none
Problemi di autenticazione su server Membro - DFS RRS feed

  • Domanda

  • Ho quest asituazione. Due domini (W2012) geograficamente separati e collegati tra loro con VPN site to site

    Nel sito B è inserito un server membro del dominio A (Server2) e fra questo server e un server nel dominio A (Server1) è instaurato una replica DFS su alcune cartelle

    Queste cartelle contengono documenti derivanti da PDM (disegni CAD, ma non solo)

    La cartella nel Server2 è mappata sui vari client del dominio B usando credenziali del domino A perchè altrimenti la replica DFS dava dei problemi. Il guaio è che se per qualche ragione si perde il collegamento fra i domini (la settimana scorsa causa mancanza corrente il dominio A era irragiungibile) la mappatura non funziona più e i client non riescono ad accedere alla cartella seul server2

    Come posso svincolarmi da questo limite?


    Gianni

    domenica 26 agosto 2018 17:50

Risposte

  • OK...non ti sei spiegato benissimo ma ora penso di aver capito.
    Un quesito simile ricordo di averlo affrontato anche in passato, non so se eri proprio tu ad aver fatto la stessa identica domanda (purtroppo per problemi alla piattaforma del forum al momento non posso vedere i nomi utente).
    Ricapitolando:
    - Hai due siti geografici distinti collegati con una VPN
    - In ogni sito hai un server appartenente allo stesso dominio A
    - In uno dei due siti hai dei client appartenenti ad un dominio B che devono accedere alla condivisione del DFS utilizzando delle credenziali del dominio A.
    - Il DC del dominio A si trova in un sito diverso da quello dei client

    Per prima cosa, per far accedere correttamente i client alla cartella del DFS è necessario modificare i suffissi DNS nelle proprietà delle schede di rete dei client.

    Successivamente, l'unico modo per risolvere i problemi in caso di mancanza di connettività VPN, è quella di installare un DC del dominio A anche nel sito geografico dei client e di configurare il trust tra il DC del dominio B e questo (cioè senza far passare il trust nella VPN).


    domenica 26 agosto 2018 19:57
    Moderatore

Tutte le risposte

  • Purtroppo la replica DFS non è supportata per domini non appartenenti alla stessa foresta, nel tuo caso puoi utilizzare DFS solo per "aggregare graficamente" le condivisioni presenti sui diversi server. 
    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc773238(v=ws.10)

    Must members of a replication group reside in the same domain?
    No. Replication groups can span across domains within a single forest but not across different forests.

    Quindi dovresti migrare uno dei due domini.
    domenica 26 agosto 2018 18:02
    Moderatore
  • Probabilmente non mi sono spiegato. I due server fra cui è attiva la replica DFS sono nello stesso dominio, però il secondo  server è fisicamente nel dominio secondo, ma è parte del dominio uno.

    Il DFS funziona, il problema si presenta perché i client del dominio due devono accedere alle cartelle in replica usando un utente del dominio uno e se il dominio uno non è raggiungibile, l'autenticazione fallisce.

    Spero di essermi spiegato meglio 😂


    Gianni

    domenica 26 agosto 2018 19:32
  • OK...non ti sei spiegato benissimo ma ora penso di aver capito.
    Un quesito simile ricordo di averlo affrontato anche in passato, non so se eri proprio tu ad aver fatto la stessa identica domanda (purtroppo per problemi alla piattaforma del forum al momento non posso vedere i nomi utente).
    Ricapitolando:
    - Hai due siti geografici distinti collegati con una VPN
    - In ogni sito hai un server appartenente allo stesso dominio A
    - In uno dei due siti hai dei client appartenenti ad un dominio B che devono accedere alla condivisione del DFS utilizzando delle credenziali del dominio A.
    - Il DC del dominio A si trova in un sito diverso da quello dei client

    Per prima cosa, per far accedere correttamente i client alla cartella del DFS è necessario modificare i suffissi DNS nelle proprietà delle schede di rete dei client.

    Successivamente, l'unico modo per risolvere i problemi in caso di mancanza di connettività VPN, è quella di installare un DC del dominio A anche nel sito geografico dei client e di configurare il trust tra il DC del dominio B e questo (cioè senza far passare il trust nella VPN).


    domenica 26 agosto 2018 19:57
    Moderatore
  • Si, forse ero io. Tempo fa chiesi lumi su questo problema al forum.

    Da quanto dici dovrei aggiungere un dc nel dominio B (cosa che non posso fare), non sarebbe sufficiente elevare di livello il server membro a server di dominio? Ho il problema della configurazione dell'IP della macchina che è parte del range ip del dominio B. Mantenendo quell'ip non credo possa diventare dc del dominio A, se cambio IP ho problemi di accesso dai client del dominio B. È probabilmente un problema di networking su cui però non sono espertissimo 


    Gianni

    domenica 26 agosto 2018 20:27
  • Il problema è che secondo me spesso confondi il termine "dominio" (inteso come dominio Active Directory) con quello di "sito geografico" (inteso come luogo fisico in cui si trovano i sistemi). Comunque, anche se sconsigliato, non sono presenti limitazioni tecniche che impediscono ad un server membro del DFS di diventare anche un DC per lo stesso dominio.
    domenica 26 agosto 2018 20:41
    Moderatore
  • Ok, grazie delle risposte. Per maggiore chiarezza ti allego una immagine.

    DFS1 e DFS2 sono i due server con le cartelle in replica. Tutte e due sono parte del dominioA anche se geograficamente in due siti diversi

    Il DFS2 ha un IP della rete del DominoB per consentire di essere sempre raggiungibile da client del DominioB

    In questo modo però non credo possa essere un DC del DominoA, Mi sbaglio?


    Gianni

    domenica 26 agosto 2018 21:50
  • Perché no? Essendo un membro del DFS deve poter raggiungere il dominio A, quindi tecnicamente può essere promosso anche a DC per lo stesso dominio. Non è proprio consigliato da best practices avere ruoli multipli sul DC, ma alla fine funziona.
    domenica 26 agosto 2018 22:16
    Moderatore
  • Ok, appena torno al lavoro allora provo. Il mio dubbio era legato all'ip del server che è un ip di un dominio differente. Comunque tu hai sicuramente più conoscenza di me 😂

    Grazie.

    Solo una curiosità, l'immagine che avevo inserito si vedeva? Io non riesco a visualizzarla


    Gianni

    lunedì 27 agosto 2018 06:47
  • No, l'immagine non si vede.
    Comunque, per quanto riguarda le subnet e AD, ti consiglio la lettura di questa pagina: <link obsoleto rimosso>
    lunedì 27 agosto 2018 17:55
    Moderatore