perfettamente
raggiungibile dall'esterno e al momento è usato come server
radius IAS per autenticazione client wireless.
E fin qui .. non ci dovrebbero essere problemi
Post by Nicola
Dal route print sembra che tutto funzioni bene, che registri sia
l'interfaccia che il gateway corretto.
Se dalla scheda di rete provo ad eliminare come dns se stesso
e metto un dns esterno, continua a non funzionare.
Beh, il problema è che, a quanto sembra il server NON è in grado
di "parlare" con DNS esterni; prova ne è il test che hai fatto usando
nslookup, ora.. resta da capire *COSA* sta bloccando tale traffico
e modificare la configurazione come opportuno; verifica se per caso
hai qualche tipo di port filtering attivo.. che so, RRAS, IPSec o altro

Ciao
Nicola
2005-10-12 13:25:44 UTC
Permalink
Non ci dovrebbero essere port filtering....
Ripeto...il server dns non funzionava già dal momento in cui si è riavviato
dopo il primo dcpromo.
La macchina era "vergine".
Quindi ho pensato anche io ad un settaggio mal effettuato...
In realtà la macchian esce su un gateway diretto, con un firewall hw
ridicolo...
Il router è uno zyxel 650...
Sai se per caso da problemi di questo tipo?
A me la risoluzione dns interessa giusto per il win update...non ci devo
navigare...
L'antivirus riesce ad aggiornarsi da solo...evidentemente usa ip invece che
url...
Come posso abilitare il winupdate da ip?
Ciao e grazie per il tuo prezioso aiuto

Nicola
Post by ObiWan
Post by Nicola
Ho disabilitato anche il firewall hw presente sul router Zyxel 650
La configurazione è di nat statico 1-1 sull'ip del server.
Urk .. occhio, senza firewall rischi di beccarti qualche "bestiaccia" !
Post by Nicola
Non ho riscontrato altre anomalie...il server è perfettamente
raggiungibile dall'esterno e al momento è usato come server
radius IAS per autenticazione client wireless.
E fin qui .. non ci dovrebbero essere problemi
Post by Nicola
Dal route print sembra che tutto funzioni bene, che registri sia
l'interfaccia che il gateway corretto.
Se dalla scheda di rete provo ad eliminare come dns se stesso
e metto un dns esterno, continua a non funzionare.
Beh, il problema è che, a quanto sembra il server NON è in grado
di "parlare" con DNS esterni; prova ne è il test che hai fatto usando
nslookup, ora.. resta da capire *COSA* sta bloccando tale traffico
e modificare la configurazione come opportuno; verifica se per caso
hai qualche tipo di port filtering attivo.. che so, RRAS, IPSec o altro
Ciao
ObiWan
2005-10-12 13:39:30 UTC
Permalink
Post by Nicola
Non ci dovrebbero essere port filtering....
quel "dovrebbe" mi preoccupa un pochino :-)
Post by Nicola
Ripeto...il server dns non funzionava già dal momento
in cui si è riavviato dopo il primo dcpromo.
hem .. sei sicuro al 100% che funzionasse.. oppure non
hai semplicemente notato il problema fino ad ora ?
Post by Nicola
Il router è uno zyxel 650...
Sai se per caso da problemi di questo tipo?
non dovrebbe, ad ogni buon conto e giusto per sicurezza
prova a seguire le istruzioni che trovi qui

http://support.microsoft.com/kb/828731

e, dopo aver riavviato il DNS, ritenta con i tests "nslookup"

Ciao
Nicola
2005-10-12 20:04:41 UTC
Permalink
Ciao Obiwan
ho provato a seguire i tuoi suggerimenti ma si è risolto tutto con un "nulla
di fatto" :-)
Il server risolve localmente ma nulla da fare con la query ricorsiva.
Quindi per qualche motivo non comunica con i dns esterni messi nell'inoltro.
Le prove con nslookup la dicono lunga....
Funziona tutto solo dopo che do il comando "set vc".
Ho ancheun'altra domanda...posso fare in modo che si aggiorni da windows
update magari dandogli l'ip del server update invece che url
"update.microsoft.com"? Se sì, in che modo?
Grazie

Nicola
ObiWan
2005-10-13 06:40:34 UTC
Permalink
Post by Nicola
ho provato a seguire i tuoi suggerimenti ma si è risolto
tutto con un "nulla di fatto" :-)
Il server risolve localmente ma nulla da fare con la query ricorsiva.
Quindi per qualche motivo non comunica con i dns esterni messi
nell'inoltro. Le prove con nslookup la dicono lunga....
Funziona tutto solo dopo che do il comando "set vc".
Come ti ho già detto e ripetuto, il "set vc" forza l'esecuzione delle
queries su TCP invece che su UDP, il problema è che normalmente
il traffico DNS viaggia su UDP, ora, evidentemente "qualcosa" sta
bloccando tale traffico... l'ideale sarebbe scoprire *cosa* ma visto
che ti vuoi arrendere... come preferisci, la scelta è tua, tieni però ben
presente che il problema potrebbe essere indizio di problemi
peggiori per cui sarebbe meglio risolverlo
Post by Nicola
Ho ancheun'altra domanda...posso fare in modo che si aggiorni
da windows update magari dandogli l'ip del server update invece
che url "update.microsoft.com"? Se sì, in che modo?
Dovrebbe essere possibile sia utilizzando le GPO sia editando una
voce del registry; ad ogni modo, posta una richiesta sul gruppo WU
ossia microsoft.public.it.windowsupdate

Ciao
--
* ObiWan

Microsoft MVP: Windows Server - Networking
http://www.microsoft.com/communities/MVP/MVP.mspx
http://italy.mvps.org

DNS "fail-safe" for Windows clients.
http://www.ntcanuck.com

Newsgroups and forums
news://news.ntcanuck.com
http://forums.ntcanuck.com

408+ XP/2000 tweaks and tips
http://www.ntcanuck.com/tq/Tip_Quarry.htm
Nicola
2005-10-13 18:16:16 UTC
Permalink
No no non mi voglio arrendere...cercherò con più cura e vedrò di risolvere.
Grazie mille per il tuo aiuto!
Sei stato gentilissimo!
Ciao

Nicola
Post by ObiWan
Post by Nicola
ho provato a seguire i tuoi suggerimenti ma si è risolto
tutto con un "nulla di fatto" :-)
Il server risolve localmente ma nulla da fare con la query ricorsiva.
Quindi per qualche motivo non comunica con i dns esterni messi
nell'inoltro. Le prove con nslookup la dicono lunga....
Funziona tutto solo dopo che do il comando "set vc".
Come ti ho già detto e ripetuto, il "set vc" forza l'esecuzione delle
queries su TCP invece che su UDP, il problema è che normalmente
il traffico DNS viaggia su UDP, ora, evidentemente "qualcosa" sta
bloccando tale traffico... l'ideale sarebbe scoprire *cosa* ma visto
che ti vuoi arrendere... come preferisci, la scelta è tua, tieni però ben
presente che il problema potrebbe essere indizio di problemi
peggiori per cui sarebbe meglio risolverlo
Post by Nicola
Ho ancheun'altra domanda...posso fare in modo che si aggiorni
da windows update magari dandogli l'ip del server update invece
che url "update.microsoft.com"? Se sì, in che modo?
Dovrebbe essere possibile sia utilizzando le GPO sia editando una
voce del registry; ad ogni modo, posta una richiesta sul gruppo WU
ossia microsoft.public.it.windowsupdate
Ciao
--
* ObiWan
Microsoft MVP: Windows Server - Networking
http://www.microsoft.com/communities/MVP/MVP.mspx
http://italy.mvps.org
DNS "fail-safe" for Windows clients.
http://www.ntcanuck.com
Newsgroups and forums
news://news.ntcanuck.com
http://forums.ntcanuck.com
408+ XP/2000 tweaks and tips
http://www.ntcanuck.com/tq/Tip_Quarry.htm
Continua a leggere su narkive:
Loading...