none
Impossibile visualizzare tutti i pc del dominio

Risposte

  • Ciao, il discorso di SMB non è compatibile con quanto da te citato. Nel senso che, se disabiliti smb i pc in dominio comunque vengo lo stesso rilevati dal DC. Quindi non è chiaro quando dici "non vengono rilevati" cosa intendi.

    Se intendi che non sono più visibili a livello di Active Directory allora il problema è molto serio, ma, penso di aver inteso che tu non veda più in realtà le macchine a livello di network discovery quindi se clicchi su "risorse di rete". Il network discovery però dipende da parecchi fattori e secondo me anche in quel caso aver disabilitato smb1 non ne è la causa. Quindi, prima dicci dove esattamente non vedi questi pc. 

    Sotto AD sono tutti presenti in "users e computers of active directory?" Le macchine che hanno preso il wannacry le hai formattate o hai solo applicato la patch? erano anche dei client?

    ciao.

    A.

    venerdì 1 dicembre 2017 16:03
    Moderatore
  • Ciao, allora avevo capito bene. Il network discovery con l'smb non c'entra nulla. Il protocollo che usa è LLTD. Secondo me potrebbe essere solo una coincidenza o meglio il problema è dovuto dall'infezione e non dall'applicazione della patch. Come dice comunque Fabrizio il Network Discovery non serve a nulla ed in una rete in cui sui cliente non c'è niente di condiviso serve ancora a meno. E' una opzione in più per vedere i dispositivi della rete, ma come ti è stato spiegato è molto umorale. Ci puoi perdere anche le giornate a cercare di farlo funzionare senza riuscirci e poi dopo qualche ora può smettere di rifunzionare. Ti consiglio di utilizzare i path predefiniti verso i server magari mappati con policy e chiudere la questione ND.

    ciao.

    A.


    lunedì 4 dicembre 2017 13:41
    Moderatore
  • "Io temevo avesse disabilitato ogni protocollo di tipo smb..."

    in ogni caso non avrebbe inibito il discovery della rete. Al Network discovery non interessa comunque SMB altrimenti non troverebbe host con altri sistemi no? Parte dal network layer e va su cercando di ottenere informazioni dettagliate, se gli vengono bloccate non fa apparire l'host nella topology che poi topology non è, è un inventario alla fine.

    Questo è il link

    https://blogs.technet.microsoft.com/networking/2010/12/06/disabling-network-discoverynetwork-resources/

    Secondo me il network discovery inizia a lavorare dal livello più basso...poi magari troverai un articolo dove dice che invece parte dal livello 7..ma la logica dice che la prima cosa che guarda è il link layer...e quello lo usa per forza..

    https://en.wikipedia.org/wiki/Link_layer

    ciao.

    A.

    martedì 5 dicembre 2017 10:42
    Moderatore

Tutte le risposte

  • Ciao,

    da come descrivi la cosa sembra un problema piuttosto serio. Due domande:

    1. anche se togli i pc "che non si vedono" dal dominio e poi fai nuovamente join al dominio non si vedono? Se esegui la procedura di join al dominio va a buon fine oppure ricevi degli errori? Altre cose segnalate nel registro eventi del DC?

    2. scrivi "ho cercato di ripristinare i servizi disabilitati tramite sc.exe": significa quindi che hai dei servizi fondamentali che non ci sono più o che non partono più? Spiega meglio....

    Ciao.

    venerdì 1 dicembre 2017 14:02
  • Ciao,

    Nessun problema se esco i rientro dal dominio, ma i pc continuano a non vedersi.
    Il registro eventi non ha nulla da segnalare

    Spiego meglio,
    ho ripristinato sul server DFS i servizi come indicato nel link sopra, dato che tramite gpo li avevo disabilitati, ed ho eseguito i comandi seguenti:
    sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
    sc.exe config mrxsmb20 start= auto

    In questo modo da gestione dfs ho potuto di nuovo contattare il server dello spazio dei nomi e far vedere la DFS agli utenti.
    Da gestione DFS i computer Invisibili, ma in cui risiedono dei dati , sono contattabili per esempio come destinazione cartella in un link dfs, ma non sono disponibili in risorse di rete.

    Questo problema alla rete si è manifestato dopo avere effettuato la disabilitazione tramite GPO del Server e Client SMB come indicato sul link.
    Io ho solo cercato di tornare indietro almeno su un server DFS manualemente.
    Come potrei applicare una nuova GPO per tornare allo stato precedente?

    Grazie

    • Modificato Adricharlie venerdì 1 dicembre 2017 15:12
    venerdì 1 dicembre 2017 15:10
  • Ciao, il discorso di SMB non è compatibile con quanto da te citato. Nel senso che, se disabiliti smb i pc in dominio comunque vengo lo stesso rilevati dal DC. Quindi non è chiaro quando dici "non vengono rilevati" cosa intendi.

    Se intendi che non sono più visibili a livello di Active Directory allora il problema è molto serio, ma, penso di aver inteso che tu non veda più in realtà le macchine a livello di network discovery quindi se clicchi su "risorse di rete". Il network discovery però dipende da parecchi fattori e secondo me anche in quel caso aver disabilitato smb1 non ne è la causa. Quindi, prima dicci dove esattamente non vedi questi pc. 

    Sotto AD sono tutti presenti in "users e computers of active directory?" Le macchine che hanno preso il wannacry le hai formattate o hai solo applicato la patch? erano anche dei client?

    ciao.

    A.

    venerdì 1 dicembre 2017 16:03
    Moderatore
  • Facciamo ordine:

    1* come dice Alessandro cosa intendi per " ha reso impossibile su alcuni server la rilevazione di tutti i pc nel dominio"

    2* parli di aver disabilitato SMB v1, ma poi indichi un comando relativo alla disabilitazione SMB v2. Spiega bene quali protocolli hai disabilitato e su quali computer/server

    3* indica le versioni dei SO coinvolti nella disabilitazione

    Se hai disabilitato SMB v1 E SMB v2 gli unici computer che si "vedranno" sono quelli con SO windows 8/10/2012/2016, da cui se hai un DC/DFS 2012 e  clients windows 7 questi non potranno utilizzare le rispettive share (amministrative  o esposte dal DFS ) anzi saranno tagliati fuori...

    ciao Gas 


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere



    venerdì 1 dicembre 2017 20:42
    Moderatore

  • Se hai disabilitato SMB v1 E SMB v2 gli unici computer che si "vedranno" sono quelli con SO windows 8/10/2012/2016, da cui se hai un DC/DFS 2012 e  clients windows 7 questi non potranno utilizzare le rispettive share (amministative  o esposte dal DFS ) anzi saranno tagliati fuori...


    in che senso? ma parliamo quindi di pc non visti col network discovery...o col DFS...non è molto chiaro cosa stiamo cercando di "vedere"...poi sui client quante share ci saranno? di solito sui client non si tiene a livello di share..non è chiaro cosa vogliamo ottenere qui..

    sabato 2 dicembre 2017 07:51
    Moderatore
  • Penso che per "visualizzare" si intenda proprio il "network discovery" in quanto nel secondo messaggio vengono citate proprio le Risorse di rete.
    Per iniziare direi di fare queste verifiche:
    http://itlabz10.tk/archives/1076

    In ogni caso, a mio parere non si tratta di un problema preoccupante (il network discovery può smettere di funzionare anche in assenza di reali problemi, non è un sistema particolarmente affidabile), più che altro dovresti verificare bene altre eventuali anomalie presenti sui server. Per come la vedo io dopo un attacco, riuscito o no, che potrebbe aver compromesso determinati sistemi è consigliabile comunque fare un backup dei dati e ripreparali da zero.

    domenica 3 dicembre 2017 08:15
    Moderatore
  • Ringrazio tutti dell'interessamento,

    chiarisco che il dominio in questione è win 2008 r2,(due DC e due DFS) con client win 7.
    I client vedono tutti la dfs e sono tarnquillamente su Active directory.
    La problematica è su network discovery nei client, le verifiche indicate sull'articolo http://itlabz10.tk/archives/1076 le ho tutte implementate, ma niente da fare.
    La problematica è avvenuta perchè per un eccesso di sicurezza (avevo già messo patch ed antivirus aggiornato) dopo aver applicato la GPO indicata nel  link. 
    In alcuni Pc infatti, sono risucito con il ripristino di sistema a tornare indietro e le risorse di rete sono tornate tutte disponibili.

    Grazie
    lunedì 4 dicembre 2017 09:25
  • Ciao, allora avevo capito bene. Il network discovery con l'smb non c'entra nulla. Il protocollo che usa è LLTD. Secondo me potrebbe essere solo una coincidenza o meglio il problema è dovuto dall'infezione e non dall'applicazione della patch. Come dice comunque Fabrizio il Network Discovery non serve a nulla ed in una rete in cui sui cliente non c'è niente di condiviso serve ancora a meno. E' una opzione in più per vedere i dispositivi della rete, ma come ti è stato spiegato è molto umorale. Ci puoi perdere anche le giornate a cercare di farlo funzionare senza riuscirci e poi dopo qualche ora può smettere di rifunzionare. Ti consiglio di utilizzare i path predefiniti verso i server magari mappati con policy e chiudere la questione ND.

    ciao.

    A.


    lunedì 4 dicembre 2017 13:41
    Moderatore
  • Io temevo avesse disabilitato ogni protocollo di tipo smb...

    Alessandro hai qualche link Microsoft da fornire, sull'uso che windows fa del protocollo cisco LLDP, nel servizio "individuazione rete"?


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    lunedì 4 dicembre 2017 20:59
    Moderatore
  • "Io temevo avesse disabilitato ogni protocollo di tipo smb..."

    in ogni caso non avrebbe inibito il discovery della rete. Al Network discovery non interessa comunque SMB altrimenti non troverebbe host con altri sistemi no? Parte dal network layer e va su cercando di ottenere informazioni dettagliate, se gli vengono bloccate non fa apparire l'host nella topology che poi topology non è, è un inventario alla fine.

    Questo è il link

    https://blogs.technet.microsoft.com/networking/2010/12/06/disabling-network-discoverynetwork-resources/

    Secondo me il network discovery inizia a lavorare dal livello più basso...poi magari troverai un articolo dove dice che invece parte dal livello 7..ma la logica dice che la prima cosa che guarda è il link layer...e quello lo usa per forza..

    https://en.wikipedia.org/wiki/Link_layer

    ciao.

    A.

    martedì 5 dicembre 2017 10:42
    Moderatore
  • credo solo che abbiate sbagliato a scrivere l'acronimo che è LLTD

    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    mercoledì 6 dicembre 2017 16:32
    Moderatore
  • credo solo che abbiate sbagliato a scrivere l'acronimo che è LLTD

    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    Non devi usare il plurale, conosco LLDP , ho ripreso il termine di Alessandro, sicuro che non fosse usato nel network discovery di Microsoft, infatti, C.V.D. il documento parla di altro, cioè LLTP, sono sicuro è svista...

    Poi se il nostro OP ha eseguito i comandi presenti nel link Microsoft  da lui riportato, e ha disabilitato SMB ripeto e correggo ciò che ho detto in forma più restrittiva:

    "tutti i clients windows  non potranno utilizzare le rispettive share (amministrative  o esposte dal DFS ) anzi saranno tagliati fuori..."
    Leggendo il doc in questione, dato che disabilitando SMB2 si disabilita SMB3, non andrà nulla, pure verso i server 2012/2016 , sysvol inaccessibile, share e share amministrative inutilizzabili, group policy ko etc ....

    Provare per credere ecco i comandi citati

    sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
    sc.exe config mrxsmb10 start= disabled
    
    sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
    sc.exe config mrxsmb20 start= disabled
    
    Ciao Gas


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    mercoledì 6 dicembre 2017 20:25
    Moderatore
  • Si Edo, era un typo, ma sai che Gas piuttosto di dirti “forse hai fatto un typo” preferisce puntualizzare, caso vuole che esistesse anche LLDP. Adesso lo correggo.
    giovedì 7 dicembre 2017 07:17
    Moderatore