none
Gestione NAT da windows 2k3 a 2k12 RRS feed

  • Domanda

  • Salve a tutti, mi mancano alcune risposte sulla riattivazione della funzione di NAT sul nuovo server aziendale, dopo il pensionamento di un SBS 2003. 

     

    Per esigenze diverse, la rete dei client aziendali (ufficio) ha sempre avuto il server con NAT abilitato con le varie porte abilitate. Il livello superiore (produzione e collaudo) è collegato ad un router firewall.

    Le operazioni di migrazione del server hanno dato sino ad ora buon esito, con un solo problema che ho nel DNS manager una replicazione del DNS Server (xxx-DC1 e xxx-DC1.intranet."azienda".local) e ho dovuto già reimpostare il routing, perché dopo l'attivazione della funzione di NAT, al successivo riavvio, la rete ufficio non era più collegata alla produzione e veniva classificata come pubblica.

    Le due cose sono legate ? 

    Per poter avere di nuovo l'attivazione del medesimo tipo di regole, della precedente installazione, devo seguire le indicazioni della discussione citata (Server 2008 - Nat e Firewall?

    Saluti a tutti

    martedì 16 dicembre 2014 14:04

Risposte

  • A mio parere non sono problemi riconducibili ad una errata migrazione ma piuttosto alla configurazione multihomed, che solitamente è problematica. La cosa migliore, anche per le best practices visto che parliamo di un controller di dominio, sarebbe separare la rete uffici con un vero router/firewall hardware e poi sotto quest'ultimo inserire il server (che avrà quindi una sola scheda di rete) e tutti i client. Considera che anche se il NAT software era una soluzione adottata in passato sull'SBS 2003 e funzionava non è detto che sia la migliore e che rispetti effettivamente tutte le indicazioni Microsoft.

    Per quanto riguarda il round robin, però, se tolgo la spunta nelle proprietà del server senza l'estensione del dominio (in poche parole hanno lo stesso nome, uno con, uno senza), tale proprietà la troviamo modificata anche nell'altro.

    Il round robin viene disabilitato a livello di server e non a livello di interfaccia, quindi non mi è chiaro cosa intendi quando dici di vederne 2 con lo stesso nome. Se vedi effettivamente due server DNS nell'elenco (uno con l'FQDN e uno con il nome NETBIOS) allora la cosa non è assolutamente normale ed è stato sbagliato qualcosa sempre nella configurazione del server multihomed.

    mercoledì 17 dicembre 2014 09:28
    Moderatore
  • Ciao e scusa la mia scarsa spiegazione sulla struttura.

    La tua descrizione è corretta.

    Il mio problema è nato dopo la migrazione. Come routing, dopo l'esecuzione dei vari passaggi di attivazione, il tutto era funzionante. Dopo successive operazioni su altri servizi (installazione alcuni driver,ma nulla che fosse apparentemente collegato), con necessari riavvii, il routing ha cessato di funzionare, quindi i client non avevano più la connessione ad internet.

    Oggi abbiamo rimosso e poi reimpostato il remote access ed il tutto ha ripreso a funzionare.

    Ipotizzavo una problematica al DNS, perchè nel DNS manager mi compaiono due dichiarazioni di server, ma non abbiamo memoria di quando le abbiamo dichiarate, avendone solo 1. Inoltre tutte le parametrizzazioni sono identiche.

    Risolta la problematica del funzionamento della connessione dei client (si spera), la domanda finale, era sul ripristino della funzionalità di gestione delle porte, presente nel SBS 2k3. Essendo il post indicato di qualche anno fa e relativo al 2k8, chiedevamo se comunque le indicazioni fornite erano valide, oppure vi erano varianti nella gestione delle porte.

    Saluti

    martedì 16 dicembre 2014 14:35

Tutte le risposte

  • Scusa ma non riesco a capire esattamente la tua problematica.

    In pratica se ho capito bene hai questa situazione:

    - Un router/firewall connesso direttamente ad internet.

    - Sotto questo firewall è presente una rete "produzione e collaudo" e il server SBS.

    - Il server SBS ha due schede di rete: una collegata alla rete superiore e una alla rete dei client.

    - I client ricevono la connessione internet direttamente dal server, che funziona da router/NAT.

    - E' stato sostituito il server da SBS 2003 a Essentials 2012

    Dopo la sostituzione che tipo di problema hai riscontrato lato client? Esistevano delle regole sul firewall di SBS?


    martedì 16 dicembre 2014 14:24
    Moderatore
  • Ciao e scusa la mia scarsa spiegazione sulla struttura.

    La tua descrizione è corretta.

    Il mio problema è nato dopo la migrazione. Come routing, dopo l'esecuzione dei vari passaggi di attivazione, il tutto era funzionante. Dopo successive operazioni su altri servizi (installazione alcuni driver,ma nulla che fosse apparentemente collegato), con necessari riavvii, il routing ha cessato di funzionare, quindi i client non avevano più la connessione ad internet.

    Oggi abbiamo rimosso e poi reimpostato il remote access ed il tutto ha ripreso a funzionare.

    Ipotizzavo una problematica al DNS, perchè nel DNS manager mi compaiono due dichiarazioni di server, ma non abbiamo memoria di quando le abbiamo dichiarate, avendone solo 1. Inoltre tutte le parametrizzazioni sono identiche.

    Risolta la problematica del funzionamento della connessione dei client (si spera), la domanda finale, era sul ripristino della funzionalità di gestione delle porte, presente nel SBS 2k3. Essendo il post indicato di qualche anno fa e relativo al 2k8, chiedevamo se comunque le indicazioni fornite erano valide, oppure vi erano varianti nella gestione delle porte.

    Saluti

    martedì 16 dicembre 2014 14:35
  • Nel DNS hai un record doppio perché in pratica è un server multihomed non correttamente configurato. Dovresti quindi far rimanere il DNS in ascolto solo sull'interfaccia interna (lato client), disabilitare il round robin ed eseguire tutte le altre modifiche per i server multihomed.

    Puoi iniziare da questa KB: http://support.microsoft.com/kb/272294/it

    Considera comunque che questo tipo di configurazioni sono in generale più problematiche.

    Per quanto riguarda la gestione del NAT e del firewall in linea di massima va bene la documentazione per Windows Server 2008 e 2008 R2, in ogni caso qui trovi una panoramica del funzionamento in Windows server 2012 e le funzionalità aggiunte:

    http://technet.microsoft.com/it-it/library/hh831416.aspx


    martedì 16 dicembre 2014 15:46
    Moderatore
  • Una parte delle operazioni descritte erano già state eseguite per l'interfaccia "internet" (quelle inerenti al settaggio DNS dell'interfaccia ethernet).

    Per quanto riguarda il round robin, però, se tolgo la spunta nelle proprietà del server senza l'estensione del dominio (in poche parole hanno lo stesso nome, uno con, uno senza), tale proprietà la troviamo modificata anche nell'altro.

    Altro particolare è la segnalazione nel BPA che il server dichiarato sulla scheda di rete ethernet (il ruoter), debba risolvere una serie di incarichi (PDC, LDAP, Kerberos). Tutti questi vengono catalogati come errori.

    Ultimo, sempre nel BPA, continua a segnalare che non è impostato come primo settaggio l'indirizzo di loopback, nella scheda intranet (quella dei client). Abbiamo seguito tutti i passaggi delle guide e l'indirizzo è presente nelle tabelle, ma l'errore continua a manifestarsi.

    Queste molteplici segnalazioni, possono derivare da una migrazione non corretta dal server 2k3 ? Non abbiamo avuto indicazioni di errore durante le varie fasi.

    Saluti


    mercoledì 17 dicembre 2014 08:58
  • A mio parere non sono problemi riconducibili ad una errata migrazione ma piuttosto alla configurazione multihomed, che solitamente è problematica. La cosa migliore, anche per le best practices visto che parliamo di un controller di dominio, sarebbe separare la rete uffici con un vero router/firewall hardware e poi sotto quest'ultimo inserire il server (che avrà quindi una sola scheda di rete) e tutti i client. Considera che anche se il NAT software era una soluzione adottata in passato sull'SBS 2003 e funzionava non è detto che sia la migliore e che rispetti effettivamente tutte le indicazioni Microsoft.

    Per quanto riguarda il round robin, però, se tolgo la spunta nelle proprietà del server senza l'estensione del dominio (in poche parole hanno lo stesso nome, uno con, uno senza), tale proprietà la troviamo modificata anche nell'altro.

    Il round robin viene disabilitato a livello di server e non a livello di interfaccia, quindi non mi è chiaro cosa intendi quando dici di vederne 2 con lo stesso nome. Se vedi effettivamente due server DNS nell'elenco (uno con l'FQDN e uno con il nome NETBIOS) allora la cosa non è assolutamente normale ed è stato sbagliato qualcosa sempre nella configurazione del server multihomed.

    mercoledì 17 dicembre 2014 09:28
    Moderatore
  • La situazione allora è più chiara.

    Provvederemo come suggerito al'inserzione di un router all'interno della rete ed utilizzeremo la seconda scheda con la funzionalità di ridondanza, che ho visto viene definita come funzionalità team ? Forse l'ho indicata in malo modo ma ne ho capito lo scopo.

    Per l'impostazione del server, siccome la rete comunque è molto piccola ed è a ns. uso, è meglio provvedere ad una reimpostazione della funzione DNS di sana pianta oppure cercare di risolvere ?

    Vedremo di dare ordine al sistema anche perché dobbiamo migrare nelle ferie Exchange e SQL, per cui non abbiamo urgenza, ma ormai non possiamo lasciare le operazioni a metà.

    Grazie

    mercoledì 17 dicembre 2014 09:40
  • Si, successivamente la seconda scheda di rete può essere utilizzata in team senza problemi (ad esempio in link aggregation se supportato dal tuo switch) anche se questo ti porterà a dover eseguire una riconfigurazione dell'interfaccia di rete. Proprio perché il server dovrà avere Exchange e SQL Server (applicazioni notoriamente pesanti e che in realtà non andrebbero installate su un controller di dominio) a maggior ragione è meglio non far passare tutto il traffico internet dei client.


    mercoledì 17 dicembre 2014 09:54
    Moderatore
  • Le contro indicazioni sull'unica unità server sono note da tempo, ma siamo entro quella casistica dove il server è quasi un plus, vista la grandezza delle rete. 

    Lo manteniamo per diverse questioni di lavoro. Non lavoriamo nello stretto ambito dei sistemi server, ma avendoci spesso a che fare, ci siamo convinti che sarebbe stato meglio conoscerne le funzionalità anche se in maniera non completamente professionale come i partecipanti al forum.

    SAluti


    Ennio Roberti

    mercoledì 17 dicembre 2014 10:45