Wsus, rapporto di stato e server dns.
Luigi
differenza dei client configurati precedentemente, ho provato a mettere un
secondo server dns, appartenente ai server di inoltro.
Il problema è che dopo molte ore, in wsus risulta che il client non ha
ancora inviato un rapporto di stato, per cui non ha scaricato e installato
al momento nessun aggiornamento, mentre normalmente la cosa avviene nel
corso di pochi minuti.
Mi chiedo, è possibile che questo ritardo o impossibilità a scaricare gli
aggiornamenti dipenda dal secondo server dns?
ciao
luigi
Goldrake
news:4ba8f6b0$1...@news.x-privat.org...
Hai verificato che il client sia stato regolarmente inserito tra i client
gestiti da wsus ?
Fai un salto qui:
http://technet.microsoft.com/en-us/wsus/bb466192.aspx
Scarica il Client Diagnostic Tool e guarda se ti dice che il server di
aggiornamento di riferimento e' il tuo server.
Buon lavoro.... :-)
Luigi
> Hai verificato che il client sia stato regolarmente inserito tra i client
> gestiti da wsus ?
Si, risulta normalmente nell'ellenco dei client ma, appunto, dice che non ha
"ancora" inviato un rapporto di stato.
> Buon lavoro.... :-)
Grazie :-)
Fabrizio Volpe
Il secondo DNS, se il primo server è funzionante, non viene
utilizzato.
Se hai un dominio, comunque, ti sconsiglio di impostare DNS esterni
sulle macchine, semmai utilizza il tuo DNS interno per il "forward"
delle query.
Per quanto riguarda WSUS, guarda se la chiave
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\WUServer
punta correttamente al tuo WSUS
--
Fabrizio Volpe
MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008)
Fortinet Certified Network Security Administrator (FCNSA)
Luigi
> Il secondo DNS, se il primo server č funzionante, non viene
> utilizzato.
Si, hai ragione, perň attualmente in dominio c'č un unico DC e server dns,
per cui se per un qualunque motivo il server dovesse essere giů, vorrei che
i client potessero continuare ad avere la connessione internet.
> Per quanto riguarda WSUS, guarda se la chiave
> HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\WUServer
> punta correttamente al tuo WSUS
Si, il riferimeto č corretto.
grazie
luigi
Fabrizio Volpe
http://technet.microsoft.com/en-us/wsus/bb466192.aspx
Luigi
Adesso è tutto ok, si è risolto da solo, anche se dopo molto tempo.
Scusa Fabrizio, mi spiegheresti meglio questo passaggio del tuo precedente
post:
"semmai utilizza il tuo DNS interno per il "forward"
delle query."
ciao
luigi
Fabrizio Volpe
>"semmai utilizza il tuo DNS interno per il "forward"
>delle query."
>
DNS server installato necessariamente per gestire la zona Active
Directory.
Nelle proprietà del DNS server puoi impostare dei DNS esterni (in
genere quelli del tuo provider) da usare come forwarders.
In questo modo i tuoi client hanno come riferimento solo il dns
interno.
Se il tuo DNS non conosce una certa zona, girerà la richiesta (query)
ai suoi forwarders (che a loro volta faranno lo stesso con altri DNS,
in maniera ricorsiva).
Uno degli N vantaggi è di dover permettere le query verso Internet
SOLO dal DNS server invece cha da tutta la rete.
Il server DC/DNS, che punta a se stesso, non ha bisogno a quel punto
di avere DNS esterni sulla sua scheda di rete, visto che fa il forward
tramite servizio DNS.
Guarda qui per l'implementazione forwarders.
http://technet.microsoft.com/en-us/library/cc773370(WS.10).aspx
Luigi
"Fabrizio Volpe" ha scritto:
[cut all]
Grazie per la dettagliata spiegazione, Fabrizio.
ciao
luigi
Edoardo Benussi [MVP]
"Luigi" <nospam@mail> ha scritto nel messaggio
> Si, hai ragione, per� attualmente in dominio c'� un unico DC e server dns,
> per cui se per un qualunque motivo il server dovesse essere gi�, vorrei
> che
> i client potessero continuare ad avere la connessione internet.
1) i clients se non trovano un domain controller su cui autenticarsi
non devono poter funzionare.
2) un dominio con un solo domain controller � una follia.
ciao.
--
Edoardo Benussi - e...@mvps.org
Microsoft� MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Fabrizio Volpe
>non devono poter funzionare.
Dura lex sed lex :-)
>2) un dominio con un solo domain controller è una follia.
>
Sottoscrivo in pieno : magari mettere il secondo D.C. su una scatola
da scarpe ma avere un secondo server A.D. è un must.
Luigi
> 1) i clients se non trovano un domain controller su cui autenticarsi
> non devono poter funzionare.
> 2) un dominio con un solo domain controller è una follia.
Ciao Edo, anche se qualcuno lo posso immaginare, mi diresti, cortesemente,
alcuni buoni motivi per cui quelle sopra sono regole di buon senso?
grazie
luigi
Edoardo Benussi [MVP]
"Luigi" <nospam@mail> ha scritto nel messaggio
per quanto riguarda la 1 prova a pensare all'applicazione
delle group policies, all'auditing e a tutta l'infrastruttura di sicurezza
che ti viene garantita dalla presenza del domain controller.
per quanto riguarda la 2 hai mai provato a recuperare
un dominio da un backup completo di system state magari fatto
su nastro con un solo domain controller disponibile
e con l'azienda completamente ferma
rispetto a recuperare uno dei domain controller
di un dominio dove i dc sono più di uno e l'azienda
può continuare tranquillamente a lavorare ?
Luigi
>>> 1) i clients se non trovano un domain controller su cui autenticarsi
>>> non devono poter funzionare.
>>> 2) un dominio con un solo domain controller č una follia.
>> Ciao Edo, anche se qualcuno lo posso immaginare, mi diresti,
>> cortesemente, alcuni buoni motivi per cui quelle sopra sono regole di
>> buon senso?
> per quanto riguarda la 1 prova a pensare all'applicazione
> delle group policies, all'auditing e a tutta l'infrastruttura di sicurezza
> che ti viene garantita dalla presenza del domain controller.
Si, ma se dovesse essere indisponibile l'unico DC e non possono andare in
rete, i miei capi mi farebbero un ma**o cosě.
> per quanto riguarda la 2 hai mai provato a recuperare
> un dominio da un backup completo di system state magari fatto
> su nastro con un solo domain controller disponibile
> e con l'azienda completamente ferma
> rispetto a recuperare uno dei domain controller
> di un dominio dove i dc sono piů di uno e l'azienda
> puň continuare tranquillamente a lavorare ?
Immagino, ma, a questo punto, dovrei ripensare a come č configurato tutto il
dominio. Attualmente il DC fa anche (e soprattutto) da file server. Se
potessi, prenderei un NAS sia per la parte file server che backup, poi
potrei anche avere 2 o3 DC, DNS, GC che fanno solo quello.
Non mi servirebbe a molto, attualmente, avere un DC disponibile senza i file
degli utenti.
ciao
luigi
Fabrizio Volpe
>dominio. Attualmente il DC fa anche (e soprattutto) da file server. Se
>potessi, prenderei un NAS sia per la parte file server che backup, poi
>potrei anche avere 2 o3 DC, DNS, GC che fanno solo quello.
>Non mi servirebbe a molto, attualmente, avere un DC disponibile senza i file
>degli utenti.
>
installato anche solo su un hardware "client".
L'importante è la ridondanza.
Sui clients di rete puoi mettere il secondo DC come DNS secondario.
Luigi
> Sui clients di rete puoi mettere il secondo DC come DNS secondario.
In tal caso, per quanto riguarda la configurazione delle schede di rete dei
due DC, come andrebbero impostati i server DNS?
Mettiamo che il server a) abbia ip 192.168.0.2 e il server b) 192.168.0.3,
come andrebbero impostati i server DNS primario e secondario, sia di server
a) che di server b) ?
ciao
luigi
Fabrizio Volpe
Per cui il 192.168.0.2 avrà DNS primario 192.168.0.2 e basta.
Il 192.168.0.3 avrà come DNS primario 192.168.0.3 e stop.
Qualcuno utilizza direttamente 127.0.0.1 ma è una soluzione (puntare
al loopback) che non consiglio.
Fabrizio Volpe
Per cui il 192.168.0.2 avrà DNS primario 192.168.0.2 e basta.
Il 192.168.0.3 avrà come DNS primario 192.168.0.3 e stop.
Qualcuno utilizza direttamente 127.0.0.1 ma è una soluzione (puntare
al loopback) che non consiglio.
Luigi
si è detto più volte di evitare di mettere server DNS esterni al dominio,
sui client. Siccome in dominio ci sono anche due portatili, che vengono
utilizzati anche fuori dominio, non sarebbe il caso di poter mettere anche
un server DNS esterno al dominio, sempre raggiungibile?
ciao
luigi
Fabrizio Volpe
Sulla tua rete andranno in DHCP e quindi saranno trattati come clients
normali.
Quando poi sono fuori dalla tua rete, COMUNQUE non credo usino ip
statici della tua LAN.
Luigi
> Direi di no.
> Sulla tua rete andranno in DHCP e quindi saranno trattati come clients
> normali.
> Quando poi sono fuori dalla tua rete, COMUNQUE non credo usino ip
> statici della tua LAN.
Certo, anche fuori dalla rete vanno in DHCP, ma la scheda di rete è comunque
configurata con l'unico server DNS del dominio. Pensi che il server DNS
riesca a fornire il servizio anche quando il client è al di fuori del
dominio?
ciao
luigi
Fabrizio Volpe
>Certo, anche fuori dalla rete vanno in DHCP, ma la scheda di rete è comunque
>configurata con l'unico server DNS del dominio. Pensi che il server DNS
>riesca a fornire il servizio anche quando il client è al di fuori del
>dominio?
>
rete a cui verranno collegati (come è logico).
In alternativa, in mancanza di un DNS, useranno un indirizzo
169.254.0.0/16 (APIPA) che non permette (ovviamente) di navigare.
Il DNS funziona anche per macchine non di dominio ma, sicuramente, non
per macchine scollegate dalla tua rete.
Luigi
> In genere un DC deve puntare come DNS solo a se stesso.
> Per cui il 192.168.0.2 avr� DNS primario 192.168.0.2 e basta.
> Il 192.168.0.3 avr� come DNS primario 192.168.0.3 e stop.
Ho fatto delle prove in un dominio virtuale con due DC, server DNS e GC. In
caso di riavvio di uno dei DC con l'altro spento, questo impiega molto pi�
tempo a risolvere le connessioni di rete e a fare il boot.
Ovviamente si spera che quando si riavvia un DC l'altro sia online, per�....
:)
ciao
luigi
Luigi
>> Il 192.168.0.3 avrà come DNS primario 192.168.0.3 e stop.
> Ho fatto delle prove in un dominio virtuale con due DC, server DNS e GC.
> In caso di riavvio di uno dei DC con l'altro spento, questo impiega molto
> più tempo a risolvere le connessioni di rete e a fare il boot.
> Ovviamente si spera che quando si riavvia un DC l'altro sia online,
> però.... :)
P.S - Impiega molto più tempo anche quando l'altro DC è disponibile.
Luigi
> Il DNS funziona anche per macchine non di dominio ma, sicuramente, non
> per macchine scollegate dalla tua rete.
Infatti, anche in questo caso ho fatto un test da casa, sia su un client di
dominio virtuale, sia su un PC fisico, configurati con server DNS del DC in
ufficio e vanno tranquillamente in rete.
Al momento, non mi è possibile fare un test con un portatile client di
dominio in ufficio, ma da quanto mi dici dovrebbe essere inutile. Nel senso
che non dovrebbe andare in rete, se ho capito bene.
ciao
luigi
a.b
>
> Si, ma se dovesse essere indisponibile l'unico DC e non possono andare in
>
Scusa Luigi, una curiosità.
Ti preoccupi tanto di WSUS per cui si presume che hai un certo numero di
PC da aggiornare, non ti preoccupi se si ferma l'unico server
dell'azienda ma ti preoccupi che non possano andare su internet (magari
a vedere la posta personale)
Ma la rete di cui stai parlando di quanti pc è formata e quali servizi
fornisce?
Saluti
a.b.
Luigi
>
> Ti preoccupi tanto di WSUS per cui si presume che hai un certo numero di
> PC da aggiornare, non ti preoccupi se si ferma l'unico server dell'azienda
> ma ti preoccupi che non possano andare su internet (magari a vedere la
> posta personale)
Non è che mi preoccupo eccessivamente di WSUS, non riuscivo a capire perchè
l'unico client configurato con un secondo server DNS esterno al dominio ci
impiegasse tanto tempo ad inviare il rapporto di stato a WSUS.
> Ma la rete di cui stai parlando di quanti pc è formata e quali servizi
> fornisce?
Al momento 20 client, ma dovrebbero crescere. Oltre a DC, DNS, GC, WSUS,
essenzialmente fornisce il servizio di File Server.
ciao
luigi
Fabrizio Volpe
Allora : cerchiamo di capire.
In genere i portatili si impostano in DHCP perchè (per loro natura)
saranno collegati anche ad altre reti.
Giusto ?
Quando questi portatili sono in ufficio l'elenco dei DNS lo fornisci
tu tramite DHCP.
Quando invece sono scollegati dalla tua lan, le impostazioni di rete
arriveranno (eventualmente) dal DHCP locale.
Ovviamente queste sono le due situazioni base.
Dimmi se ci sei e poi cerchiamo di andare avanti.
Luigi
> Quando questi portatili sono in ufficio l'elenco dei DNS lo fornisci
> tu tramite DHCP.
Purtroppo non č cosě nella mia sistuazione. Router e server DHCP non sono
gestiti da me, ma dalla divisione telecomunicazioni. Se io non configuro
manualmente il server DNS della scheda di rete dei client con l'IP del DC,
non riesco nemmeno a metterli in dominio!
ciao
luigi
Fabrizio Volpe
>Purtroppo non č cosě nella mia sistuazione. Router e server DHCP non sono
>gestiti da me, ma dalla divisione telecomunicazioni. Se io non configuro
>manualmente il server DNS della scheda di rete dei client con l'IP del DC,
>non riesco nemmeno a metterli in dominio!
>
cervellotico) farei cosě :
IP statico per la rete locale (cosě da bypassare il DHCP che non
gestisci) e DHCP quando le macchine sono scollegate dalla tua rete.
Puoi salvare i profili di configurazione delle schede di rete con il
comando NETSH in modo da creare dei batch che ti facilitino il lavoro
http://searchwindowsserver.techtarget.com/tip/0,289483,sid68_gci1179789,00.html