none
DNS problemi con VLAN RRS feed

  • Domanda

  • Ciao a tutti.

    Scenario: server 2008 R2 con AD, DHCP e DNS. La lan è suddivisa in varie vlan ed il server si trova sulla vlan 1.

    Problema: se provo a fare il join al dominio da un client che è sulla stessa vlan del server nessun problema se provo da client che sono sulle altre vlan non riesco. L'errore riportato è relativo al dns, viene segnalata l'impossibilità a risolvere il nome del dominio (è un .local). Se però il join lo faccio mettendo i client sulla stessa vlan del dc e poi li riporto sulla loro vlan di appartenenza, questi accedono al dominio regolarmente. Il problema c'è solo in fase di join.

    In virtù di questo credo che il problema sia sul routing che gestisce le vlan, come se in fase di join ci sia qualcosa che non viene fatto passare ma chi gestisce gli switch mi dice che non riesce a rilevare nulla di anomalo. In effetti poi il servizio dns funziona.

    Stiamo impazzendo. Qualcuno ha qualche idea per aiutarci?

    Grazie.   

    giovedì 31 gennaio 2013 10:43

Risposte

  • ribadisco il problema sta sulle Vlan a mio avviso. E' stato messo il server su un cavo trunk per provare di farlo vedere a tutte nello stesso modo?

    A.

    lunedì 11 febbraio 2013 17:01
    Moderatore
  • Buongiorno a tutti.

    RISOLTO.

    Come suggerito da Alessandro il problema era causato di uno switch layer 3 situato nel centro stella che non era correttamente configurato per le esigenze. Nello specifico si trattava del proxy-arp che non era disabilitato su tutte le interfacce.

    Ringrazio tutti per (come sempre) la preziosissima collaborazione.

    martedì 19 febbraio 2013 12:30

Tutte le risposte

  • Ciao, il problema è dovuto a come i pacchetti passano nelle vlan, lato sistema operativo non ci facciamo nulla. Il problema è lato networking quindi va risolto in quel senso. Ho avuto lo stesso problema con dei Catalyst Cisco Systems mal configurati ed alla fine era una spunta da mettere nella config delle vlan che non era in default. Consiglio quindi a chi gestisce il networking di documentarsi sugli apparati montati, in maniera diversa di contattare il supporto degli apparati direttamente e spiegare il problema perchè sicuramente hanno la casistica (sperando che gli switch siano di marca umana) dal lato sistemistico non puoi farci nulla se il servizio dns funziona. Questa almeno è la mia opinione.

    A.

    giovedì 31 gennaio 2013 11:26
    Moderatore
  • Molto semplicemente, da un client non ancora unito al dominio e già messo su una di queste VLAN "problematiche", dai un ipconfig /all e posta i risultati.

    Dacci anche i risultati di questa procedura (sempre fatta sul client):

    nslookup

    server x.y.z.w (indirizzo ip del Domain Controller)

    aaaaa.local (fqdn del dominio)

    Ciao,


    Dario Palermo

    giovedì 31 gennaio 2013 13:57
  • C:\>ipconfig/all

    Configurazione IP di Windows

            Nome host . . . . . . . . . . . . . . : TEST-1-DOM
            Suffisso DNS primario  . . . . . . .  :
            Tipo nodo . . . . . . . . .  : Sconosciuto
            Routing IP abilitato. . . . . . . . . : No
            Proxy WINS abilitato . . . . . . . .  : No
            Elenco di ricerca suffissi DNS. . . . : nomeazienda.local

    Scheda Ethernet Connessione alla rete locale (LAN):

            Suffisso DNS specifico per connessione: nomeazienda.local
            Descrizione . . . . . . . . . . . . . : Realtek RTL8139/810x Family Fast
     Ethernet NIC
            Indirizzo fisico. . . . . . . . . . . : 90-FB-A6-EE-99-8E
            DHCP abilitato. . . . . . . . . . . . : Sì
            Configurazione automatica abilitata   : Sì
            Indirizzo IP. . . . . . . . . . . . . : 192.168.2.21
            Subnet mask . . . . . . . . . . . . . : 255.255.255.192
            Gateway predefinito . . . . . . . . . : 192.168.2.1
            Server DHCP . . . . . . . . . . . . . : 192.168.0.32
            Server DNS . . . . . . . . . . . . .  : 192.168.0.32
            Lease ottenuto. . . . . . . . . . . . : giovedì 31 gennaio 2013 17.58.25

            Scadenza lease . . . . . . . . . . .  : venerdì 8 febbraio 2013 17.58.25

     

    C:\>


    C:\>nslookup 192.168.0.32
    *** Impossibile trovare nome server per l'indirizzo 192.168.0.32: Non-existent domain
    *** I server predefiniti non sono disponibili
    Server:  UnKnown
    Address:  192.168.0.32

    *** UnKnown non trova 192.168.0.32: Non-existent domain

    C:\>nslookup
    *** Impossibile trovare nome server per l'indirizzo 192.168.0.32: Non-existent domain
    *** I server predefiniti non sono disponibili
    Server predefinito:  UnKnown
    Address:  192.168.0.32

    > exit

    C:\>nslookup nomeazienda.local
    *** Impossibile trovare nome server per l'indirizzo 192.168.0.32: Non-existent domain
    *** I server predefiniti non sono disponibili
    Server:  UnKnown
    Address:  192.168.0.32

    Nome:    nomeazienda.local
    Address:  192.168.0.32


    C:\>

    giovedì 31 gennaio 2013 17:11
  • nomeazienda.local è il nome del dominio, vero ? il server come si chiama ?

    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    giovedì 31 gennaio 2013 17:27
    Moderatore
  • Ci sei andato vicino... :)

    dopo aver dato nslookup (senza alcun argomento) dovevi dare questi due comandi:

    • server x.y.z.w (indirizzo ip del Domain Controller)
    • aaaaa.local (fqdn del dominio)

    (in realtà il primo è superfluo poichè già abbiamo appurato che usa quello corretto: 192.168.0.32)

    il secondo comando serve a chiedere la risoluzione dell'fqdn del dominio che dovrebbe puntare anche lui al DC.

    Ciao,


    Dario Palermo

    giovedì 31 gennaio 2013 17:32
  • Scusate l'imprecisione.

    Per Edoardo: sì, nomeazienda.local è il nome del dominio e il dc si chiama DC01.

    C:\>nslookup
    *** Impossibile trovare nome server per l'indirizzo 192.168.0.32: Non-existent domain
    *** I server predefiniti non sono disponibili
    Server predefinito:  UnKnown
    Address:  192.168.0.32

    > 192.168.0.32
    Server:  UnKnown
    Address:  192.168.0.32

    *** UnKnown non trova 192.168.0.32: Non-existent domain
    > nomeazienda.local
    Server:  UnKnown
    Address:  192.168.0.32

    Nome:    nomeazienda.local
    Address:  192.168.0.32

    > exit

    C:\>

    venerdì 1 febbraio 2013 08:09
  • Sul domain controller hai il firewall attivo? Se lo è, disattivalo e riprova il join da subnet remota. Nel caso funziona abbiamo capito dov'è il problema, ci vuole poco poi a modificare le regole di accesso...

    Ciao,


    Dario Palermo

    venerdì 1 febbraio 2013 08:15
  • Niente.Ho disabilitato il fw sul dc ma ho sempre lo stesso errore:

    È possibile che il nome del dominio NOMEAZIENDA sia un nome dominio NetBIOS.  In questo caso verificare che il nome dominio sia registrato correttamente con WINS.

    Se si è certi che nome non è un nome dominio NetBIOS, le informazioni che seguono possono consentire di risolvere i problemi relativi alla configurazione DNS:

    Si è verificato il seguente errore durante l'esecuzione della query su DNS relativa al record della risorsa posizione servizio (SRV) utilizzato per trovare un controller per il dominio NOMEAZIENDA:

    Si è verificato il seguente errore: "Nome DNS inesistente."
    (codice di errore 0x0000232B RCODE_NAME_ERROR)

    La query è stata eseguita per il record SRV per _ldap._tcp.dc._msdcs.NOMEAZIENDA

    Le cause più comuni per questo tipo di errore includono:

    - Il record DNS SRV non è registrato in DNS.

    - Una o più delle zone seguenti non includono la delega alla relativa zona figlio:

    NOMEAZIENDA
    . (la zona principale)

    Per informazioni sulla risoluzione di questo problema, fare clic su ?.

    venerdì 1 febbraio 2013 08:45
  • saro ripetitivo ma il problema resta lato networking...non sysop...

    A.

    venerdì 1 febbraio 2013 10:24
    Moderatore
  • Quando fai il join, che nome di dominio usi? netbios o fdqn?

    Ciao,


    Dario Palermo

    venerdì 1 febbraio 2013 10:29
  • Netbios.
    venerdì 1 febbraio 2013 11:13
  • Usa l'fqdn.

    Ciao,


    Dario Palermo

    venerdì 1 febbraio 2013 11:24
  • Fatto ma non funziona lo stesso.
    venerdì 1 febbraio 2013 15:53
  • Segui questo articolo:

    http://support.microsoft.com/kb/816587/it

    Verifica sia la zona nel dns che il contenuto del file netlogon.dns e posta i risultati.

    ciao,


    Dario Palermo

    venerdì 1 febbraio 2013 16:45
  • Netlogon.dns

    _ldap._tcp.dominio.local. 600 IN SRV 0 100 389 DC01.dominio.local.
    _ldap._tcp.Default-First-Site-Name._sites.dominio.local. 600 IN SRV 0 100 389 DC01.dominio.local.
    _ldap._tcp.pdc._msdcs.dominio.local. 600 IN SRV 0 100 389 DC01.dominio.local.
    _ldap._tcp.gc._msdcs.dominio.local. 600 IN SRV 0 100 3268 DC01.dominio.local.
    _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.dominio.local. 600 IN SRV 0 100 3268 DC01.dominio.local.
    _ldap._tcp.09a84d66-14bb-4713-91cf-e109c37947f2.domains._msdcs.dominio.local. 600 IN SRV 0 100 389 DC01.dominio.local.
    390e8b81-eb43-404c-82f2-68a770428eb7._msdcs.dominio.local. 600 IN CNAME DC01.dominio.local.
    _kerberos._tcp.dc._msdcs.dominio.local. 600 IN SRV 0 100 88 DC01.dominio.local.
    _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.dominio.local. 600 IN SRV 0 100 88 DC01.dominio.local.
    _ldap._tcp.dc._msdcs.dominio.local. 600 IN SRV 0 100 389 DC01.dominio.local.
    _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.dominio.local. 600 IN SRV 0 100 389 DC01.dominio.local.
    _kerberos._tcp.dominio.local. 600 IN SRV 0 100 88 DC01.dominio.local.
    _kerberos._tcp.Default-First-Site-Name._sites.dominio.local. 600 IN SRV 0 100 88 DC01.dominio.local.
    _gc._tcp.dominio.local. 600 IN SRV 0 100 3268 DC01.dominio.local.
    _gc._tcp.Default-First-Site-Name._sites.dominio.local. 600 IN SRV 0 100 3268 DC01.dominio.local.
    _kerberos._udp.dominio.local. 600 IN SRV 0 100 88 DC01.dominio.local.
    _kpasswd._tcp.dominio.local. 600 IN SRV 0 100 464 DC01.dominio.local.
    _kpasswd._udp.dominio.local. 600 IN SRV 0 100 464 DC01.dominio.local.
    _ldap._tcp.DomainDnsZones.dominio.local. 600 IN SRV 0 100 389 DC01.dominio.local.
    _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.dominio.local. 600 IN SRV 0 100 389 DC01.dominio.local.
    _ldap._tcp.ForestDnsZones.dominio.local. 600 IN SRV 0 100 389 DC01.dominio.local.
    _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.dominio.local. 600 IN SRV 0 100 389 DC01.dominio.local.
    dominio.local. 600 IN A 192.168.0.32
    gc._msdcs.dominio.local. 600 IN A 192.168.0.32
    ForestDnsZones.dominio.local. 600 IN A 192.168.0.32
    DomainDnsZones.dominio.local. 600 IN A 192.168.0.32

    Gestore DNS

    In questo caso la voce _msdcs sotto a quella relativa al nome dominio non ha sottovoci, è in grigio. Se ci clicco ho 1 record: Nome come per la cartella padre - Tipo server dei nomi (NS) - Dati dc01.dominio.local - Timestamp static.

    Le trovo invece in _msdcs.dominio.local/dc/_sites/Default-First-Site-Name/_tcp / ho 3 record: _gc, _ldap e _kerberos.

    Spero di essere stato preciso e grazie.

    lunedì 4 febbraio 2013 09:41
  • Ho novità sulla cosa.

    Ho provato con la creazione delle subnet in Siti e Domini come indicato nell'articolo suggerito da Edoardo ma niente. Ho attivato il Wins, niente.

    Inserendo nel DNS a manina l'host A relativo al client funziona, riesco a fare join al dominio anche dalle altre vlan.

    venerdì 8 febbraio 2013 13:34
  • Inserendo nel DNS a manina l'host A relativo al client funziona, riesco a fare join al dominio anche dalle altre vlan.


    intendi dire che al momento del join il client su una vlan diversa non riesce a registrare l'ip nel dns mentre se lo registri manualmente tutto va in porto regolarmente ?

    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    sabato 9 febbraio 2013 19:39
    Moderatore
  • Esatto.
    lunedì 11 febbraio 2013 07:26
  • puoi spiegare cosa collega le vlan e descrivere esattamente l'architettura della rete ?

    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    lunedì 11 febbraio 2013 14:53
    Moderatore
  • Rete con 6 vlan.

    VLAN 1: 192.168.0.0/24

    VLAN 2: 192.168.1.0/24

    VLAN 3: 192.168.2.0/26

    VLAN 4: 192.168.2.64/26

    VLAN 5: 192.168.2.128/26

    VLAN 6: 192.168.2.192/26

    Le vlan sono tutte concentrate e gestite da uno switch layer 3. Il DC si trova sulla vlan 1.

    Ho sottoposto il caso anche a chi si occupa della manutenzione degli switch che però mi ha risposto, dopo aver controllato il traffico generato, che secondo lui non ci sono problemi relativi a mancata comunicazione o routing tra le vlan.

    lunedì 11 febbraio 2013 15:33
  • ribadisco il problema sta sulle Vlan a mio avviso. E' stato messo il server su un cavo trunk per provare di farlo vedere a tutte nello stesso modo?

    A.

    lunedì 11 febbraio 2013 17:01
    Moderatore
  • Perdonami, quando usi l'fqdn hai lo stesso errore come da tuo post del 1 febbraio? Inoltre, c'è per caso un . nel nome NETBIOS del dominio?

    Ciao,


    Dario Palermo

    martedì 12 febbraio 2013 00:40
  • Altra prova: su un client (situato in una vlan diversa dal DC) dai un indirizzo IP statico (compatibile con la VLAN naturalmente), comprensivo di DNS, e prova il join...

    Prima del join fai i dovuti ping per verificare che arrivi al DC come routing.

    Ciao,


    Dario Palermo

    martedì 12 febbraio 2013 00:47
  • Buongiorno a tutti.

    RISOLTO.

    Come suggerito da Alessandro il problema era causato di uno switch layer 3 situato nel centro stella che non era correttamente configurato per le esigenze. Nello specifico si trattava del proxy-arp che non era disabilitato su tutte le interfacce.

    Ringrazio tutti per (come sempre) la preziosissima collaborazione.

    martedì 19 febbraio 2013 12:30
  • :-)))) Un "give me five" virtuale stavolta me lo date? 

    Era molto chiaro a mio avviso che il problema era livello 2\3 e non più in alto, ad ogni modo le vlan sono delle rogne e per identificarlo dovete avere investigato un bel po. Bravo anche all'uomo networking interno e bravi anche ai colleghi che hanno veramente tirato fuori ogni possibile soluzione. L'importante è comunque risolvere.

    Buon lavoro a tutti.

    A.

    martedì 19 febbraio 2013 14:47
    Moderatore