none
dominio con due schede di rete RRS feed

  • Domanda

  • Buongiorno,

    ho configurato un DC con due schede di rete, una collegata alla rete interna e l'altra collegata ad un router. Server 2012 mi vede entrambi gli indirizzi come appartenenti al dominio, ma così facendo non posso configurare il firewall in maniera differente per le due schede.

    C'è un modo per rimuovere la scheda collegata al router così che venga spostata in un ambito di tipo pubblico?

    Grazie

    martedì 30 aprile 2013 21:01

Risposte

  • Ciao, in pratica stai cercando di configurare un DC multihomed, il che non è consigliato se non strettamente necessario perché solitamente sono molto problematici.

    Comunque è necessario per prima cosa configurare opportunamente il DNS:

    http://technet.microsoft.com/it-it/library/cc772564.aspx

    poi è necessario configurare la scheda di rete esterna senza gateway in modo che non possa rilevare il dominio e configurare una route statica persistente.

    Trovi ulteriori informazioni sulla procedura da seguire qui:

    http://networkadminkb.com/KB/a14/multihoming-a-windows-server.aspx

    http://www.minasi.com/forum/topic.asp?TOPIC_ID=32615

    martedì 30 aprile 2013 22:17
    Moderatore
  • installare un dc con due schede di rete su due piani di indirizzamento diversi è sbagliato.

    scollega il dc dal router e rimuovi la scheda di rete che utilizzavi per questo collegamento.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    mercoledì 1 maggio 2013 12:54
    Moderatore
  • Al di la che l'essentials è un prodotto a se, è erede di sbs, quindi molto particolare, il tuo discorso lo condivido fino ad un certo punto. Ok, ci sono pochi soldi, ok, non si può mettere su 2 server..ma tralasciando essentials che non è virtualizzabile, la 2012 R2 ti da apposta 2 istanze virtuali, a quel punto ad un server fai fare solo dc,dns e dhcp ed all'altro TS. Non è masi stato un problema di potenza di calcolo, il problema era che chi faceva installazioni "tutto in uno" aveva la gente che gli entrava sul DC col TS ed accedeva ai files tranquillamente potendoli cancellare. Poi chiaro, si fa di necessità virtù, ma siamo nell'era della virtualizzazione (già da un po) e con due istanze virtuali del sistema ci fai più o meno quello che vuoi ad oggi. Se poi devi mettere sql,dc,dhcp,vpn,ts,exchange,fileserver tutti sulla stessa macchina allora qualche soldo lo devi spendere, un sistema solo non ti basta.

    Ciao.

    A.

    PS non riaprire thread di 3 anni fa. non vengono visualizzati da nessuno. Grazie.

    mercoledì 20 gennaio 2016 11:21
    Moderatore

Tutte le risposte

  • Ciao, in pratica stai cercando di configurare un DC multihomed, il che non è consigliato se non strettamente necessario perché solitamente sono molto problematici.

    Comunque è necessario per prima cosa configurare opportunamente il DNS:

    http://technet.microsoft.com/it-it/library/cc772564.aspx

    poi è necessario configurare la scheda di rete esterna senza gateway in modo che non possa rilevare il dominio e configurare una route statica persistente.

    Trovi ulteriori informazioni sulla procedura da seguire qui:

    http://networkadminkb.com/KB/a14/multihoming-a-windows-server.aspx

    http://www.minasi.com/forum/topic.asp?TOPIC_ID=32615

    martedì 30 aprile 2013 22:17
    Moderatore
  • Ciao, in pratica stai cercando di configurare un DC multihomed, il che non è consigliato se non strettamente necessario perché solitamente sono molto problematici.


    ..ma non è che vuole fare un semplice RRAS server e far gestire le connessioni della lan privata al 2012 mettendo l'ip pubblico sulla lan esterna ed il privato sulla lan interna ed usando il 2012 come firewall?

    Boh..magari ho capito male io.

    comunque in caso...qui c'è la config.

    http://www.falconitservices.com/support/KB/Lists/Posts/Post.aspx?ID=77

    mercoledì 1 maggio 2013 11:43
    Moderatore
  • installare un dc con due schede di rete su due piani di indirizzamento diversi è sbagliato.

    scollega il dc dal router e rimuovi la scheda di rete che utilizzavi per questo collegamento.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    mercoledì 1 maggio 2013 12:54
    Moderatore
  • Ciao, in pratica stai cercando di configurare un DC multihomed, il che non è consigliato se non strettamente necessario perché solitamente sono molto problematici.


    ..ma non è che vuole fare un semplice RRAS server e far gestire le connessioni della lan privata al 2012 mettendo l'ip pubblico sulla lan esterna ed il privato sulla lan interna ed usando il 2012 come firewall?

    Boh..magari ho capito male io.

    comunque in caso...qui c'è la config.

    http://www.falconitservices.com/support/KB/Lists/Posts/Post.aspx?ID=77


    un dc non fa il firewall, questa è follia :)

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    mercoledì 1 maggio 2013 12:55
    Moderatore
  • Ah ah, si dai se fosse per MS al Dc farebbe fare solo il DC, ma è una noia mortale per ste povere macchine. :) Dovrebbe regalare una "licenza domain controller" allora sarebbe diverso. Gli facciamo fare vpn server va meglio? ;) da "firewall" intendevo un po di filtraggio..poi lo fai passare per un firewall "vero" dai non mi cassare sempre ;)...se hai già un router cosa te ne fai di fare far da router ad un'altro server poi...boh!! Ciao bella gente. A.
    mercoledì 1 maggio 2013 13:28
    Moderatore
  • io parlo di best practices, se poi vogliamo fare accrocchi, possiamo farli, basta farli consapevolmente e non piangere dopo.

    buon primo maggio anche a te ;-)


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    mercoledì 1 maggio 2013 15:11
    Moderatore
  • Ciao, in pratica stai cercando di configurare un DC multihomed, il che non è consigliato se non strettamente necessario perché solitamente sono molto problematici.


    ..ma non è che vuole fare un semplice RRAS server e far gestire le connessioni della lan privata al 2012 mettendo l'ip pubblico sulla lan esterna ed il privato sulla lan interna ed usando il 2012 come firewall?

    Boh..magari ho capito male io.

    comunque in caso...qui c'è la config.

    http://www.falconitservices.com/support/KB/Lists/Posts/Post.aspx?ID=77

    E' esattamente quello che mi serve! O meglio ho un solo server col quale devo fare tutto e quindi non mi posso permettere di avere un DC, un firewall, un file server ecc. Con questo DC devo poter fare tutto.

    In pratica la situazione è questa (parto dall'esterno che per me rappresenta il mio ip pubblico).

    ho un router, con IP pubblico esterno ed IP privato interno, a questo ho collegato direttamente il mio DC che quindi ha un IP di stessa classe dell'IP privato interno del router.

    Il DC ha una seconda scheda di rete alla quale è attaccato lo switch della rete interna, crea così una seconda sottorete.

    tra router e DC gli ip sono del tipo 192.168.1.1 (subnetmask 255.255.255.0)

    tra DC e client interni 192.168.0.1 (subnetmask 255.255.255.0)

    So che non è così che andrebbe fatta una rete fatta bene, ma diciamo che così devo fare. Il problema sorge poiché il router ha accesso anche wifi e quindi un eventuale client che si collega potrebbe avere un ip tipo 192.168.1.12. Quest'ultimo deve poter accedere ad internet, ma non necessariamente al dominio.

    Ecco perché vorrei far si che chi è tra router e dominio li rimanga. la soluzione più comoda mi sembra appunto quella di piazzare un firewall sulla scheda del DC collegata al router.

    Con la soluzione di Alessandro dovrei risolvere.

    Ho poi un altro problema: alcuni dei client collegati interni al dominio (192.168.0.1 per capirci) sono client temporanei che non sono quindi aggiunti come computer del dominio, ma devono comunque poter accedere AD ALCUNE delle condivisione di questo (protette con password e login di utenti del dominio). Ora non ho idea del perché, ma quando cerco di accedere da un pc fuori dominio ma collegato all'interno del dominio, non ne vuole sapere di accedere.

    Reti (oscene) analoghe ne ho fatte altre in passato e con 2008R2 non ho mai avuto problemi. Ora con 2012 sembra che sia una battaglia persa. qualche sa darmi una dritta?

    venerdì 3 maggio 2013 20:42
  • la cosa che non capisco della tua configurazione è questa: il tuo dc ha due schede di rete su due subnet diverse, così facendo il tuo dc si pone tra i client della rete interna e il router. ora, quali funzionalità di firewalling o di packet inspection fa il tuo dc sul traffico tra client e internet ? se la risposta è "nessuna" allora perché no usi una sola subnet mettendo come gateway dei client direttamente l'ip lato lan del router ?

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    sabato 4 maggio 2013 06:40
    Moderatore
  • Le subnet sono le stesse (255.255.255.0), e sostanzialmente è così che faccio. Il problema si pone semmai sul fatto che entrambe le schede mi vengono viste come di dominio e quindi non posso configurare separatamente i profili dei firewall che, internamente (tra client e DC) potrebbe non esserci, ma tra router e DC invece mi serve!

    sabato 4 maggio 2013 08:34
  • Le subnet sono le stesse (255.255.255.0), e sostanzialmente è così che faccio.


    mi sono espresso male io: per subnet non intendevo le subnet mask ma proprio la sottorete intesa come piano di indirizzamento ossia 192.168.0.x dove solo x è variabile. per sottorete intendevo proprio il range 192.168.0.1-192.168.0.255

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    sabato 4 maggio 2013 10:02
    Moderatore
  • Mea Culpa!

    Ho letto male anche io sorry.

    Come dicevo il firewall dovrebbe evitare a chi entra in wireless tra router e DC di accedere al DC.

    Ad ogni modo il problema permane, come faccio a spiegare che una scheda è per il DC una WAN e l'altra invece è una LAN?

    E poi mi si è aggiunta un'altra domanda:

    condividendo una cartella, posso abilitare la voce: Enumerazione basata sull'accesso. A quanto pare se un utente non ha permessi su quella cartella, allora non dovrebbe vederla quando si connette al DC via Explorer. Per esempio:

    due utenti, pippo (gruppo administrators) e pluto (gruppo users).

    cartella condivisa: \\DC\pincopalla, pemessi completi per gruppo Administrators.

    Se entro con pluto facendo \\DC, vedo tutte le condivisioni.

    Ma non dovrebbe essere così dico bene?

    sabato 4 maggio 2013 15:57
  • Secondo me invece di complicarsi la vita con una configurazione di un DC multihomed nel tuo caso sarebbe meglio utilizzare direttamente un dispositivo hardware per separare le reti (magari implementando anche delle VLAN vere e proprie) oppure utilizzare un secondo computer con due schede di rete (ad esempio utilizzando la distribuzione gratuita Zeroshell se non hai hardware particolarmente potente). In questo modo il DC può avere una sola scheda di rete e guadagni in sicurezza e semplicità di gestione.

    Ad esempio una soluzione semplice potrebbe essere questa:

    - Disabilitazione del DHCP lato router

    - Configurazione del server con IP statico e configurazione DHCP su range router

    - Configurazione di Zeroshell su un computer con due schede di rete, configurazione di DHCP per la rete interna (ovviamente con range diverso) e IP statico per la rete esterna

    - Collegamento degli access point ad uno switch collegato alla "scheda di rete interna" di Zeroshell

    - Configurazione firewall di Zeroshell per rifiutare le connessioni al range del router




    sabato 4 maggio 2013 17:32
    Moderatore
  • Eh si sarebbe bello, ma stai parlando di una rete molto più grande ed estesa di quello che necessita.

    come ho detto sopra così la rete deve essere fatta e questo server deve sostanzialmente fare tutto.

    Ad ogni modo, tutto fa scuola e quindi anche il tuo consiglio mi è ben gradito ma per future applicazioni nelle quali potrò fare di meglio. Per ora devo limitarmi a far funzionare questa "rete".

    sabato 4 maggio 2013 18:40
  • Nel mio primo intervento trovi una soluzione per escludere la rete esterna dall'ambito di dominio e proseguire quindi con la strada del DC multihomed, comunque se il problema è il numero di server o apparati considera che potresti anche sfruttare direttamente una macchina virtuale sullo stesso server, collegandola in bridge con le due schede di rete fisiche. Fidati che la separazione del DC è solo un vantaggio, anche se questo può comportare un maggiore impegno nella configurazione di reti virtuali. Nel tuo caso potresti anche valutare l'installazione di Hyper-V Server 2012 sull'host (che già possiede due schede di rete) e la virtualizzazione sia del DC che del NAT/firewall. In questo modo avresti i due ambienti logicamente separati ma contenuti all'interno della stessa macchina fisica. Ovviamente Zeroshell è solo un esempio, nulla ti impedisce di installare un secondo Windows Server con il ruolo di routing e accesso remoto.
    sabato 4 maggio 2013 22:28
    Moderatore
  • Ad ogni modo il problema permane, come faccio a spiegare che una scheda è per il DC una WAN e l'altra invece è una LAN?

    non si può "far sapere" al DC che ha una scheda in WAN ed una in LAN, proprio per questo i DC non devono avere più di una scheda di rete.

    già quando si vuole fargli fare da endpoint di vpn sfruttando il ras diventa un macello, figuriamoci in una configurazione come la tua.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    domenica 5 maggio 2013 07:02
    Moderatore
  • Ciao,

    In attesa delle tue notizie, ho evidenziato le dritte sopra.

    Grazie a tutti della participazione nel Forum di Windows Server :-)


    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.

    martedì 28 maggio 2013 14:34
  • Io personalmente ho lo stesso problema, vorrei solo capire perché un'opzione che fino alla versione 2008 era una passeggiata, di colpo è diventato un problema insormontabile. Nelle piccole realtà dove c'è comunque esigenza di un server (ma due sarebbero troppo costosi) è una necessità avere un server che abbia più ruoli, oltretutto data la potenza di calcolo delle nuove cpu e il sempre più basso costo delle memorie sia RAM che dischi, non ci dovrebbero essere problemi ad avere un unico server che faccia DC, routing, DNS, DHCP, VPN, accesso remoto e firewall. Su win 2012 server essentials, ma anche sulla TP 2016 che sto testando in laboratorio questa sta diventando un'impresa epica, e tra l'altro non si trova documentazione adeguata in merito. Premetto che con Zentyal Server 4.2 (prodotto open source) riesco a configurare tutti questi ruoli, senza alcun problema, in circa 2 ore di lavoro (e su un pc con processore datato e solo 4 gb di ram girano tutti senza alcun problema) ..... della serie perché complicarsi la vita??
    mercoledì 20 gennaio 2016 09:23
  • Al di la che l'essentials è un prodotto a se, è erede di sbs, quindi molto particolare, il tuo discorso lo condivido fino ad un certo punto. Ok, ci sono pochi soldi, ok, non si può mettere su 2 server..ma tralasciando essentials che non è virtualizzabile, la 2012 R2 ti da apposta 2 istanze virtuali, a quel punto ad un server fai fare solo dc,dns e dhcp ed all'altro TS. Non è masi stato un problema di potenza di calcolo, il problema era che chi faceva installazioni "tutto in uno" aveva la gente che gli entrava sul DC col TS ed accedeva ai files tranquillamente potendoli cancellare. Poi chiaro, si fa di necessità virtù, ma siamo nell'era della virtualizzazione (già da un po) e con due istanze virtuali del sistema ci fai più o meno quello che vuoi ad oggi. Se poi devi mettere sql,dc,dhcp,vpn,ts,exchange,fileserver tutti sulla stessa macchina allora qualche soldo lo devi spendere, un sistema solo non ti basta.

    Ciao.

    A.

    PS non riaprire thread di 3 anni fa. non vengono visualizzati da nessuno. Grazie.

    mercoledì 20 gennaio 2016 11:21
    Moderatore

  • PS non riaprire thread di 3 anni fa. non vengono visualizzati da nessuno. Grazie.

    non è del tutto vero :-)

    Edoardo Benussi
    Microsoft MVP - Enterprise Mobility
    edo[at]mvps[dot]org


    giovedì 21 gennaio 2016 09:39
    Moderatore
  • :-) solo da chi vi ha partecipato..quindi 2-3 persone :-)
    giovedì 21 gennaio 2016 10:13
    Moderatore
  • Visto che il thread l'ho aperto io mi sembra giusto rispondere.

    Il problema è tutt'ora reale e benché secondo la best practise non sia certo una soluzione ideale, è assolutamente fastidioso che non si possa utilizzare un server Windows anche come firewall o altro.

    Ormai con i nuovi router, anche quelli più casalinghi, si può sistemare la situazione facilmente, ma in talune circostante utilizzare un server in multihoming può essere veramente comodo.

    Per altro server 2012 è un sistema eccellente per il trasferimento dati, offre la facilità di configurazione di Windows, ma con la possibilità di andare in profondità ed ottimizzare la configurazione come si vuole...quasi in tutto.

    Detto questo, server 2012 r2 essential è virtualizzabile, ma certo non rende rispetto a lui stesso installato su macchina fisica.

    Concludo dicendo che dalle esperienze fatte di recente, Windows Server è sicuramente un ottimo sistema, ma finché rimane utilizzabile per tutti gli scopi "facilmente".

    giovedì 21 gennaio 2016 10:35
  • Pigiando alacremente sui tastini, Alessandro-Vannini [MVP] scrisse:

    :-) solo da chi vi ha partecipato..quindi 2-3 persone :-)

    Beh, chi legge da NNTP Bridge lo vede tuttora. Quanti saremo?


        Luca Amicone

    giovedì 21 gennaio 2016 10:41
  • 5-6? :-) ah ah...ragazzi, m'han sempre detto "non fate riaprire thread indietro di anni, piuttosto fatene aprire uno nuovo"...e così faccio.. :-) 
    giovedì 21 gennaio 2016 10:44
    Moderatore
  • Devo fare una correzione, si certo Essentials è virtualizzabile, intendevo che non ha istanze di virtualizzazione, è Foundation che non è supportato nemmeno virtuale..sebbene funzioni lo stesso anche in vm.

    Ma come dici tu le prestazioni in virtuale mentre sulle standard sono molto similari al fisico sulle essentials fanno molta più fatica..e sono parecchio piu lente.

    Ciao.

    A.

    giovedì 21 gennaio 2016 10:57
    Moderatore