none
problemi convivenza RRS feed

  • Domanda

  • Buongiorno a tutti, ho questo problema un dominio svr 2003 sp2 server dns e file server, connessione ad internet via adsl telecom.

    Un fornitore del mio cliente impone una rete a parte con connessione via fastweb al portale aziendale del fornitore.

    Il mio cliente mi chiede se si possano unire le due reti con connessione unica fastweb. Le unisco via pfsense che fà anche da dhcp, ma sorge un problema, se imposto i dns per la rete fastweb e funziona il collegamento al portale non riesco più a vedere il server, se metto come dns (anche secondario) il server, la rete funziona ma non riesco ad accedere al portale.

    Ho già tolto e rimesso i client dal dominio con risultati ottimo, fin allo spegnimento del server.

    Qualcun ha qualche idea?

    Grazie 


    Da A a B non sempre la linea retta è la più breve
    giovedì 1 settembre 2011 07:08

Risposte

  • 2 E' quello che si vuole evitare perchè l' operatore non deve cambiare pc per fare prima un lavoro sul dominio e poi sulla wan.

    1 Perchè è una compagnia di assicurazioni


    posso fare un nome ? Allianz-Ras ?

    se il nome è diverso comunque non mi sorprende.

    io sono un broker di assicurazioni e, come ti ho detto, sono nella stessa situazione, ho la postazione separata perchè non intendo mettere a rischio il funzionamento del mio dominio solo perchè chi ha strutturato le applicazioni nelle compagnie di assicurazioni sono fissati col voler creare delle vpn per le quali il piano di indirizzamento è il loro.

    in fondo le applicazioni potrebbero funzionare semplicemente come web app senza alcuna necessità di una connessione vpn ma questo diminuirebbe, secondo gli IT delle compagnie, il livello di sicurezza. io credo che il livello di sicurezza può essere garantito anche da un'applicazione ben scritta ;-)

    questo tipo di infrastruttura permette alle compagnie di aumentare il livello di sicurezza del loro dominio ma danneggia i domini dei partners.

    ora vedi tu cosa consigliare al tuo cliente.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    • Proposto come risposta Fabrizio Volpe lunedì 5 settembre 2011 08:23
    • Contrassegnato come risposta Fabrizio Volpe lunedì 5 settembre 2011 09:36
    venerdì 2 settembre 2011 07:19
    Moderatore
  • Avevo pensato, visto che lavorano solo con file server, a creare unità che puntino direttamente al server via indirizzo ip, senza risoluzione di nomi (non si scambiano dati i client).

    Oppure sposto il file server su una "piattaforma alternativa" senza problemi dns.


    non ho capito: se il dns non ti serve non ti basta mettere una rotta statica per l'ip del server di compagnia lasciando tutto il resto della configurazione di rete del tuo dominio inalterata ?
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    • Contrassegnato come risposta Fabrizio Volpe lunedì 5 settembre 2011 09:36
    venerdì 2 settembre 2011 08:25
    Moderatore

Tutte le risposte

  • poichè hai un dominio windows, se vuoi evitare malfunzionamenti, non puoi privarti di avere come dns sui clients l'ip del domain controller.

    perchè l'accesso al protale del fornitore richiede che sia definito un dns della rete del fornitore ?

    io per un caso simile ho dovuto mettere delle macchine fuori dominio da utilizzarsi solo per la connessione alla rete del partner.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    giovedì 1 settembre 2011 09:10
    Moderatore
  • Se ho capito bene la domanda tu hai due ADSL una Telecom ed una Fastweb, la prima la utilizzi per la normale navigazione e la seconda esclusivamente per accedere ad un portale Giusto?

    Se ho interpretato correttamente il problema, dal punto di vista dominio hai poco da fare perchè come tia gia detto Edoardo Benussi devi utilizzare il DNS interno. Potresti unire le due reti a livello di firewall multiwan indirizzando il traffico sul portale esclusivamente dalla ADSL Fastweb e tutto l'altro traffico da quella Telecom.

     

    Saluti

    Nino

    giovedì 1 settembre 2011 12:21
    Moderatore
  • 2 E' quello che si vuole evitare perchè l' operatore non deve cambiare pc per fare prima un lavoro sul dominio e poi sulla wan.

    1 Perchè è una compagnia di assicurazioni


    Da A a B non sempre la linea retta è la più breve
    giovedì 1 settembre 2011 16:31
  • Firewall multiwan?
    Da A a B non sempre la linea retta è la più breve
    giovedì 1 settembre 2011 16:32
  • Si, un'apparato che ti gestisce contemporaneamente le due ADSL e con le regole di instradamento puoi indirizzare il traffico su quella che decidi tu.

     

    Saluti

    Nino

     

    giovedì 1 settembre 2011 16:58
    Moderatore
  • 2 E' quello che si vuole evitare perchè l' operatore non deve cambiare pc per fare prima un lavoro sul dominio e poi sulla wan.

    1 Perchè è una compagnia di assicurazioni


    posso fare un nome ? Allianz-Ras ?

    se il nome è diverso comunque non mi sorprende.

    io sono un broker di assicurazioni e, come ti ho detto, sono nella stessa situazione, ho la postazione separata perchè non intendo mettere a rischio il funzionamento del mio dominio solo perchè chi ha strutturato le applicazioni nelle compagnie di assicurazioni sono fissati col voler creare delle vpn per le quali il piano di indirizzamento è il loro.

    in fondo le applicazioni potrebbero funzionare semplicemente come web app senza alcuna necessità di una connessione vpn ma questo diminuirebbe, secondo gli IT delle compagnie, il livello di sicurezza. io credo che il livello di sicurezza può essere garantito anche da un'applicazione ben scritta ;-)

    questo tipo di infrastruttura permette alle compagnie di aumentare il livello di sicurezza del loro dominio ma danneggia i domini dei partners.

    ora vedi tu cosa consigliare al tuo cliente.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    • Proposto come risposta Fabrizio Volpe lunedì 5 settembre 2011 08:23
    • Contrassegnato come risposta Fabrizio Volpe lunedì 5 settembre 2011 09:36
    venerdì 2 settembre 2011 07:19
    Moderatore
  • Si, un'apparato che ti gestisce contemporaneamente le due ADSL e con le regole di instradamento puoi indirizzare il traffico su quella che decidi tu.


    qui non è un semplice problema di instradamento o di gateway o di rotta statica, qui è un problema di dns perchè le compagnie di assicurazione quando installano postazioni di agenzia o subagenzia vogliono avere il controllo della macchina a cui concedono l'accesso alla loro intranet.

    ciao.

    ps: manco l'antivirus ti fanno installare :-)


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    venerdì 2 settembre 2011 07:22
    Moderatore
  • Inizia con la Z ed è svizzera :-)

    Il problema è che la compagnia si è disinteresata al client e gli hanno detto che sono cavoli loro, se gli piace è così se no si legano (impiccano) con loro.

    Avevo pensato, visto che lavorano solo con file server, a creare unità che puntino direttamente al server via indirizzo ip, senza risoluzione di nomi (non si scambiano dati i client).

    Oppure sposto il file server su una "piattaforma alternativa" senza problemi dns.

    Non vorrei riproporre la soluzione 2 pc.

    Grazie


    Da A a B non sempre la linea retta è la più breve
    venerdì 2 settembre 2011 08:08
  • Avevo pensato, visto che lavorano solo con file server, a creare unità che puntino direttamente al server via indirizzo ip, senza risoluzione di nomi (non si scambiano dati i client).

    Oppure sposto il file server su una "piattaforma alternativa" senza problemi dns.


    non ho capito: se il dns non ti serve non ti basta mettere una rotta statica per l'ip del server di compagnia lasciando tutto il resto della configurazione di rete del tuo dominio inalterata ?
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    • Contrassegnato come risposta Fabrizio Volpe lunedì 5 settembre 2011 09:36
    venerdì 2 settembre 2011 08:25
    Moderatore
  • Quindi la soluzione va bene, al PC incriminato lo fai uscire direttamente dalla loro ADSL con il loro DNS

    venerdì 2 settembre 2011 09:09
    Moderatore
  • Infatti è quello che ho fatto.

    Funziona tutto bene, speravo che qualcuno riuscisse a salvare capra e cavoli, ma evidentemente non è possibile.

    Grazie a tutti per la disponibilità.


    Da A a B non sempre la linea retta è la più breve
    lunedì 5 settembre 2011 09:08
  • Funziona tutto bene, speravo che qualcuno riuscisse a
    salvare capra e cavoli, ma evidentemente non è possibile.

    Disabilita il DHCP su "pfsense" ed abilita quello del DC,
    configura quindi il DHCP per far puntare i clients ai DNS
    AD (i DC) della tua rete e per usare "pfsense" come default
    gateway, a questo punto, modifica la routing table su
    "pfsense" in modo che i pacchetti indirizzati verso la
    rete remota (quella dell'assicurazione) vengano instradati
    in modo opportuno (sulla connex fastweb); in tal modo non
    dovrai apportare modifiche alla routing table dei clients
    e dovresti comunque essere in grado di ottenere ciò che
    hai chiesto (sempre che io abbia capito bene; credo che
    Edo abbia maggiori dettagli sull'argomento ;-D)

    Per il resto, concordo totalmente con Edoardo, c'è gente
    specie all'interno di grosse aziende/enti che crede di
    essere "il centro del mondo" e propone (anzi obbliga)
    soluzioni che non solo creano disagi alle utenze ma che,
    almeno in apparenza, sembrano indicare una totale
    ignoranza in materia di reti e connettività ... il che, come
    ovvio, non presenta una gran bella immagine :P

    lunedì 5 settembre 2011 15:51
  • Visto che con la rete statica funziona, mi fermo lì.

    Per quello che riguarda la questione "fate così e basta" è normale che se hai a che fare con una quantità enorme e variegata di clienti tendi a obbligare a fare ciò che vuoi, detto questo un minimo di flessibilità non guasterebbe.

    Grazie a tutti


    Da A a B non sempre la linea retta è la più breve
    martedì 6 settembre 2011 06:48
  • Per quello che riguarda la questione "fate così e basta" è normale
    che se hai a che fare con una quantità enorme e variegata di clienti

    Non esattamente, come ha già scritto Edo è possibile (e neanche
    troppo difficile) implementare soluzioni che offrano le stesse
    funzionalità
    ma che non siano talmente rigide da obbligare ad apportare modifiche
    anche pesanti all'infrastuttura del cliente

    martedì 6 settembre 2011 07:13
  • Grazie proverò.

    Se ti interessa ancora sapere come ho risolto il problema che avevo da un tuo "collega" con il proxy e i dns, ho tolto in dhcp server dal proxy e ho messo il dhcp sul dc con i dns interni cin ip del dc, per poter entrare in dominio, ed il dns esterno quello richiesto dalla casa. Il gw è il proxy.

    Pare funzioni.

    Saluti


    Da A a B non sempre la linea retta è la più breve

    • Split Anca Popa venerdì 26 ottobre 2012 08:28 unione al vecchio thread
    • Unito Anca Popa venerdì 26 ottobre 2012 08:29 unione al thread esistente
    mercoledì 24 ottobre 2012 12:39
  • Se ti interessa ancora sapere come ho risolto il problema che avevo da un tuo "collega" con il proxy e i dns, ho tolto in dhcp server dal proxy e ho messo il dhcp sul dc con i dns interni cin ip del dc, per poter entrare in dominio, ed il dns esterno quello richiesto dalla casa. Il gw è il proxy.

    mi interessa ma dovresti rispiegarmela perchè non ho capito niente.

    il problema era questo

    http://social.technet.microsoft.com/Forums/it-IT/windowsserverit/thread/3c951dbe-ab25-43ac-91b3-34ea4f5428b7/#73fb35d6-d10d-41cd-89ed-97c4c7686158


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    mercoledì 24 ottobre 2012 13:25
    Moderatore
  • Cerco di essere più chiaro, la compagnia per accedere alla sua intranet vuole che si acceda da determinati dns (fastweb), io ho messo un server proxy (pfsense) cha facesse vedere alla compagnia lo stesso dns. Solo che gli avevo fatto fare anche da dhcp, quindi ad non riconosceva gli users.

    Ora ho spostato il server dhcp sul dc e gli ho detto di usare per la zona interna come dns il dc, mentre per accedre all' esterno usa pfsense che fà anche da gateway.

    Pare che così funzioni, la compagnia vede arrivare i suoi dns, mentre all' interno il dc risolve i nomi internamente e l' ad funziona, anche exchange.

    Se non sono stato chiaro dimmelo che proverò ad essere più preciso.

    Saluti


    Da A a B non sempre la linea retta è la più breve


    • Modificato clalas mercoledì 24 ottobre 2012 21:04
    mercoledì 24 ottobre 2012 21:03
  • Ora ho spostato il server dhcp sul dc e gli ho detto di usare per la zona interna come dns il dc, mentre per accedre all' esterno usa pfsense che fà anche da gateway.


    non conosco pfsense ma da come lo descrivi sembra che possa fungere come una sorta di "proxy DNS" anche se non riesco ancora a capire come possa funzionare tecnicamente...

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    giovedì 25 ottobre 2012 08:21
    Moderatore
  • Se ho capito bene pfsense fà uscire i client con indirizzi che puoi determinare tu con i parametri che desideri. Io usavo pfsense anche per l' interno e quindi c' erano problemi con AD.

    Comunque ho imparato ad accettare i risultati come fossero dogmi di fede; come dico sempre "ignoranza mezza felicità" :-)

    Pfsense è comunque un gran bel prodotto, perchè fà moltissime cose.

    Saluti


    Da A a B non sempre la linea retta è la più breve

    giovedì 25 ottobre 2012 09:46
  • ci farò un pensierino, grazie.


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    giovedì 25 ottobre 2012 14:06
    Moderatore