nell'event viewer del pdc mi ritrovo sta cosa:
Registration of the DNS name _gc._tcp.Nome-predefinito-primo-sito._sites.azienda.it. 600 IN SRV 0 100 3268 server.azienda.it. failed with the following error:
Operazione DNS rifiutata.
in realtà io non voglio che il dns tenti di registrarsi perchè il dominio azienda.it è già registrato su un'altra macchina esterna all'azienda, e nemmeno ho mai configurato il dns su sto server... che devo fa?
Sotto la panza la mazza avanza.
il dominio AD sul server come si chiama?
il problema è che si chiama proprio azienda.it, non semplicemente azienda
purtroppo non esiste una maniera agevole per rinominare i domini su win2000, e quella macchina mi serve comunque che abbia costante accesso all'esterno perchè ospita un proxy
Sotto la panza la mazza avanza.
se non sbaglio AD funziona in abbinamento diretto con il DNS... sarebbe il caso di averlo sul PDC visto che i client poi devono risolvere il nome del server (server.azienda.it)
non volevo appesantire la macchina, fa già da pdc + file server + proxy... e configurare il dns come risolverebbe il mio problema?
Sotto la panza la mazza avanza.
che i client troverebbero il dominio AD
ma il problema non è quello... la rete funziona perfettamente, i client sono uniti e trovano il dominio senza problemi, il problema è che il dominio .it è già registrato nei dns da un'altra macchina esterna all'azienda e io non voglio che il pdc interno tenti di registrarsi a sua volta
Sotto la panza la mazza avanza.
Sarà che è domenica, sarà che son stanco, sarà che non ci arrivo ma ci ho capito poco :master: .
Se il problema è quello che penso io (ossia dei client o server provano a registrarsi su un server DNS pubblico dove non dovrebbero), la soluzione potrebbe essere quella di splittare il dns: dovrai utilizzare quindi due server DNS, uno interno alla tua rete/dominio da far utilizzare ai client, un altro sarà quello esterno (anche non gestito direttamente da te) che invece servirà le richieste che provengono dall'esterno.
Il dominio sarà sempre lo stesso: avrai sui server DNS sempre la zona antani.it per dire, ma su quello interno i record punteranno in locale, su quello esterno ci saranno dei puntamenti ad indirizzi pubblici.
Togli tutti i riferimenti al dns esterno sui client interni e sul DC, li configuri per usare un dns interno (magari ospitato SUL domain controller come suggeriva Miky), poi sul dc stoppi e fai ripartire il netlogon e lui registrerà tutti i suoi record (compreso quello del servizio di Global Catalog presente nell'errore che riporti) sul nuovo dns, smettendo di andare a rompere le scatole a quello esterno.
Se non è questo il problema... scusatemi.
Tschuess
/edit
Potrebbe anche essere che non hai configurato bene il dns e basta: dovresti darci magari più dettagli sull'infrastruttura DNS che hai messo in piedi (quanti DNS, quante zone, zone primarie, primarie integrate in AD, secondarie, fai dei trasferimenti di zona da server DNS esterni, ecc... .
/edit
|-- [ Sopravvissuto dell'era Grunge ] -- [Seguace del Flying Spaghetti Monster]
Linux Registered User # 401070 - Running SuSE 10
ma io il dns su sto pdc non l'ho mai configurato... spiego nei dettagli la situazione:
l'azienda (chiamiamola pippo) aveva una semplice rete con gruppo di lavoro, con un file server su cui girava win2k server
un'altra azienda fornitrice di servizi all'azienda pippo ha messo su (nei propri locali, quindi all'esterno dell'azienda pippo) una macchina su cui gira un webserver e ha registrato il dominio pippo.it
di recente il file server dell'azienda pippo è diventato un controller di dominio ma chi ha eseguito la migrazione al pdc lo ha chiamato pippo.it, non semplicemente pippo e basta
ora io mi ritrovo sul groppone (il vecchio sysadmin si è dato alla macchia) una macchina che funziona egregiamente come pdc per i client aziendali ma che avendo accesso all'esterno tenta a tutti i costi di registrarsi ogni cinque minuti coi dns del mondo esterno... ma non può perchè pippo.it è già registrato e punta al webserver dell'azienda di servizi
io ora tutto quello che voglio fare è impedire al nostro pdc di tentare di registrarsi, non deve e non ne ho alcun interesse... nè so se i vari tentativi di registrazione possano comportare complicazioni; se i client accedono senza problemi al nostro pdc pippo.it è puramente perchè sono stati modificati tutti i file di host per far puntare pippo.it all'indirizzo lato lan del pdc
tra l'altro, questo pdc NON fa da dns: sui vari client (e sul pdc stesso) sfruttiamo i dns del provider
Sotto la panza la mazza avanza.
Ok, allora è tutto chiaro: utilizzando il dns del provider, il tuo dc prova a registrare i propri record (e non solo i record A, ma anche i record di servizio) sul server dns che tu gli hai detto di usare. Al tuo dc questa pare una operazione legittima (e necessaria), d'altra parte Active Directory è strettamente legata al DNS e non può sopravvivere senza.tra l'altro, questo pdc NON fa da dns: sui vari client (e sul pdc stesso) sfruttiamo i dns del provider
Il server DNS del provider però non riconosce i tuoi client (dc compreso) come client che hanno diritto a scrivere nella zona dns pippo.it e quando gli arriva una richiesta di registrare un record da parte di un client non trustato ti blocca (e giustamente, altrimenti pure io potrei venire a scrivere i miei record nel tuo dns... e ti assicuro che per me sarebbe divertente, per voi un po' menoVVoVe: ). D'altra parte il server dns esterno deve servire solo le rchieste provenienti da internet (quelle "pubbliche per così dire): io navigatore voglio trovare solo www.pippo.it, me ne frego del'ip privato che ha il tuo dc o il pc della segretaria.
Oltretutto il fatto che i client debbano utilizzare il file hosts per raggiungere il dc non è proprio il massimo (per usare un eufemismo!).
Come risolvere:
1) Installare e configurare il DNS sul tuo dc (è un operazione semplicissima, veramente difficile sbagliare) per ospitare una zona primaria integrata in Active Directory relativa al dominio pippo.it.
2) sul dc fare il restart del servizio netlogon (operazione necessaria per fare registrare al dc i suoi record di servizio)
3) configurare tutti i client per usare il nuovo dns interno come dns primario ed eventualmente eseguire sui client un ipconfig /registerdns
4) se ci sono problemi nella risoluzione dei nomi dei server ospitati dal tuo provider (ma non ci dovrebbero essere), aggiungi manualmente nel tuo nuovo serverdns i record A necessari per far risolvere i nomi dei server "esterni" ai tuoi client
Così dovrebbe andare
NB: Che un dominio AD sia sopravvissuto senza un server DNS interno al dominio è un mezzo miracolo, correggi la cosa al più presto!
|-- [ Sopravvissuto dell'era Grunge ] -- [Seguace del Flying Spaghetti Monster]
Linux Registered User # 401070 - Running SuSE 10
Permessi di invio
Rispondi quotando