none
DNS SERVER RRS feed

  • Domanda

  • Ciao a tutti,

    ho un server windows 2008R2 sp1 x64 non connesso ad internet configurato come dc, dns server e dhcp server (nel dhcp ho messo come dns preferito se stesso e come 2dns secondari l'ip del provider adsl, corretto??).

    Dal client configurato a dominio, non riesco a pingare il nome del dominio interno, ad es domain.local, mi restituisce errore.Nel registro eventi sono presenti errori "userenv" e "autoenrollment", dicendo che non riesce a trovare un controller di dominio.

    Stessa cosa se sul client imposto ip statico, mettendo come dns primario l'ip del server e come 2dns secondari l'ip del provider adsl.

    Se invece sul client imposto ip statico e metto solo come dns primario l'ip del server, riesco a pingare il dominio interno.

    Dal server invece il ping al dominio interno funziona correttamente.

    Come posso risolvere?

    Ho notato invece che sui server connessi ad internet, questa problematica non si verifica.

    Come regola, i server vanno connessi ad internet oppure no?

    Sbaglio qualcosa sulla configurazione dns/dhcp server?

    grazie a tutti per le risposte che mi darete

    martedì 24 aprile 2012 09:07

Risposte

  • >Se invece sul client imposto ip statico e metto solo come dns primario
    >l'ip del server, riesco a pingare il dominio interno.
     
    >Dal server invece il ping al dominio interno funziona correttamente.
     
    >Come posso risolvere?
     
    Ti sei risposto da solo. I DC esigono che sui client, il DNS di
    riferimento sia SOLO l'IP del server stesso.
    Sarà il server (col ruolo DNS opportunamente configurato) ad inoltrare
    ai DNS esterni le richieste che non riesce a risolvere internamente.
     
    martedì 24 aprile 2012 09:20

Tutte le risposte

  • >Se invece sul client imposto ip statico e metto solo come dns primario
    >l'ip del server, riesco a pingare il dominio interno.
     
    >Dal server invece il ping al dominio interno funziona correttamente.
     
    >Come posso risolvere?
     
    Ti sei risposto da solo. I DC esigono che sui client, il DNS di
    riferimento sia SOLO l'IP del server stesso.
    Sarà il server (col ruolo DNS opportunamente configurato) ad inoltrare
    ai DNS esterni le richieste che non riesce a risolvere internamente.
     
    martedì 24 aprile 2012 09:20
  • Grazie, quindi sul client ci deve essere solo l'ip del server come dns primario, ma come regola il server che fa da dc e dns server, deve essere connesso ad internet?Perchè su un server connesso ad internet, non si verificano questi problemi lato client?

    >Sarà il server (col ruolo DNS opportunamente configurato) ad inoltrare

    ai DNS esterni le richieste che non riesce a risolvere internamente.

    Esiste una guida per configurare correttamente il dns server in modo che inoltri come mi hai scritto?

    martedì 24 aprile 2012 12:27
  • Il server, se ha il ruolo di DNS come il tuo, deve in qualche modo
    avere la possibilità di risolvere i nomi. Se il tuo non è connesso
    direttamente ad internet, non potrà fare riferimento a server DNS
    esterni (perché non sarebbe in grado di interrogarli). Hai altri server
    DNS interni che facciano da tramite?
     
    martedì 24 aprile 2012 12:49
  • No è l'unico server all'interno della rete, che ha il ruolo di DC, dns e dhcp server.Non avendo altri server interni, come posso risolvere?

    Quindi di regola, è consigliabile connettere i server ad internet?Con tutti i rischi e pericoli del caso.

    martedì 24 aprile 2012 12:55
  • Quindi di regola, è consigliabile connettere i server ad internet?Con tutti i rischi e pericoli del caso.

    l'unico pc sicuro, client o server che sia, è quello spento e chiuso dentro una cassaforte.

    un pc, client o server che sia, è sufifcientemente sicuro se viene sempre monitorato, patchato e quant'altro.

    una macchina scollegata da internet non può essere monitorata e patchata quindi la regola che "i server di dominio non devono essere collegati a internet" è una pura leggenda metropolitana.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    martedì 24 aprile 2012 14:28
    Moderatore
  • Perfetto, grazie per la precisazione.

    Quindi per la risoluzione della mia problematica, occorre connettere il server ad internet, giusto?

    Grazie ancora

    martedì 24 aprile 2012 15:01
  • ok, hai vinto tu, mi arrendo :-)

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    martedì 24 aprile 2012 15:24
    Moderatore
  • Io non voglio vincere, voglio sapere qual'è la procedura corretta!!
    martedì 24 aprile 2012 15:56
  • stavo solo scherzando...

    la risposta è: si, devi collegarlo a internet.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    martedì 24 aprile 2012 15:59
    Moderatore
  • Come giustamente ti ha fatto notare Edoardo Benussi solo un PC/Server spento è immune da problemi inerenti ad una connessione internet.

    Molti clienti ritengono che un PC connesso ad una rete LAN se non viene utilizzato per navigare sia immune da problemi, quanto di più sbagliato. Spesso questi PC sono connessi in rete senza antivirus, firewall ed aggiornamenti di protezione il che si tramuta in una maledizione per chi deve ripristinarli.

    Quindi il mio consiglio è quello di adottare tutte quelle soluzioni che permettono di stare un tantino tranquillo (Backup, Firewall, Antivirus e buon senso nell'utilizzo del server).

    Saluti

    Nino

    martedì 24 aprile 2012 18:13
    Moderatore
  • Sono perfettamente d'accordo con te Nino.

    Grazie ad entrambi per avermi chiarito le idee

    martedì 24 aprile 2012 20:28
  • Aggiungo che, se gli altri PC della rete sono connessi ad internet, è
    più facile che siano loro ad essere oggetto di attacco (mail infette,
    pagine web malevole, ecc...) e che passino eventuali infezioni al
    server (che a quel punto non sarà protetto ed aggiornato a dovere)
     
    giovedì 26 aprile 2012 10:33
  •  Volendo ipotizzare una soluzione a questo caso senza necessariamente esporre su internet il server, si potrebbero lasciare tutti i computer della LAN (server compreso) con il solo domain controller come DNS primario e configurare il servizio DNS su questo server di dominio per fare il forwarding verso un altro servizio DNS sulla rete locale, fosse anche lo stesso router dell'ISP (se dispone della funzionalità di DNS Relay).

     Potrebbe funzionare?

    venerdì 4 maggio 2012 23:41
  • > Volendo ipotizzare una soluzione a questo caso senza necessariamente
    >esporre su internet il server, si potrebbero lasciare tutti i computer
    >della LAN (server compreso) con il solo domain controller
    >come DNS primario e configurare il servizio DNS su questo server di
    >dominio per fare il forwarding verso un altro servizio DNS sulla rete
    >locale, fosse anche lo stesso router dell'ISP (se dispone della
    >funzionalità di DNS Relay).
     
    > Potrebbe funzionare?
     
    Veramente questa è la configurazione _obbligatoria_.
    Tutti i client appartenenti ad un dominio AD _devono_ avere come DNS
    _solo_ l'IP del server DC/DNS interno pena numerosi malfunzionamenti.
    Questo è un discorso diverso dall'essere esposti o meno in internet.
    Forse quello che intendevi tu era mettere un server che che faccia da
    filtro (per esempio, con ISA server) tra la rete ed internet.
     
    lunedì 7 maggio 2012 15:45
  • No, quello che intendevo io era un pò diverso.

     L'utente che ha posto la domanda, si trova nella situazione di avere il domain controller con il servizio DNS per il dominio non esposto su internet. Il server, come giustamente osservavi, è quindi impossibilitato a risolvere correttamente un nome host che non appartenga alla sua zona in quanto non ha la possibilità di interrogare direttamente il DNS che risulta autorevole o un forwarders.

    Se per qualche motivo si volesse mantenere lo status quo (quindi senza esporre direttamente il server su internet) ho ipotizzato come soluzione possibile l'uso di un forwarders sulla rete locale (un altro server o anche il router dell'ISP se fornisce questo servizio) in grado da fornire la risoluzione di quei domini che il servizio DNS del dominio AD non esposto su internet non è in grado di dare.

     In questo modo, lasciando ai client il solo IP del DC come DNS primario (e unico) si dovrebbe riuscire ad ottenere il corretto funzionamento del servizio DNS (sia quanto riguarda il dominio locale che per quanto riguarda i domini pubblici) evitando nel contempo di esporre direttamente su internet il server, come richiedeva l'utente.

     Ferme restando anche le considerazioni che avete fatto in merito all'opportunità di questa scelta, che condivido.

    lunedì 7 maggio 2012 16:38
  • Mi sa che dicevamo la stessa cosa in due modi diversi... :-)
    Alla fine si tratta di mettere qualcosa (un altro server o un router
    che abbia le giuste capacità) tra il server e internet.
     
    martedì 8 maggio 2012 11:05