none
problema DNS AD su PDC che usa commutatore di rete virtuale di Hyper-V RRS feed

  • Domanda

  • Ciao a tutti,

    su un PDC (WS 2012 standard ed.) uso anche Hyper-V (dove c'è hostata una VM guest WS2012R2)
    l'nslookup mi da il "classico" problema del DNS request timeout, server predefinito: Unknown)

    nella stessa lan c'è anche un vecchio DC (anch'esso GC) che non presenta il suddetto problema (che viene usato come DNS AD secondario della lan stessa)

    nella coda eventi del DNS (del PDC) non ho nessun errore e nessuna "x rossa"

    ipconfig /all

    Configurazione IP di Windows
       Nome host . . . . . . . . . . . . . . : miodominio-srv1
       Suffisso DNS primario . . . . . . . . : miodominio.local
       Tipo nodo . . . . . . . . . . . . . . : Ibrido
       Routing IP abilitato. . . . . . . . . : No
       Proxy WINS abilitato . . . . . . . .  : No
       Elenco di ricerca suffissi DNS. . . . : miodominio.local
    Scheda Ethernet vEthernet (Broadcom NetXtreme Gigabit Ethernet - Virtual Switch):
       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : Scheda Ethernet virtuale Hyper-V #2
       Indirizzo fisico. . . . . . . . . . . : E0-DB-55-16-92-2E
       DHCP abilitato. . . . . . . . . . . . : No
       Configurazione automatica abilitata   : Sì
       Indirizzo IPv4. . . . . . . . . . . . : 192.168.1.17(Preferenziale)
       Subnet mask . . . . . . . . . . . . . : 255.255.255.0
       Gateway predefinito . . . . . . . . . : 192.168.1.1
       Server DNS . . . . . . . . . . . . .  : 192.168.1.17
                                               192.168.1.16
       NetBIOS su TCP/IP . . . . . . . . . . : Attivato
    Scheda Ethernet NIC2:
       Stato supporto. . . . . . . . . . . . : Supporto disconnesso
       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet #2
       Indirizzo fisico. . . . . . . . . . . : E0-DB-55-16-92-30
       DHCP abilitato. . . . . . . . . . . . : Sì
       Configurazione automatica abilitata   : Sì
    Scheda Tunnel isatap.{623E0DA4-2FC6-4D94-A73F-8B032E49A8B4}:
       Stato supporto. . . . . . . . . . . . : Supporto disconnesso
       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : Microsoft ISATAP Adapter
       Indirizzo fisico. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP abilitato. . . . . . . . . . . . : No
       Configurazione automatica abilitata   : Sì
    Scheda Tunnel Teredo Tunneling Pseudo-Interface:

       Stato supporto. . . . . . . . . . . . : Supporto disconnesso
       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Indirizzo fisico. . . . .

    dcdiag /test:dns

    Diagnosi server di directory
    Esecuzione della configurazione iniziale:
       Ricerca dell'home server in corso...
       Home server: miodominio-srv1
       * Foresta di Active Directory identificata.
       Raccolta delle informazioni iniziali completata.
    Esecuzione dei test obbligatori iniziali
       Server in fase di test: Default-First-Site\miodominio-SRV1
          Inizio test: Connectivity
             ......................... miodominio-SRV1 ha superato il test Connectivity
    Esecuzione dei test principali
       Server in fase di test: Default-First-Site\miodominio-SRV1
          Inizio test: DNS
             I test DNS sono in esecuzione e non bloccati. Attendere alcuni minuti...
             ......................... miodominio-SRV1 ha superato il test DNS
       Test partizione in esecuzione su: ForestDnsZones
       Test partizione in esecuzione su: DomainDnsZones
       Test partizione in esecuzione su: Schema
       Test partizione in esecuzione su: Configuration
       Test partizione in esecuzione su: miodominio
       Test organizzazione in esecuzione su: miodominio.local
          Inizio test: DNS
             Risultati dei test per i controller di dominio:
                Controller di dominio: miodominio-srv1.miodominio.local
                Dominio: miodominio.local

                   TEST: Basic (Basc)
                      Avviso: il server DNS per la scheda [00000017] Scheda Ethernet virtuale Hyper-V non è valido: 192.168.1.17 (miodominio-srv1.miodominio.local.)
                   TEST: Delegations (Del)
                      Errore: server DNS: miodominio-srv1.miodominio.local., IP:192.168.1.17 [Broken delegated domain _msdcs.miodominio.local.]
             Riepilogo dei risultati dei test per i server DNS utilizzati dai controller di dominio specificati:
                Server DNS: 192.168.1.17 (miodominio-srv1.miodominio.local.)
                   Errore nel test 2 per questo server DNS
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 192.168.1.17               Name resolution is not functional. _ldap._tcp.miodominio.local. fail
    ed on the DNS server 192.168.1.17

    altri dettagli (intendo nel commutatore virtuale in funzione)

    il protocollo IPV6 è disabilitato, nelle impostazioni avanzate tcpip (wins) è acceso "Abilita NetBIOS su tcpip"
    (dns) è acceso Registra nel DNS gli indirizzi di questa connessione

    ho provato anche a dare il comando ipconfig /registerdns
    a svuotare la cache e riavviare il DNS più volte, ma il problema permane

    qualche suggerimento?

    grazie mille
    ciao

    massimo


     




    giovedì 18 ottobre 2018 11:50

Tutte le risposte

  • PDC non esiste più da Windows NT come nomenclatura.

    La macchina Hyper-v deve fare SOLO Hyper-v.  Se no si incasina con le network. Spesso viene messa in modalità core proprio per evitare paciughi. Vmware la sa lunga a riguardo. Sull'hyper-v base non ci fai niente.

    A te fa sia DC che Hypervisor. la config è errata e soggetta a svariate anomalie tipo quella che hai li.

    Va cambiata. Dividi i ruoli. Sposta la VM da un'altra parte e togli Hyper-v dal DC. 

    Tutto funzionerà.

    ciao.

    A.

    giovedì 18 ottobre 2018 16:03
    Moderatore
  • dimenticavo.

    https://docs.microsoft.com/en-us/windows-server/virtualization/hyper-v/best-practices-analyzer/hyper-v-should-be-the-only-enabled-role

    ciao.

    A.

    giovedì 18 ottobre 2018 16:06
    Moderatore
  • ho comunicato al Cliente la cosa
    ora vedo di spostare la VM su un altro server (NON DC) in modo da disinstallare completamente sul PDC l'hypervisor

    però MS dovrebbe mettere un warning quando si installa il ruolo HV su un DC/AD, sarebbe più opportuno ;)

    massimo

    mercoledì 24 ottobre 2018 07:48
  • >PDC non esiste più da Windows NT come nomenclatura.

    come devo chiamare la macchina che detiene tutti e 5 i ruoli FSMO?

    grazie ;)

    massimo

    mercoledì 24 ottobre 2018 07:49


  • però MS dovrebbe mettere un warning quando si installa il ruolo HV su un DC/AD, sarebbe più opportuno ;)

    massimo

    Ah son d'accordo...ma anche un sistemista dovrebbe leggersi le best practise prima di installare qualcosa di nuovo ;-) è scritto in tutti i testi sull'hyper-v, quindi non l'han tenuto nascosto...:-) :-)

    Il PDC si chiama semplicemente DC. come tutti gli altri DC :-) Magari se vuoi puoi chiamarlo "Master" ma sono tutti allo stesso livello.

    ciao!

    A.

    mercoledì 24 ottobre 2018 13:21
    Moderatore
  • ho esportato la vm contenuta, disinstallato il ruolo HV, riavviato server
    ipconfig /flushdns 
    ipconfig /registerdns

    non ho errori (X rosse) nella coda eventi del DNS, ma l'nslookup va sempre in timeout :(

    dcdiag testdns

    Esecuzione della configurazione iniziale:
       Ricerca dell'home server in corso...
       Home server: miodominio-srv1
       * Foresta di Active Directory identificata.
       Raccolta delle informazioni iniziali completata.
    Esecuzione dei test obbligatori iniziali
       Server in fase di test: Default-First-Site\miodominio-SRV1
          Inizio test: Connectivity
             ......................... miodominio-SRV1 ha superato il test Connectivity
    Esecuzione dei test principali
       Server in fase di test: Default-First-Site\miodominio-SRV1
          Inizio test: DNS
             I test DNS sono in esecuzione e non bloccati. Attendere alcuni minuti...
             ......................... miodominio-SRV1 ha superato il test DNS
       Test partizione in esecuzione su: ForestDnsZones
       Test partizione in esecuzione su: DomainDnsZones
       Test partizione in esecuzione su: Schema
       Test partizione in esecuzione su: Configuration
       Test partizione in esecuzione su: miodominio
       Test organizzazione in esecuzione su: miodominio.local
          Inizio test: DNS
             Risultati dei test per i controller di dominio:
                Controller di dominio: miodominio-srv1.miodominio.local
                Dominio: miodominio.local

                   TEST: Basic (Basc)
                      Avviso: il server DNS per la scheda [00000010] Broadcom NetXtreme Gigabit Ethernet non è valido: 192.168.1.17 (miodominio-srv1.miodominio.local.)
                   TEST: Delegations (Del)
                      Errore: server DNS: miodominio-srv1.miodominio.local., IP:192.168.1.17 [Broken delegated domain _msdcs.miodominio.local.]
             Riepilogo dei risultati dei test per i server DNS utilizzati dai controller di dominio specificati:
                Server DNS: 192.168.1.17 (miodominio-srv1.miodominio.local.)
                   Errore nel test 2 per questo server DNS
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 192.168.1.17               Name resolution is not functional. _ldap._tcp.miodominio.local. fail
    ed on the DNS server 192.168.1.17
             Riepilogo dei risultati dei test DNS:
                                                Aut Basc Inol Del  Din  RegR Est
                _________________________________________________________________
                Dominio: miodominio.local
                   miodominio-srv1                  PASS WARN PASS FAIL PASS PASS n/a
             ......................... miodominio.local non ha superato il test DNS

    giovedì 1 novembre 2018 13:50
  • controlla le tabelle DNS che non ci siano ip duplicati che puntano al DC. Fai anche un reset del winsock. Ipotizzo che l'errata config abbia incasinato il sistema. Comunque, puoi sempre usare un altro server come DNS..almeno per capire se il problema è la macchina fisica o c'è qualcos'altro che ti inficia il funzionamento. per non saper ne leggere ne scrivere dinsintallerei la scheda a livello drivers e la rimetterei su. In quel caso parti almeno da una situazione pulita.

    venerdì 2 novembre 2018 16:23
    Moderatore
  • piccolo aggiornamento ho dato il reset del winsock
    riavviato server

    ma ho ancora il timeout sull'nslookup (non ho errori nella coda eventi del DNS)

    la reinstallazione della scheda da remoto non la posso fare (il DC è un server fisico) 

    per il controllo delle tabelle DNS, così ad una prima occhiata veloce non mi sembra ci siano duplicazioni di IP,
    dove trovo maggiori informazioni su questa eventuale casistica?

    aggiungo una info (srv2 è nella stessa lan, 3,4,5 sono connessi in tunnel vpn, ma perfettamente raggiungibili, sia come ping, sia con le altre porte necessarie):

    repadmin /replsummary
    Ora di inizio riepilogo replica: 2018-11-05 11:52:12
    Inizio raccolta dati per il riepilogo della replica. Attendere:
      ........

    DSA di destin.     delta maggiore op. non riuscite/tot. %% errore
     miodominio-SRV1               01m:10s    0 /  10    0
     miodominio-SRV2       42d.15h:01m:21s   10 /  20   50  (1818) La chiamata di procedura remota � stata annullata.
     miodominio-SRV3               01m:47s    0 /  15    0

    Si sono verificati gli errori operativi seguenti durante il tentativo di raccolta delle informazioni di replica:
              58 - miodominio-srv4.miodominio.local
              58 - miodominio-srv5.miodominio.local

    aggiunta

    ho installato il tool active directory replication status tool
    e mi da failure solo verso il 4 e il 5, mentre verso il 2 mi da success (cosa che invece non mi sarei aspettato, visto gli esiti del repadmin)

    sul 4 e 5 mi dice impossibile trovare o contattare il controller di dominio
    (ma li pingo correttamente e vedo il traffico sui firewall passare all'interno delle VPN verso le rispettive porte ldap rpc epmap ecc..)


    lunedì 5 novembre 2018 12:29