none
Server in VPN con VPN spenta RRS feed

  • Domanda

  • Ho due domini collegati da VPN

    Nel dominio2 ho un server (non DC) appartenente al dominio1 (è una VM). Fino a quando la VPN è su, i pc del dominio2 riescono ad accedere al server, quando la VPN va giù, mancando il router di collegamento.

    Ho pensato di aggiungere una scheda di rete al server, una con IP della rete del dominio1 e una con IP della rete del dominio2. Questo ovviamente funziona bene se la VPN è giù, ma cosa succede quando la VPN è attiva?

    Il mio obiettico è arrivare ad accedere a quel server indipendentemente dalla presenza della VPN


    Gianni

    lunedì 9 aprile 2018 19:03

Risposte

  • Si, utilizzando account locali non dovresti avere problemi, ma le autenticazioni dovranno essere esplicite memorizzando le credenziali sui vari client.
    Comunque mi sembra di capire che il tuo è più un problema di networking: se la VPN è di tipo LAN-to-LAN dovresti poter utilizzare direttamente un indirizzo IP della subnet della rete 2 anche sul server appartenente al dominio 1 senza problemi. L'importante è che dalla rete 2 risultino direttamente raggiungibili gli IP della rete 1 senza passare da NAT o altro (reti in bridge). Secondo me c'è quindi da rivedere il routing tra le due reti, volendo potresti anche pensare di aggiungere una rotta statica sul server appartenente al dominio 1 per permettergli di comunicare con la subnet della rete 1.
    • Contrassegnato come risposta GAlbori martedì 10 aprile 2018 15:48
    martedì 10 aprile 2018 08:39
    Moderatore

Tutte le risposte

  • Tralasciando il fatto che DC non dovrebbe mai avere due schede di rete (multihoming), non ho capito esattamente come è fatta la tua rete....
    Per dominio 2 intendi un dominio vero e proprio o un sito geografico?
    lunedì 9 aprile 2018 19:23
    Moderatore
  • Il Server non è DC, i due domini sono domini veri e propri geograficamente distanti e collegati con VPN.

    il server in questione è appartenente al dominio1, ma fisicamente collocato nella LAN del dominio2


    Gianni

    lunedì 9 aprile 2018 20:00
  • Ora ho ricostruito la situazione, stiamo parlando del problema di questa discussione giusto?
    Quando la VPN è offline i client del dominio 2 probabilmente non possono collegarsi al server inserito nel dominio 1 perché non può più essere eseguita l'autenticazione degli account mediante il trust.
    Dovresti far diventare il server inserito nella sede 2 un DC per il dominio 1 e utilizzarlo per il trust, in questo modo anche in mancanza di collegamento dovrebbe venire garantita l'autenticazione.
    Nella sede 1 non dovrebbe invece cambiare nulla perché male che vada sarà solo andato offline uno dei due DC del dominio, ma le autenticazioni potranno continuare ad essere eseguite tramite il DC locale (eccetto ovviamente le autenticazioni degli account del dominio 2).

    In pratica è il problema di affidabilità del trust tra foreste che ti avevo già accennato nell'altra discussione:

    Certo, puoi sempre aggiungere un secondo server appartenente al dominio dell'altra sede (non serve che sia anche un DC) [....] Comunque non so quanto possa essere affidabile con un trust tra foreste. In caso di eventuali problemi il gruppo di replica potrebbe non riuscire ad autenticarsi sul server impedendo l'accesso ai file.


    lunedì 9 aprile 2018 21:29
    Moderatore
  • Ciao Fabrizio, si, il problema è quello, non ho proseguito l'altra discussione perchè quel problema era stato risolto e il thread chiuso

    Il mio dubbio però è che non sia un problema di autorizzazione, ma di rete non raggiungibile. Mi spiego. Il server nella rete2 (192.168.16.xx) è nel dominio1 ha quindi un IP della rete 192.168.52.xx. Cadendo la VPN quella rete non è più raggiungibile. Per inciso, se come utente uso un utente locale del server, dovrei riuscire ad autenticarmi lo stesso anche in mancanza del DC del dominio1?


    Gianni

    martedì 10 aprile 2018 06:47
  • Si, utilizzando account locali non dovresti avere problemi, ma le autenticazioni dovranno essere esplicite memorizzando le credenziali sui vari client.
    Comunque mi sembra di capire che il tuo è più un problema di networking: se la VPN è di tipo LAN-to-LAN dovresti poter utilizzare direttamente un indirizzo IP della subnet della rete 2 anche sul server appartenente al dominio 1 senza problemi. L'importante è che dalla rete 2 risultino direttamente raggiungibili gli IP della rete 1 senza passare da NAT o altro (reti in bridge). Secondo me c'è quindi da rivedere il routing tra le due reti, volendo potresti anche pensare di aggiungere una rotta statica sul server appartenente al dominio 1 per permettergli di comunicare con la subnet della rete 1.
    • Contrassegnato come risposta GAlbori martedì 10 aprile 2018 15:48
    martedì 10 aprile 2018 08:39
    Moderatore
  • Allora. Ho fatto alcune prove sfuttando la rete di un mio amico come se fosse il dominio2 :)

    Server in LAN2 con IP della LAN2 (anche se appartenente al dominio1), SQL Express installato sul Server

    Con VPN su, nessun problema, ne ad accedere al server dalla LAN2, ne ad accedere ad SQL, ne nell'uso di DFS

    Con VPN giù, SQL funzionante ancora e accesso al server con utente locale del server funzionante. Non ho messo nessuna route statica. Ho visto che l'accesso è molto meglio se utilizzo unità mappate (usando l'account locale del server) e questo è quanto mi serviva

    Tengo tutto un pò in test, ma direi che il risultato è buono.

    Per il momento grazie :)


    Gianni


    • Modificato GAlbori martedì 10 aprile 2018 15:47
    martedì 10 aprile 2018 15:42