none
Dominio con Lan Multiple RRS feed

  • Domanda

  • In un'azienda mi trovo ad avere un DC WS 2003 (AD+DNS) e un FS WS 2008 con 2 schede di rete per poter servire 2 LAN.

    In particolare ho 2 reti separate (logicamente e fisicamente) 192.168.1.0/24  (Lan1) e 192.168.2.0/24 (Lan2) dalle quali tutti gli utenti fanno il login sul DC e fruiscono dei file del FS. 

    L'accesso a internet è garantito da un firewal hardware impostato come gateway dove sono presenti 2 interfacce configurate una per la Lan1 e una per la Lan2.

    Volevo capire quale fosse la configurazione migliore per le schede di rete dei due server, nel senso, è meglio configurare il protocollo TCP/IP impostando Gateway e DNS su entrambe le schede delle macchine oppure  no? 

    Gli utenti ultimamente lamentano tempi di attesa biblici in fase di login sul dominio, ho controllato la configurazione dei client per verificare la configurazione del DNS ma è corretta, dopo il login tutto funziona tranquillamente.

    Sul file server dopo aver cambiato la configurazione delle 2 schede e in seguito ripristinata tutto funziona a livello di condivisioni di rete sulle due Lan ma non riesco più ad accedere ad internet (essenzialmente per il download dugli aggiornamenti di Windows) e a collegarmi in RDP nonostante DNS, Ping e TraceRoot rispondano correttamente e non ci sia alcun proxy di mezzo.

    Googlando avevo letto che le configurazioni di domini con due schede di rete possono essere problematiche ma sinceramente spero di poter ovviare ai problemi visto che l'esigenza è quella di mantenere separate le due reti.

    Qualcuno potrebbe darmi qualche indicazione e magari consigliarmi qualche articolo da leggere per chiarirmi le idee su questo genere di configurazioni?

    Saluti


    lunedì 9 febbraio 2015 19:09

Risposte

  • Ciao, senza entrare nel merito delle scelte altrui, mi permetto di dare una mia valutazione.

    Sbaglio, ma alla fine del discorso tutti gli utenti accedono allo stesso server. Quindi?

    Nel tuo caso abbiamo:
    - Un sistema operativo server che, attraverso le policy di sicurezza, è in grado di garantire la gestione e nidificazione di accessi a singole cartelle e files.
    - Uno Switch Layer 3 che può segmentare la rete (cosa che sta già facendo) e che attraverso una route passerebbe il traffico tra le due sottoreti.
    - Un Firewall che potrebbe essere da Gateway per le due sottoreti e che attraverso una route passerebbe il traffico tra le due sottoreti.

    Per me la soluzione migliore è quella di avere i server con un unica scheda di rete (in una delle due sottoreti) e di far transitare il traffico attraverso le vlan.

    In queste situazioni la lentezza, in genere, è dovuta ad una serie di accessi ricorsivi alle tabelle arp per produrre il corretto instradamento. Oppure ad una configurazione errata delle vlan.

    Puoi postare l'ipconfig /all di un client di ognuna delle due sottoreti.

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    martedì 10 febbraio 2015 18:15
    Moderatore

Tutte le risposte

  • Ciao, prima di scendere nei dettagli potresti indicare perché le due reti devono rimanere separate se poi devono accedere allo stesso servizio?

    Posta un ipconfig /all dei due server.

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    lunedì 9 febbraio 2015 21:13
    Moderatore
  • Ciao Nino, in pratica la separazione delle Lan serve a dividere due rami dell'azienda, una che si occupa di produzione e una di amministrazione marketing segreteria e tutto il resto, si trovano su due piani diversi dello stesso edificio e condividono lo stesso DC per l'autenticazione e alcune cartelle condivise organizzate con permessi a livello di utente o gruppo di appartenenza. Sugli switch sono stare realizzate delle VLan. Per una questione di sicurezza vogliono che le reti rimangano divise.

    Nel frattempo dopo aver eseguito il ripristino delle schede di rete come suggerito dal sistema operativo e aver riavviato il FS il funzionamento è tornato regolare, quindi ora riesco a collegarmi in RDP e a fargli scaricare gli aggiornamenti di sistema.

    Permane il problema con la lentezza eseguendo il login.

    Sto allestendo un nuovo server WS2012R2 dove creare dei nuovi server per sostituire queste macchine su Hyper-V potrei avere problemi con questo tipo configurazione di rete?

    Ti ringrazio anticipatamente.

    Di seguito la configurazione di rete delle macchine.

    DC (WS2003):

    Scheda Ethernet Connessione alla rete locale (LAN 1):

       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter
       Indirizzo fisico. . . . . . . . . . . : 00-0C-29-6C-A8-95
       DHCP abilitato. . . . . . . . . . . . : No
       Indirizzo IP. . . . . . . . . . . . . : 192.168.1.3
       Subnet mask . . . . . . . . . . . . . : 255.255.255.0
       Gateway predefinito . . . . . . . . . : 192.168.1.254
       Server DNS . . . . . . . . . . . . .  : 127.0.0.1

    Scheda Ethernet Connessione alla rete locale (LAN 2):

       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter
    #2
       Indirizzo fisico. . . . . . . . . . . : 00-0C-29-6C-A8-9F
       DHCP abilitato. . . . . . . . . . . . : No
       Indirizzo IP. . . . . . . . . . . . . : 192.168.2.3
       Subnet mask . . . . . . . . . . . . . : 255.255.255.0
       Gateway predefinito . . . . . . . . . :
       Server DNS . . . . . . . . . . . . .  : 127.0.0.1

       _________________________________________________________

    FS (WS2008):

       Scheda Ethernet Rete LAN 2:

       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : Connessione di rete Intel(R) PRO/1000
     MT #2
       Indirizzo fisico. . . . . . . . . . . : 00-0C-29-33-ED-E2
       DHCP abilitato. . . . . . . . . . . . : No
       Configurazione automatica abilitata   : Sì
       Indirizzo IPv4. . . . . . . . . . . . : 192.168.2.221(Preferenziale)
       Subnet mask . . . . . . . . . . . . . : 255.255.255.0
       Gateway predefinito . . . . . . . . . : 192.168.2.254
       Server DNS . . . . . . . . . . . . .  : 192.168.2.3
       NetBIOS su TCP/IP . . . . . . . . . . : Attivato

    Scheda Ethernet Rete LAN 1:

       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : Connessione di rete Intel(R) PRO/1000
     MT
       Indirizzo fisico. . . . . . . . . . . : 00-0C-29-33-ED-D8
       DHCP abilitato. . . . . . . . . . . . : No
       Configurazione automatica abilitata   : Sì
       Indirizzo IPv4. . . . . . . . . . . . : 192.168.1.221(Preferenziale)
       Subnet mask . . . . . . . . . . . . . : 255.255.255.0
       Gateway predefinito . . . . . . . . . : 192.168.1.254
       Server DNS . . . . . . . . . . . . .  : 192.168.1.3
       NetBIOS su TCP/IP . . . . . . . . . . : Attivato

    Scheda Tunnel Connessione alla rete locale (LAN)*:

       Stato supporto. . . . . . . . . . . . : Supporto disconnesso
       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : isatap.{A33770C2-E3CF-4E0D-B512-4F45D
    74FC7CA}
       Indirizzo fisico. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP abilitato. . . . . . . . . . . . : No
       Configurazione automatica abilitata   : Sì

    Scheda Tunnel Connessione alla rete locale (LAN)* 8:

       Stato supporto. . . . . . . . . . . . : Supporto disconnesso
       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : Microsoft ISATAP Adapter #2
       Indirizzo fisico. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP abilitato. . . . . . . . . . . . : No
       Configurazione automatica abilitata   : Sì


    martedì 10 febbraio 2015 10:08


  • Permane il problema con la lentezza eseguendo il login.

    Sto allestendo un nuovo server WS2012R2 dove creare dei nuovi server per sostituire queste macchine su Hyper-V potrei avere problemi con questo tipo configurazione di rete?

    Ti ringrazio anticipatamente.

    Di seguito la configurazione di rete delle macchine.

    DC (WS2003):

    Scheda Ethernet Connessione alla rete locale (LAN 1):

       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter
       Indirizzo fisico. . . . . . . . . . . : 00-0C-29-6C-A8-95
       DHCP abilitato. . . . . . . . . . . . : No
       Indirizzo IP. . . . . . . . . . . . . : 192.168.1.3
       Subnet mask . . . . . . . . . . . . . : 255.255.255.0
       Gateway predefinito . . . . . . . . . : 192.168.1.254
       Server DNS . . . . . . . . . . . . .  : 127.0.0.1

    Scheda Ethernet Connessione alla rete locale (LAN 2):

       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter
    #2
       Indirizzo fisico. . . . . . . . . . . : 00-0C-29-6C-A8-9F
       DHCP abilitato. . . . . . . . . . . . : No
       Indirizzo IP. . . . . . . . . . . . . : 192.168.2.3
       Subnet mask . . . . . . . . . . . . . : 255.255.255.0
       Gateway predefinito . . . . . . . . . :
       Server DNS . . . . . . . . . . . . .  : 127.0.0.1

       _________________________________________________________

    non mettere come DNS l'ip di loopback ma metti per ciascuna rete l'ip stesso del server ossia:

    DC (WS2003):

    Scheda Ethernet Connessione alla rete locale (LAN 1):

       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter
       Indirizzo fisico. . . . . . . . . . . : 00-0C-29-6C-A8-95
       DHCP abilitato. . . . . . . . . . . . : No
       Indirizzo IP. . . . . . . . . . . . . : 192.168.1.3
       Subnet mask . . . . . . . . . . . . . : 255.255.255.0
       Gateway predefinito . . . . . . . . . : 192.168.1.254
       Server DNS . . . . . . . . . . . . .  : 192.168.1.3

    Scheda Ethernet Connessione alla rete locale (LAN 2):

       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter
    #2
       Indirizzo fisico. . . . . . . . . . . : 00-0C-29-6C-A8-9F
       DHCP abilitato. . . . . . . . . . . . : No
       Indirizzo IP. . . . . . . . . . . . . : 192.168.2.3
       Subnet mask . . . . . . . . . . . . . : 255.255.255.0
       Gateway predefinito . . . . . . . . . :
       Server DNS . . . . . . . . . . . . .  : 192.168.2.3

    poi riavvia il server è verifica i tempi di login


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 10 febbraio 2015 15:11
    Moderatore
  • Ciao Edoardo, ho provato a fare come mi hai suggerito, avevo sempre lasciato i server con la configurazione proposta in fase di installazione del DNS, effettivamente ora cercando un po ho visto che già da WS2008 era sconsigliato lasciare l'indirizzo di loopback. Vediamo che succede domani mattina ai login!

    Secondo te configurazioni del genere con più schede di rete possono essere problematiche? Come avevo anticipato a Nino ho intenzione di trasferire tutto su nuove macchine WS2012r2 in Hyper-v secondo te vado tranquillo?

    Saluti

    martedì 10 febbraio 2015 17:51
  • Ciao, senza entrare nel merito delle scelte altrui, mi permetto di dare una mia valutazione.

    Sbaglio, ma alla fine del discorso tutti gli utenti accedono allo stesso server. Quindi?

    Nel tuo caso abbiamo:
    - Un sistema operativo server che, attraverso le policy di sicurezza, è in grado di garantire la gestione e nidificazione di accessi a singole cartelle e files.
    - Uno Switch Layer 3 che può segmentare la rete (cosa che sta già facendo) e che attraverso una route passerebbe il traffico tra le due sottoreti.
    - Un Firewall che potrebbe essere da Gateway per le due sottoreti e che attraverso una route passerebbe il traffico tra le due sottoreti.

    Per me la soluzione migliore è quella di avere i server con un unica scheda di rete (in una delle due sottoreti) e di far transitare il traffico attraverso le vlan.

    In queste situazioni la lentezza, in genere, è dovuta ad una serie di accessi ricorsivi alle tabelle arp per produrre il corretto instradamento. Oppure ad una configurazione errata delle vlan.

    Puoi postare l'ipconfig /all di un client di ognuna delle due sottoreti.

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    martedì 10 febbraio 2015 18:15
    Moderatore

  • Secondo te configurazioni del genere con più schede di rete possono essere problematiche?

    certo, tutte le volte in cui il domain controller ha più di una scheda di rete, ci sono sempre problemini prima o poi.

    Come avevo anticipato a Nino ho intenzione di trasferire tutto su nuove macchine WS2012r2 in Hyper-v secondo te vado tranquillo?

    Saluti

    se rispetti le regole per una corretta configurazione, vai tranquillo, ma non è il fatto di mettere server nuovi a risolvere il problema.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    mercoledì 11 febbraio 2015 09:24
    Moderatore
  • Ciao, senza entrare nel merito delle scelte altrui, mi permetto di dare una mia valutazione.

    Sbaglio, ma alla fine del discorso tutti gli utenti accedono allo stesso server. Quindi?

    Nel tuo caso abbiamo:
    - Un sistema operativo server che, attraverso le policy di sicurezza, è in grado di garantire la gestione e nidificazione di accessi a singole cartelle e files.
    - Uno Switch Layer 3 che può segmentare la rete (cosa che sta già facendo) e che attraverso una route passerebbe il traffico tra le due sottoreti.
    - Un Firewall che potrebbe essere da Gateway per le due sottoreti e che attraverso una route passerebbe il traffico tra le due sottoreti.

    Per me la soluzione migliore è quella di avere i server con un unica scheda di rete (in una delle due sottoreti) e di far transitare il traffico attraverso le vlan.

    In queste situazioni la lentezza, in genere, è dovuta ad una serie di accessi ricorsivi alle tabelle arp per produrre il corretto instradamento. Oppure ad una configurazione errata delle vlan.

    Puoi postare l'ipconfig /all di un client di ognuna delle due sottoreti.

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    Ciao Nino, ti ringrazio e non preoccuparti di dire quello che pensi, se ho aperto la discussione è proprio per avere opinioni e punti di vista da cui trarre spunto.

    Penso che proverò a seguire le tue indicazioni e la prima cosa sarà controllare la configurazioni delle VLan.

    Di seguito la configurazione IP di due client:

    Saluti

    Scheda Ethernet Connessione alla rete locale (LAN1):

       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : Intel(R) 82567LM-3 Gigabit Network Connection
       Indirizzo fisico. . . . . . . . . . . : 00-0F-FE-F1-B0-F8
       DHCP abilitato. . . . . . . . . . . . : No
       Configurazione automatica abilitata   : Sì
       Indirizzo IPv4. . . . . . . . . . . . : 192.168.1.196(Preferenziale)
       Subnet mask . . . . . . . . . . . . . : 255.255.255.0
       Gateway predefinito . . . . . . . . . : 192.168.1.254
       Server DNS . . . . . . . . . . . . .  : 192.168.1.3
       NetBIOS su TCP/IP . . . . . . . . . . : Attivato
       
       _______________________________________

    Scheda Ethernet Connessione alla rete locale (LAN2):

       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : Intel(R) 82578DM Gigabit Network Connection
       Indirizzo fisico. . . . . . . . . . . : 44-87-FC-4B-E0-BB
       DHCP abilitato. . . . . . . . . . . . : No
       Configurazione automatica abilitata   : Sì
       Indirizzo IPv4. . . . . . . . . . . . : 192.168.2.102(Preferenziale)
       Subnet mask . . . . . . . . . . . . . : 255.255.255.0
       Gateway predefinito . . . . . . . . . : 192.168.2.254
       Server DNS . . . . . . . . . . . . .  : 192.168.2.3
       NetBIOS su TCP/IP . . . . . . . . . . : Attivato

    mercoledì 11 febbraio 2015 14:09

  • Secondo te configurazioni del genere con più schede di rete possono essere problematiche?

    certo, tutte le volte in cui il domain controller ha più di una scheda di rete, ci sono sempre problemini prima o poi.

    Come avevo anticipato a Nino ho intenzione di trasferire tutto su nuove macchine WS2012r2 in Hyper-v secondo te vado tranquillo?

    Saluti

    se rispetti le regole per una corretta configurazione, vai tranquillo, ma non è il fatto di mettere server nuovi a risolvere il problema.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    Ciao Edoardo, come ho già risposto a Nino penso di seguire le vostre indicazioni e vedere se posso trasferire i server su una delle due Lan eliminando così le interfacce di troppo.

    Per il discorso dei server nuovi la sostituzione non era un tentativo di risolvere il problema ma più semplicemente un rinnovo già pianificato da tempo. L'intenzione era di abbandonare VMWare e passare a Hyper-V ed eventualmente riciclare il vecchio hardware per dotare Hyper-V di replica.

    Grazie dei consigli e della disponibilità.

    Saluti.

     

    mercoledì 11 febbraio 2015 14:19
  • Ciao PC1978,

    Se i consigli ricevuti ti sono stati utili, ricorda di evidenziare la soluzione cliccando su
    "Segna come Risposta". Se invece hai trovato un'altra soluzione
    nel frattempo, ti saremmo grati di condividerla anche qui, a beneficio
    degli altri utenti che seguono il thread.<o:p></o:p>

    Grazie.



    • Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è e non comporta alcuna responsabilità da parte dell’azienda.

    venerdì 13 febbraio 2015 10:04