none
Windows Server 2012 strandard - 2 domain controller in backup e configurazioni DNS differenti. Capire il perchè RRS feed

  • Domanda

  • Buongiorno

    questa la mia architettura di rete:

    - due domain controller DC1 e DC2 con Windows Server 2012 Standard configurati in backup;

    - entrambi gestiscono DNS e DHCP;

    - entrambi su infrastruttura vSphere v5.1;

    - il dominio in questione si chiama nomeazienda-dom;

    - il dominio "locale" si chiama nomeazienda-dom.locale.

    Premesso ciò (e premesso che ho solo pochi giorni di esperienza sulle spalle in questo campo ...), noto differenza nella configurazione del DNS delle due macchine che vorrei capire se corretta oppure se trattasi di setting errato o di prova durante la messa in servizio dei server.

    Sul DC1 da server manager --> tool --> DNS avvio il DNS Manager; si apre la mia finestrella ed in alto a sinistra trovo:

    DNS --> DC1 (nome del server) --> le classiche folder Forward Lookup Zones, Reverse Lookup Zones, Trust Points, Conditional Forwarders ed infine Global Logs

    Sul DC2 da server manager --> tool --> DNS avvio il DNS Manager; si apre la mia finestrella ed in alto a sinistra trovo:

    DNS --> DC2 (nome del server)  ma anche "DC2.nomeazienda-dom.locale". Entrambe possiedo le classiche subfolder Forward Lookup Zones, Reverse Lookup Zones, Trust Points, Conditional Forwarders ed infine Global Logs

    Se eseguo un export list del contenuto del dns DC2 e di "DC2.nomeazienda-dom.locale" noto che i contenuti sono molto molto simili.

    In breve: come mai ho queste due voci nel DNS del DC2? Posso cancellarne una (io pensavo "DC2.nomeazienda-dom.locale") senza incappare in problemi funzionali? Oppure, siccome il carico dei due server è pari al 50% ciascuno, posso in qualche modo cancellare il DNS sul DC2 e richiedere replica / sincronia immediata da DC1?

    Grazie per qualsiasi parere in merito

    mercoledì 18 marzo 2015 07:39

Risposte

Tutte le risposte

  • Ciao,

    potresti allegare uno screenshot della mmc del DNS2?

    mercoledì 18 marzo 2015 08:47
  • Mi spiace ma non riesco; mi compare un popup dicendo che devo verificare l'account ....

    Scusa se vado OT ma non è sufficiente dopo la registrazione verificare un codice mediante mail o telefono?

    mercoledì 18 marzo 2015 10:44
  • Dovrebbe
    mercoledì 18 marzo 2015 11:16
  • La mmc dovrebbe assomigliare a questa qui sotto dove ho oscurato il nome del server dns:

    

    mercoledì 18 marzo 2015 11:20
  • Mi spiace ma non riesco; mi compare un popup dicendo che devo verificare l'account ....

    Scusa se vado OT ma non è sufficiente dopo la registrazione verificare un codice mediante mail o telefono?

    Vedi qui per la verifica dell'account: http://social.technet.microsoft.com/wiki/contents/articles/15960.how-to-verify-your-msdntechnet-forums-account-so-that-you-can-post-images-and-links.aspx

    In alternativa puoi sempre utilizzare un servizio di image hosting esterno...

    mercoledì 18 marzo 2015 11:20
    Moderatore
  • Per il DC1 è esattamente come l'immagine da te postata; per il DC2 al di sotto della voce DNS vi sono due icone pari a quella dove tu hai cancellato il nome del domain controller: la prima riporta il nome DC2 per l'appunto, mentre la seconda riporta DC2.nomeazienda-dom.locale. Le proprietà delle due voci sono identiche ...
    mercoledì 18 marzo 2015 11:34
  • Per sicurezza potresti inserire l'output del comando:

    dcdiag /test:dns

    E un ipconfig /all di entrambi i DC.
    mercoledì 18 marzo 2015 11:49
    Moderatore
  • tipo cosí?

    mercoledì 18 marzo 2015 11:53
  • si esattamente così
    mercoledì 18 marzo 2015 12:18
  • Per sicurezza potresti inserire l'output del comando:

    dcdiag /test:dns

    E un ipconfig /all di entrambi i DC.

    DCDIAG sul DC1 ottengo:

    Directory Server Diagnosis
    Performing initial setup:   Trying to find home server...   Home Server = DC1   * Identified AD Forest.
       Done gathering initial info.
    Doing initial required tests  
       Testing server: Nome-predefinito-primo-sito\DC1      Starting test: Connectivity         ......................... DC1 passed test ConnectivityDoing primary tests  
       Testing server: Nome-predefinito-primo-sito\DC1  
          Starting test: DNS                  DNS Tests are running and not hung. Please wait a few minutes...         ......................... DC1 passed test DNS  
       Running partition tests on : ForestDnsZones  
       Running partition tests on : DomainDnsZones  
       Running partition tests on : Schema  
       Running partition tests on : Configuration  
       Running partition tests on : nomeazienda-dom  
       Running enterprise tests on : nomeazienda-dom.locale      Starting test: DNS         ......................... nomeazienda-dom.locale passed test DNS

    DCDIAG sul DC2 ottengo:


    Directory Server Diagnosis
    Performing initial setup:   Trying to find home server...   Home Server = DC2   * Identified AD Forest.
       Done gathering initial info.
    Doing initial required tests  
       Testing server: Nome-predefinito-primo-sito\DC2      Starting test: Connectivity         ......................... DC2 passed test ConnectivityDoing primary tests  
       Testing server: Nome-predefinito-primo-sito\DC2  
          Starting test: DNS                  DNS Tests are running and not hung. Please wait a few minutes...         ......................... DC2 passed test DNS  
       Running partition tests on : DomainDnsZones  
       Running partition tests on : ForestDnsZones  
       Running partition tests on : Schema  
       Running partition tests on : Configuration  
       Running partition tests on : nomeazienda-dom  
       Running enterprise tests on : nomeazienda-dom.locale      Starting test: DNS         ......................... nomeazienda-dom.locale passed test DNS

    mercoledì 18 marzo 2015 12:22
  • Hai semplicaemente 2 connessioni allo stesso dns dalla stessa mmc. Puoi cancellarne una (rigth click-> delete)
    • Contrassegnato come risposta ict.ict mercoledì 18 marzo 2015 12:51
    mercoledì 18 marzo 2015 12:31
  • Per sicurezza potresti inserire l'output del comando:

    dcdiag /test:dns

    E un ipconfig /all di entrambi i DC.

    Scusa ho dimenticato gli ipconfig ..

    Su DC1 ottengo


    Windows IP Configuration

       Host Name . . . . . . . . . . . . : DC1
       Primary Dns Suffix  . . . . . . . : nomeazienda-dom.locale
       Node Type . . . . . . . . . . . . : Hybrid
       IP Routing Enabled. . . . . . . . : No
       WINS Proxy Enabled. . . . . . . . : No
       DNS Suffix Search List. . . . . . : nomeazienda-dom.locale

    Ethernet adapter Ethernet:

       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter
       Physical Address. . . . . . . . . : 00-50-56-B4-24-EC
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes
       Link-local IPv6 Address . . . . . : fe80::3858:3f22:ef5:935b%12(Preferred)
       IPv4 Address. . . . . . . . . . . : 192.168.1.200(Preferred)
       Subnet Mask . . . . . . . . . . . : 255.255.255.0
       Default Gateway . . . . . . . . . : 192.168.1.254
       DHCPv6 IAID . . . . . . . . . . . : 251661353
       DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-19-D2-0E-6B-00-50-56-B4-24-EC
       DNS Servers . . . . . . . . . . . : 192.168.1.200
                                           192.168.1.201
                                           127.0.0.1
       NetBIOS over Tcpip. . . . . . . . : Enabled

    Tunnel adapter isatap.{634FFD5B-8F88-4EA8-9145-27E26B635B6E}:

       Media State . . . . . . . . . . . : Media disconnected
       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Microsoft ISATAP Adapter #2
       Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes

    Tunnel adapter Teredo Tunneling Pseudo-Interface:

       Media State . . . . . . . . . . . : Media disconnected
       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes

    su DC2 ottengo:


    Windows IP Configuration

       Host Name . . . . . . . . . . . . : DC2
       Primary Dns Suffix  . . . . . . . : nomeazienda-dom.locale
       Node Type . . . . . . . . . . . . : Hybrid
       IP Routing Enabled. . . . . . . . : No
       WINS Proxy Enabled. . . . . . . . : No
       DNS Suffix Search List. . . . . . : nomeazienda-dom.locale

    Ethernet adapter Ethernet:

       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter
       Physical Address. . . . . . . . . : 00-50-56-B4-34-A7
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes
       Link-local IPv6 Address . . . . . : fe80::8141:bf4:d011:3992%12(Preferred)
       IPv4 Address. . . . . . . . . . . : 192.168.1.201(Preferred)
       Subnet Mask . . . . . . . . . . . : 255.255.255.0
       Default Gateway . . . . . . . . . : 192.168.1.254
       DHCPv6 IAID . . . . . . . . . . . : 251661353
       DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-19-D8-8F-39-00-50-56-B4-34-A7
       DNS Servers . . . . . . . . . . . : ::1
                                           192.168.1.201
                                           192.168.1.200
       NetBIOS over Tcpip. . . . . . . . : Enabled

    Tunnel adapter isatap.{634FFD5B-8F88-4EA8-9145-27E26B635B6E}:

       Media State . . . . . . . . . . . : Media disconnected
       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Microsoft ISATAP Adapter #2
       Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes

    Tunnel adapter Teredo Tunneling Pseudo-Interface:

       Media State . . . . . . . . . . . : Media disconnected
       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes

    mercoledì 18 marzo 2015 12:31
  • Come dice anche aperelli, probabilmente è solo la visualizzazione della console MMC. Puoi aggiungere due volte lo stesso server utilizzando il nome NetBIOS o l'FQDN completo, ma alla fine si tratta esattamente della stessa cosa (infatti noterai che le zone sono identiche).

    Ti confermo che non ci sono anomalie nel DNS anche se su DC2 dovresti rimuovere l'indirizzo di loopback come prima voce della lista (rischio di problemi di replica). Su DC1 è corretto, ma alla fine quell'indirizzo di loopback in terza posizione è ridondante e puoi anche rimuoverlo.

    Poi ci sarebbero anche diversi punti di vista sull'ordine da utilizzare per i server DNS in replica. Qualcuno consiglia la tua configurazione mentre altri preferiscono invertirli (ovvero su DC1, indirizzo di DC2 in prima posizione e poi indirizzo di DC1 e viceversa) seguendo l'attuale best practices sugli indirizzi di loopback.


    mercoledì 18 marzo 2015 12:32
    Moderatore
  • Hai semplicaemente 2 connessioni allo stesso dns dalla stessa mmc. Puoi cancellarne una (rigth click-> delete)

    ok grazie 1000! Ho cancellato il secondo riferimento al DNS e nel dubbio ho riavviato il servizio
    mercoledì 18 marzo 2015 12:52
  • Come dice anche aperelli, probabilmente è solo la visualizzazione della console MMC. Puoi aggiungere due volte lo stesso server utilizzando il nome NetBIOS o l'FQDN completo, ma alla fine si tratta esattamente della stessa cosa (infatti noterai che le zone sono identiche).

    Ti confermo che non ci sono anomalie nel DNS anche se su DC2 dovresti rimuovere l'indirizzo di loopback come prima voce della lista (rischio di problemi di replica). Su DC1 è corretto, ma alla fine quell'indirizzo di loopback in terza posizione è ridondante e puoi anche rimuoverlo.

    Poi ci sarebbero anche diversi punti di vista sull'ordine da utilizzare per i server DNS in replica. Qualcuno consiglia la tua configurazione mentre altri preferiscono invertirli (ovvero su DC1, indirizzo di DC2 in prima posizione e poi indirizzo di DC1 e viceversa) seguendo l'attuale best practices sugli indirizzi di loopback.


    Cosa intendi per rimuovere l'indirizzo di loopback sul server DC2?

    Pr quanto concerne le impostazioni del DNS primario e secondario, ho già discusso la questione in altro post (vedi "Windows Server 2012 - impossibilità di accesso ai file / errore accesso ai file").

    Grazie, saluti

    mercoledì 18 marzo 2015 13:17
  • Si, effettivamente ci sono diversi punti di vista in merito, preferisco non aggiungere altro per non crearti ulteriori dubbi (anche se forse si è capito).

    In ogni caso sul DC2 hai l'indirizzo di loopback IPv6 come prima voce per l'interfaccia di rete, e questo potrebbe causare qualche problema. Trovi ulteriori informazioni qui:

    https://technet.microsoft.com/en-us/library/ff807362%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396



    mercoledì 18 marzo 2015 14:03
    Moderatore
  • Ciao, scusa la domanda indiscreta... anzi due:

    1. Stiamo parlando della stessa infrastruttura del thread aperto per il problema accesso file?
    2. Quali attività hai effettuato da quando hai preso in gestione questa infrastruttura? (es. i server erano già presenti ed il dominio configurato, hai aggiunto un secondo server, hai attivato ulteriori ruoli/funzionalità, etc.)

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    mercoledì 18 marzo 2015 14:50
    Moderatore
  • Si, effettivamente ci sono diversi punti di vista in merito, preferisco non aggiungere altro per non crearti ulteriori dubbi (anche se forse si è capito).

    In ogni caso sul DC2 hai l'indirizzo di loopback IPv6 come prima voce per l'interfaccia di rete, e questo potrebbe causare qualche problema. Trovi ulteriori informazioni qui:



    Ho visionato il link ed ho capito fisicamente come devo operare e cioè: scheda di rete --> proprietà --> IPv6 --> avanzate --> DNS e quindi rimuovo il "::1". Però seguendo il link indicato (se non fraintendo) in testa all'articolo si recita "The loopback address should be configured only as a secondary or tertiary DNS server on a domain controller." cioè il loopback address deve essere impostato solo per i server DNS secondari o terziari. Ora il mio DC2 essendo un domain controller di backup non è visto come secondario?? Vero è che il carico tra DC1 e DC2 è ripartito al 50% .....
    mercoledì 18 marzo 2015 14:51
  • Per postare screen ti consiglio di utilizzare OneDrive e di pubblicare il link sul post. Di default non sei autorizzato a postare immagini.

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    mercoledì 18 marzo 2015 14:52
    Moderatore
  • Ciao, scusa la domanda indiscreta... anzi due:

    1. Stiamo parlando della stessa infrastruttura del thread aperto per il problema accesso file?
    2. Quali attività hai effettuato da quando hai preso in gestione questa infrastruttura? (es. i server erano già presenti ed il dominio configurato, hai aggiunto un secondo server, hai attivato ulteriori ruoli/funzionalità, etc.)

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    Si stiamo parlando della stessa infrastruttura. In breve non avendo esperienza ed essendo una struttura "ballerina" (questo almeno il giudizio dei vari consulenti che transitano in azienda ...) per ora non ho preso iniziative ma sto solo tentando di capire quali siano le principali problematiche e capire se sono causate da errate configurazioni, hw guasto, mancanza di licenze ... e mi fermo qui!! :-(

    Il primo problema è che io non mi occupo (non mi occupavo ...) di IT fino ad inizio mese. Quindi sicuramente esordisco con domande banali (certamente) ma l'azienda non può investire in altre risorse visto il clima economico / commerciale italiano ed io ovviamente non vorrei "tentare" delle ipotetiche impostazioni che compromettano il lavoro di 40 colleghi. Per rispondere un minimo alla seconda domanda: non ho aggiunto server, ho sistemato il backup su san / nastro, sto tentando di definire regole utente e nomenclature stazioni di lavoro a mio giudizio sensate e comunque con una certa logica. Poi passerò alla questione antivirus e sql.

    Spero di averti dipinto un veloce quadro della situazione ...

    mercoledì 18 marzo 2015 14:59
  • Ho visionato il link ed ho capito fisicamente come devo operare e cioè: scheda di rete --> proprietà --> IPv6 --> avanzate --> DNS e quindi rimuovo il "::1". Però seguendo il link indicato (se non fraintendo) in testa all'articolo si recita "The loopback address should be configured only as a secondary or tertiary DNS server on a domain controller." cioè il loopback address deve essere impostato solo per i server DNS secondari o terziari. Ora il mio DC2 essendo un domain controller di backup non è visto come secondario?? Vero è che il carico tra DC1 e DC2 è ripartito al 50% .....

    No, Active Directory utilizza un motore di replica multimaster, quindi non c'è un concetto di DC primario o secondario stanno tutti allo stesso livello indipendentemente dai ruoli FSMO. Per server DNS secondari e terziari si intende l'ordine dei DNS impostati nella scheda di rete, ovvero gli indirizzi di loopback posso essere utilizzati solo come "Server DNS alternativo" o in posizioni ancora più in basso nella lista. Ora ti verrà da chiederti: che differenza c'è quindi ad avere in prima posizione l'indirizzo dell'interfaccia fisica o l'indirizzo di loopback? La mia configurazione è comunque corretta? In realtà gli indirizzi di loopback differiscono per l'interfaccia utilizzata a livello di sistema operativo, quindi presumo che possa esserci una differenza, ma qui ritorniamo poi alla discussione precedente....


    mercoledì 18 marzo 2015 15:04
    Moderatore