none
DC Multihomed RRS feed

  • Domanda

  • Ciao a tutti,
    sto implementato un nuovo DC nella sede di torino.
    Gli altri DC sono in india, milano e treviso.  (sono tutti Windows 2012 R2) 
    Tra le sedi ci sono delle VPN tranne tra milano-torino dove esiste un LanLink (un collegamento che porta solo delle vlan senza routing, praticamente solo un layer 2).
    Il problema è che a Milano c'è il DC principale con tutti i ruoli FSMO, dunque il nuovo DC di torino non riesce a contattare direttamente la sede di Milano siccome le reti non si parlano in VPN.

    Per poter agganciare il nuovo DC di Torino ho aggiunto una nuova scheda di rete con IP e Subnet della rete di Milano  (siccome i due sono collegati dal LanLink layer 2), in questo modo sono riuscito ad aggiungere il nuovo DC.

    Mentre mi documentavo per questa problematica sono incappato nella configurazione dei "DC multihomed" che tutti sconsigliano (praticamente dei DC con più Nic), per cui ho rimosso dal DC di Torino la seconda scheda di rete, solo che ora non riesce più a contattare il DC principale con i ruoli FSMO, gli altri DC riesce a contattarli.

    La sede di Torino è una sede di DR, è necessario che contatti il DC con i ruoli FSMO? Può bastare che si replichi solo da un DC anche in India o Treviso?
    Come posso impostare, come voglio io, che si sincronizzi solo da un DC in particolare?
    E' veramente problematico, visto lo scenario, utilizzare il DC multihomed?

    Grazie come sempre per l'aiuto
    Angelo
    lunedì 29 ottobre 2018 08:19

Tutte le risposte

  • il primo suggerimento sarebbe quello di aggiungere una connessione vpn torino-milano, l'altro è di tenere il dc di torino in replica per il tramite degli altri dc: in pratica non apportare modifiche ad active directory dal dc di torino.

    ciao


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    lunedì 29 ottobre 2018 10:14
    Moderatore
  • Ciao grazie per la risposta,
    non posso mettere in VPN il sito di Torino-Milano causa loop di rete, la rete di milano arriva tramite un layer2 per cui non posso aggiungerla alla VPN.

    Sul secondo suggerimento come potrei procedere?

    Ciao

    Angelo

    lunedì 29 ottobre 2018 10:17
  • sul secondo suggerimento sono ben poche le cose che richiedono il contatto con il dc che detiene i ruoli FSMO, semplicemente quelle operazioni le farai sul dc di milano e non su quello di torino.

    qui sotto le spiegazioni sulle funzionalità gestite dai vari ruoli FSMO

    https://support.microsoft.com/it-it/help/197132/active-directory-fsmo-roles-in-windows


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    lunedì 29 ottobre 2018 10:56
    Moderatore
  • Non ho capito se mi suggerisci di mettere in nuovo DC in RODC oppure di cambiare il senso della sincronia, mi puoi dare più info su come configurare "tenere il dc di torino in replica per il tramite degli altri dc"

    Grazie

    lunedì 29 ottobre 2018 11:08
  • scusa ma forse ho letto male io il tuo primo post: mi è sembrato di capire che tutti i nodi sono collegati con tutti e non solo con il nodo di milano che fa da centro stella. ho capito male ? torino non replica con gli altri domain controller ?

    tu hai scritto che le vpn ci sono dappertutto tranne milano-torino quindi io immagino che le vpn torino-india e torino-treviso esistano perciò è possibile la replica di ad.


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it


    lunedì 29 ottobre 2018 11:19
    Moderatore
  • Tutti le sedi sono collegate tra di loro, a Milano c'è il DC che detiene i ruoli FSMO.

    L'unica differenza è che a Torino c'è un DC che raggiunge tutti gli altri DC tranne quello di Milano, questo succede perché tra Milano e Torino non c'è una VPN ma un lanlink che trasposta solo il layer 2 (come se fosse un lungo cavo di collegamento tra due switch). Il sito di Torino e Milano hanno due subnet differenti per cui per farlo collegare inizialmente, sul DC di Torino, avevo messo una nuova NIC con IP di Milano in modo da farlo collegare.

    Potrebbe essere una buona idea che a Torino riceva solo gli aggiornamenti dell'AD e non li distribuisca.

    Spero di essere stato più chiaro
    Grazie e ciao
    Angelo

    lunedì 29 ottobre 2018 11:26
  • ok, quindi avevo capito bene, perciò non ti devi preoccupare anche se manca la connessione diretta tra milano e torino. le modifiche fatte sul dc di milano o sul dc di torino verranno comunque replicate passando tramite gli altri dc.

    ciao


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    lunedì 29 ottobre 2018 11:33
    Moderatore
  • Ciao grazie per la risposta,
    non posso mettere in VPN il sito di Torino-Milano causa loop di rete, la rete di milano arriva tramite un layer2 per cui non posso aggiungerla alla VPN.


    ok, ma puoi togliere il layer 2 e fare un bel tunnel IPSEC bidirezionale facendo passare tutto il traffico..non capisco il senso di 3 VPN ed una VLAN...

    A.

    lunedì 29 ottobre 2018 15:12
    Moderatore
  • La vlan è anche nella tua subnet di Milano, hai solo un problema di subnetting diversi, è corretto questo assunto? Se si, ti indico una idea


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    lunedì 29 ottobre 2018 18:50
    Moderatore
  • Non posso eliminare il trasporto della vlan dal lanlink per metterla in un tunnel IpSec.

    La vlan è presente sia a milano che a torino va proprio considerato come una lungo cavo tra due switch (il gateway è attestato a Milano), inoltre è la vlan1 la nativa del trunk, altro fatto è che tutti gli IP di management dell'infrastruttura di Torino sono su questa vlan (IP delle ILO, IP degli storage ecc...).

    A livello di replica funziona, quando credo nel DC di Treviso un utente, oppure a Milano me lo trovo replicato sul DC di Torino.

    Quando creo un utente da Torino, mi trovo questo avviso nel registro eventi:

    This computer was not able to set up a secure session with a domain controller in domain NOMEDELDOMINIO due to the following: 
    There are currently no logon servers available to service the logon request. 
    This may lead to authentication problems. Make sure that this computer is connected to the network. If the problem persists, please contact your domain administrator.  

    ADDITIONAL INFO 
    If this computer is a domain controller for the specified domain, it sets up the secure session to the primary domain controller emulator in the specified domain. Otherwise, this computer sets up the secure session to any domain controller in the specified domain.

    Ma successivamente lo trovo replicato sugli altri DC.

    Inoltre posso modificare con chi replica e da dove riceve le repliche? (NTDS settings)

    Ciao

    martedì 30 ottobre 2018 10:00
  • si verifica esattamente quanto ti avevo indicato.

    sul dc di torino metti come dns secondario il dc di treviso.

    ciao


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it


    martedì 30 ottobre 2018 10:03
    Moderatore
  • Ciao,

    ho eseguito un po' di verifiche e diciamo che la propagazione dei nuovi utenti funziona.

    Trovo diversi errori però nel DNS e nel Directory service:

    DNS:
    errore 4015

    The DNS server has encountered a critical error from the Active Directory. Check that the Active Directory is functioning properly. The extended error debug information (which may be empty) is "". The event data contains the error.

    Quando eseguo til comando: dcdiag /test:dns ho queste risposte:

    >dcdiag /test:dns

    Directory Server Diagnosis

    Performing initial setup:
       Trying to find home server...
       Home Server = TRINITY
       * Identified AD Forest.
       Done gathering initial info.

    Doing initial required tests

       Testing server: Turin\TRINITY
          Starting test: Connectivity
             ......................... TRINITY passed test Connectivity

    Doing primary tests

       Testing server: Turin\TRINITY

          Starting test: DNS

             DNS Tests are running and not hung. Please wait a few minutes...
             ......................... TRINITY passed test DNS

       Running partition tests on : DomainDnsZones

       Running partition tests on : ForestDnsZones

       Running partition tests on : Schema

       Running partition tests on : Configuration

       Running partition tests on : NOMEDOMINIO

       Running enterprise tests on : NOMEDOMINIO.com
          Starting test: DNS
             Test results for domain controllers:

                DC: TRINITY.NOMEDOMINIO.com
                Domain: NOMEDOMINIO.com


                   TEST: Delegations (Del)
                      Error: DNS server: architect.NOMEDOMINIO.com.
                      IP:192.168.166.100
    ...
                      Error: DNS server: architect.NOMEDOMINIO.com.
                      IP:192.168.166.100
                      [Broken delegated domain NOMEDOMINIO.com.NOMEDOMINIO.com.]
                      Error: DNS server: kalkii.NOMEDOMINIO.com. IP:10.168.3.19
                      [Broken delegated domain NOMEDOMINIO.com.NOMEDOMINIO.com.]
                      Error: DNS server: mr-anderson.NOMEDOMINIO.com.
                      IP:192.168.166.101
                      [Broken delegated domain NOMEDOMINIO.com.NOMEDOMINIO.com.]
                      Error: DNS server: niobe.NOMEDOMINIO.com. IP:192.168.168.100
                      [Broken delegated domain NOMEDOMINIO.com.NOMEDOMINIO.com.]
                      Error: DNS server: trinity.NOMEDOMINIO.com. IP:192.168.165.10
                      [Broken delegated domain NOMEDOMINIO.com.NOMEDOMINIO.com.]
                      Error: DNS server: architect.NOMEDOMINIO.com.
                      IP:192.168.166.100
                      [Broken delegated domain hwm.NOMEDOMINIO.com.]
                      Error: DNS server: architect.NOMEDOMINIO.com.
                      IP:192.168.166.100
                      ...

                   TEST: Dynamic update (Dyn)
                      Warning: Failed to delete the test record dcdiag-test-record i
    n zone NOMEDOMINIO.com

             Summary of test results for DNS servers used by the above domain
             controllers:

                DNS server: 192.168.166.100 (architect.NOMEDOMINIO.com.)
                   18 test failure on this DNS server
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DN
    S server 192.168.166.100
                DNS server: 192.168.166.101 (mr-anderson.NOMEDOMINIO.com.)
                   2 test failure on this DNS server
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DN
    S server 192.168.166.101
                DNS server: 10.168.3.19 (kalkii.NOMEDOMINIO.com.)
                   1 test failure on this DNS server

                DNS server: 192.168.165.10 (trinity.NOMEDOMINIO.com.)
                   1 test failure on this DNS server

                DNS server: 192.168.168.100 (niobe.NOMEDOMINIO.com.)
                   1 test failure on this DNS server

             Summary of DNS test results:

                                                Auth Basc Forw Del  Dyn  RReg Ext
                _________________________________________________________________
                Domain: NOMEDOMINIO.com
                   TRINITY                      PASS PASS PASS FAIL WARN PASS n/a

             ......................... NOMEDOMINIO.com failed test DNS

    La rete 192.168.166.0/24 è proprio quella che il DC trinity non raggiunge per cui credo che da questo genera tutti questi errori.

    Qualche consiglio?

    mercoledì 7 novembre 2018 08:20