locked
Problema di visualizzazione siti web con windows 7 tra due diversi domini RRS feed

  • Domanda

  • Buona sera a tutti,

    prima di esporre il problema in cui mi sono inbattuto, faccio una piccola premessa sull'environment da considerare. L'architettura è la seguente: due domini microsoft di II livello su reti differenti interconnesse tra loro a livello 3, inoltre tra le due reti è presente un firewall. Sul "dominio 2" sono presenti alcuni siti web che sono sempre stati accessibili dal "dominio 1". Tali siti sono consultabili, ad oggi, da tutti i client del dominio 1 aventi come S.O. Ms Windows XP Pro SP3 (IE 7), mentre tutti i client di tale dominio aventi come S.O. Ms Windows 7 Ultimate SP1 (IE 8) non riescono a consultare le diverse pagine web e ricevendo il classico errore di IE.

    Le prove che ho eseguito, senza arrivare ad alcun risultato, sono le seguenti:

    regola di tipo "any" "any" "permit" sul firewall;

    disabilitazione e configurazione del fw di Ms Windows;

    Utilizzo di browser differenti;

    blocco di tutte le policies di dominio;

    utilizzo di Ms Windows 7 senza eseguire il join al dominio.

    Ciò che non mi spiego è il perchè utilizzando WinXp SP3 tutto funziona e ciò mi lascia pensare che il problema non sia a livello 3.

    Grazie a tutti per la collaborazione.
    giovedì 8 novembre 2012 07:36

Tutte le risposte

  • Ciao Carmine, questi siti utilizzano un certificato? Accedi in https?

    Saluti

    Nino

    giovedì 8 novembre 2012 09:12
    Moderatore
  • Ciao, disabilitato ipv6 sui windows 7? Fatta questa prova?

    A.

    giovedì 8 novembre 2012 10:13
    Moderatore
  • Ciao Alessandro,

    ho fatto questa prova perché pensavo fosse un problema di incapsulamento del pacchetto, ma niente...non va.

    Grazie mille

    giovedì 8 novembre 2012 20:20
  • Ciao Nino,

    questi siti non usano un certificato e sono in chiaro, puro HTTP.

    Grazie mille

    giovedì 8 novembre 2012 20:22
  • ... 
    ... ricevendo il classico errore di IE.

    Di errori ce ne sono molti .... http://it.wikipedia.org/wiki/Elenco_dei_codici_di_stato_HTTP e io il classico non so quale sia :)

    Potresti specificare quello visualizzato dopo aver seguito la procedura che trovi qui http://support.microsoft.com/kb/29480 ?

    I siti web in questione sono su IIS con autenticazione integrata?

    Ti consiglio vivamente di installare un IE9 su win7 e provare cosa succede (una prova con firefox 16 non sarebbe male) e riportare gli errori... (versione browser  errore rilevato)

    Per escludere i problemi di firewall ecco come fare:

    apri un command prompt come amministratore

    dism /online /Enable-Feature /FeatureName:TelnetClient

    telnet  www.tuo.sito.in.dominio1 80

    se si connette  (schemata nera) il firewall è ok. Per terminare scrivi qualcosa e invio avrai un "classico" errore 400

    se ottieni ...Impossibile aprire una connessione con l'host.... il fw deve essere configurato

    ciao


    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito (non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili . GRAZIE!

    giovedì 8 novembre 2012 21:43
    Moderatore
  • Di errori ce ne sono molti ....

    Gastone, forse intente  "pagina non trovata" :)

    Visto che il problema sembra essere circoscritto a W7 pensavo ad un problema di certificato, ecco il perché della mia domanda.

    Nelle ultime settimane alcuni siti non venivano visualizzati per via di un aggiornamento che riguarda i criteri di sicurezza. Vedi 3D http://social.technet.microsoft.com/Forums/it-IT/windowsvistait/thread/31ebfdb1-86c9-4bf2-83d2-7d86a5afb4d0. Adesso non so se questo può influire nella loro infrastruttura (http://support.microsoft.com/kb/2661254)

    Saluti

    Nino

    giovedì 8 novembre 2012 22:15
    Moderatore
  • Hai ragione, Nino potrebbe essere un errore 404 (ma volevo esserne certo, assolutamente certo!)

    Aspettiamo altre info utili

    Ciao

    Gas 


    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito (non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili . GRAZIE!

    giovedì 8 novembre 2012 23:27
    Moderatore
  • Ciao Gastone

    grazie per i suggerimenti.

    Lunedì posterò anche la tipologia di errore con il relativo codice. Ho provato sia IE9 che Firefox16 ma con lo stesso risultato. Inoltre, i siti in oggetto non su su IIS ma il portale ha un servizio dedicato (ZOPE). Sempre lunedì posterò l'esito del comado che mi hai indicato ad ogni modo la cosa che mi perplime è che il problema si verifica solo con client con SO Win7.

    Grazie mille per la collaborazione.

    Carmine

    venerdì 9 novembre 2012 17:44
  • Grazie mille Nino,

    Luned' provvederò a postare la tipologia dell'errore.

    Buon WekkEnd e grazie per il supporto.

    Carmine

    venerdì 9 novembre 2012 17:47
  • Ho avuto un illuminazione, lo stack del tcp di 7 è molto diverso e un po' più rigido rispetto a quello di XP, probabilmente non gradisce una qualche impostazione non conforme allo standard tcp/ip.

    Per verificare la mia "teoria" oltre a provare il telnet alla porta 80, testa anche altre porte, prova un ping etc... (io farei un bel  nmap) se questi test di networking non hanno successo (e da xp funzionano), il problema potrebbe essere i gateway o le netmask sbagliate, compunque qualcosa legato al networking (lo switch L3 ?). Fai le verifiche sia sul dominio 1  (zope server) e su i win7 dei parametri di networking (netmask/gateway/broadcast) e  informaci.

    Ciao Gastone

    Ps: ho avuto un problema, qualche giorno fa, con un mac air che non stampava (poi ho scoperto che non pingava, ne si collegava all'interfaccia web ...etc.)   era la netmask errata sulla stampante... ma questo problema si verificava con OSX Lion  non 2003/xp/7/osx snow inoltre stampante e  mac erano sulla stessa sottorete!


    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito (non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili . GRAZIE!

    venerdì 9 novembre 2012 19:18
    Moderatore
  • Ciao Gas,

    ho effettuato i test che mi avevi consigliato nei predenti post (ossia quelli del telnet) e i risultati sono che con un client Win7 non riesco a connettermi tramite Telnet al sito web, cosa che invece avviene su un client con Win XP (i client sono sulla stessa LAN).

    Ad ogni modo di seguito trovi l'errore che mi da IE quando provo a connettermi al sito e non indica un codice di stato HTTP.

    Dai test fatti, tenderei ad escludere che la problematica si ascrivibile alla componente network, inoltre ho controllato le configurazioni dei GW, Subnet Mask ecc e non ho riscontrato nulla di anomalo.

    Per complettezza di informazione c'è da dire che il dominio è su base Ms Windows Server 2003 EE, potrebbe essere un problema di ploicy di dominio?

    Grazie mille!!!

    martedì 13 novembre 2012 10:41
  • Spiega bene la tua achitettura di rete (in un post dici che i domini sono su reti differenti, ma poi che i client sono sulla stessa lan, non capisco) elenca ip/netmask/gw  di un client xp, un w7  e sitema operativo   ip/netmask/gw  del web server.

    Un ping funziona (da xp e 7 verso  il server web)?

    Un  telnet alla porta 22, meglio ancora un putty e test di connessione (valido solo se il web server è un linux con ssh)

    Un ftp dunziona?

    Meglio sarebbe avere il risultato di un nmap da xp e da 7 verso il www

    Cosa succede se win7 prova a collegarsi/pingare/telnet con altri pc dell'altra rete  (non il www)?

    Dopo queste risposte, ragioniamo se è o non è una problematica di rete .

    Le policy sono escluse (con 2003 non si riescono neanche a gestire le policy del firewall di win7 che a naso potrebbero influenzare/generare tale comportamento)


    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito (non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili . GRAZIE! Ricorda di dare un occhio anche QUI

    martedì 13 novembre 2012 23:43
    Moderatore
  • Lunedì posterò anche la tipologia di errore con il relativo codice. Ho provato sia IE9 che Firefox16 ma con lo stesso risultato. Inoltre, i siti in oggetto non su su IIS ma il portale ha un servizio dedicato (ZOPE). Sempre lunedì posterò l'esito del comado che mi hai indicato ad ogni modo la cosa che mi perplime è che il problema si verifica solo con client con SO Win7.

    Grazie mille per la collaborazione.

    Carmine

    Scusa Carmine,

    Non abbiamo ricevuto alcun aggiornamento e mi chiedevo se possiamo aiutarti ulteriormente o se il problema è stato risolto.
    Se così fosse ti saremmo grati di condividere il tuo feedback in questo spazio ricordandoti che altri membri della community potrebbero riscontrare comportamenti simili.

    Grazie in anticipo,

    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda. 

    giovedì 15 novembre 2012 14:27
  • Ciao...e scusatemi per non aver più postato aggiornamenti.

    Purtroppo la situazione non è cambiata, e come chiesto anche da Gastone, esplicito meglio qual è l'architettura da considerare.

    Sia il dominio 1 che il dominio 2 sono basati su Microsoft Windows Server 2003 EE.

    Sul dominio 2 risiede il portale in oggetto (quello basato su ZOPE), anch'esso implementato su piattaforma Windows Server 2003.

    Sul dominio 2 sono state implementate delle politiche di hardening simil SSLF (policy più, policy meno).

    Tra i 2 domini c'è un firewall.

    Inoltre, non c'è alcun tipo di trust tra i due domini.

    Sintetizzando al massimo il problema, si verifica questo:

    tutti i client (sia Win XP che Win7) "joinati" al dominio 2 accedono senza alcun problema al sito web.

    i client del dominio 1 con SO Win XP accedono senza problemi al sito (anche telnet, pig, ecc, ecc)

    i client del dominio 1 con SO Win 7 Ultimate Ed. non accedono in alcun modo (e non raggiungono nessun pc/apparato di rete del dominio 2).

    Rispondendo alle domande di Gas:

    sul server FTP (del dominio 2, quello hardenizzato) si verificava l'arresto dei servizi FTP e IIS (problema risolto bloccando l'ereditarietà delle policy di dominio).

    Appena riesco posto anche il risultato ottenuto con nmap.

    Grazie mille a tutti per la collaborazione e spero di aver esplicitato un pò meglio la problematica.

    Carmine.




    • Modificato Carmine1984 giovedì 15 novembre 2012 20:31
    giovedì 15 novembre 2012 20:28
  • Del tuo ultimo post è emersa  una cosa rilevante SSLF!!!

    1. Via tutte le policy di hardening.
    2. test connessione web

    Se funziona, ne aggiungi una alla volta fino a trovare quella crea il problema

    visto che i www server sono win, prova anche un

    ping www

    telnet www 139

    telnet www 445

    telnet www 3389


    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito (non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili . GRAZIE! Ricorda di dare un occhio anche QUI

    giovedì 15 novembre 2012 23:27
    Moderatore