Buongiorno.

Da un paio di giorni si sta verificando un enorme problema sul mio server aziendale.
Premetto che capisco poco di OS Server, Active Directory, domain controller e quant'altro...

In breve la situazione.
Nella mia è installato un server di rete e di dominio con Windows 2003 Server SP2.
Da qualche giorno, purtroppo, il server non è raggiungibile dai pc dell'intero dominio!
O meglio, gli utenti del dominio riescono a loggarsi, ma non possono accedere alle risorse condivise del server (ad esempio determinate cartelle o anche solo \\NomeServer).

Per contro, il server vede ogni singolo pc del dominio ed è pingabile da chiunque.
Inoltre, se un utente accede ad un pc FUORI dal dominio ma collegato in rete, può tranquillamente accedere alle risorse del server, previo inserimento di login e password di un amministratore di dominio!

E' inoltre possibile inserire una macchina nel dominio e/o toglierla, senza ricevere alcun errore.
Infine, non è assolutamente possibile inserire nuovi utenti di Active Directory sul server; o meglio, si possono inserire, ma NON vengono assolutamente riconosciuti dai client.

Da questi pesanti sintomi sembrerebbe che il problema dipenda da un cattivo funzionamento di Active Directory, ma come ho premesso non è argomento che mastico bene...

Se può essere utile, posto un ipconfig /all lanciato sul server:


Configurazione IP di Windows

Nome host : mobserver
Suffisso DNS primario: miodominio.it
Tipo nodo: sconosciuto
Routing IP abilitato: NO
Proxy WINS abilitato: NO
Elenco di ricerca suffissi DNS: miodominio.it


Scheda Ethernet Connessione alla rete locale (LAN) 3:

Suffisso DNS specifico per connessione: (qui non c'è scritto nulla)
Descrizione: Broadcom NetXtreme Gigabit Ethernet
Indirizzo fisico: 00-09-6B-A5-76-7C
DHCP abilitato: NO
Indirizzo IP: 192.168.0.1
Subnet mask: 255.255.255.0
Gateway predefinito: 192.168.0.2
Server DNS: 88.149.128.12
88.149.128.22


Se dovessero servire altri dati posso postarli in qualunque momento.

Vi sarei estremamente grato se poteste darmi un qualunque aiuto, sono disperato...
Grazie, buona giornata!

Paolo


EDIT: Info aggiuntiva.
L'ip del server è 192.168.0.1, come da ipconfig.
Se un utente prova ad accedere da risorse di rete alla macchina con indirizzo \\mobserver NON accede; se però prova con \\192.168.0.1 può tranquillamente accedere!
Quindi è pesantemente implicato anche il DNS...

Scheda Ethernet Connessione alla rete locale (LAN) 3:

Suffisso DNS specifico per connessione: (qui non c'è scritto nulla)
Descrizione: Broadcom NetXtreme Gigabit Ethernet
Indirizzo fisico: 00-09-6B-A5-76-7C
DHCP abilitato: NO
Indirizzo IP: 192.168.0.1
Subnet mask: 255.255.255.0
Gateway predefinito: 192.168.0.2
Server DNS: 88.149.128.12
88.149.128.22



I client sono in dhcp o con ip fisso?
Intanto di dico che hai sbagliato la configurazione del server della scheda di rete, devi mettere come dns 127.0.0.1 e poi andare sotto strumenti di amministrazione --> DNS e mettere nelle proprieta' del forward delle richieste gli ip che hai messo tu. Praticamente il server cosi come l'hai settato e' isolato e configurato come se fosse un pc qualsiasi

I client sono in dhcp o con ip fisso?
Intanto di dico che hai sbagliato la configurazione del server della scheda di rete, devi mettere come dns 127.0.0.1 e poi andare sotto strumenti di amministrazione --> DNS e mettere nelle proprieta' del forward delle richieste gli ip che hai messo tu. Praticamente il server cosi come l'hai settato e' isolato e configurato come se fosse un pc qualsiasi

Grazie per la risposta.
I client hanno sia ip fisso sia in dhcp (tipicamente portatili) e in entrambi i casi non riescono a raggiungere il server con indirizzo \\mobserver, mentre l'indirizzo \\192.168.0.1 risulta sempre accessibile.

Ho provato a settare i parametri di rete come da te indicato (dns 127.0.0.1) e modificare le proprietà DNS.
Come zona di ricerca diretta ho 3 voci, _msdcs.miodominio.it, mio.dominio.it (usato per specificare dei sottodomini web, del tipo mail.miodominio.it) e miodominio.it. Per entrambi in Proprietà --> Server dei nomi ho il server stesso (192.168.0.1) e un secondo server (192.168.0.4).
Qui ho inserito i DNS del nostro provider mettendo come Nome completo dominio (FQDN) del server i valori 88.149.128.12 e 88.149.128.22, ma la situazione non è cambiata. Devo eliminare le prime due voci relative ai due server e lasciare solo i valori del provider?

Grazie!

indubbiamente qualche casino nel dns c'e', mettere dns pubblici come primari in un domain controller e' il classico errore che si fa quando non si sa come un domain controller dovrebbe essere configurato.

Detto cio, e' molto probabile che i client si stiano loggando sulla cache locale e non sul domain controller (probabilmente se cambi la password ad un utente su AD poi sul client entrerai sempre con la vecchia password).

Dipende da quanti client hai, ma in ogni caso bisogna mettersi la a sistemare a manina (probabilmente ricreando le zone) e smazzarsi i log.

In forum non credo sia possibile; rivolgiti ad un azienda specializzata e se sei fortunato te la cavi con 4 ore di lavoro. Nel caso peggiore ti tocca rifare tutto e rijoinare tutte le macchine.

indubbiamente qualche casino nel dns c'e', mettere dns pubblici come primari in un domain controller e' il classico errore che si fa quando non si sa come un domain controller dovrebbe essere configurato.

Purtroppo io ho "ereditato" la configurazione del server as it is, non sono stato io a settarla.

Detto cio, e' molto probabile che i client si stiano loggando sulla cache locale e non sul domain controller (probabilmente se cambi la password ad un utente su AD poi sul client entrerai sempre con la vecchia password).

E' esattamente come dici.
Avevo pensato anch'io al fatto che gli utenti si loggassero usando la cache, ora ne ho una riprova.

Dipende da quanti client hai, ma in ogni caso bisogna mettersi la a sistemare a manina (probabilmente ricreando le zone) e smazzarsi i log.

In forum non credo sia possibile; rivolgiti ad un azienda specializzata e se sei fortunato te la cavi con 4 ore di lavoro. Nel caso peggiore ti tocca rifare tutto e rijoinare tutte le macchine.

Mi sembra una prospettiva un tantino pessimistica, senza contare che il suggerimento a rivolgermi a un'azienda specializzata non è proprio il massimo dell'originalità...
Un conto è dire che su un forum non sia possibile, altro non avere l'intenzione di sbattersi più di tanto per risolvere un problema sicuramente complesso.
Non ti biasimo per questo, sia ben chiaro.

Ringrazio kdocia per il tentativo di aiuto, saluti.

nessun sistemista (che cosi si possa chiamare) sano di mente si mettera mai a fare troubleshooting remoto su un domain controller con il dns scassato (se hai piu di un domain controller nella stessa organization allora e' ancora piu un casino), visto che se scassi il dns rischi potenzialmente che non ti logghi neanche piu sul domain controller stesso (se il dns e' scassato e' facile che tu riceva "impossibile contattare il dominio xxx" loggandoti sul domain controller da dentro il domain controller). Allora a questo punto dovresti loggarti in AD recovery mode, gli utenti fermi perche non accedono alle risorse etc etc...

Fai quello che vuoi per carita, ma se tu mi confermi pure che si stanno loggando sulla cache, io fermerei tutto e correrei su google a cercare una azienda IT che sistemi tutto (e non sono in conflitto di interessi visto che attualmente lavoro dall'altra parte del mondo, nel caso in cui qualcuno gli venisse il dubbio che ci voglia lucrare sopra).

devi andare sotto Strumenti di amministrazione --> DNS
Poi tasto destro sul Server(il nome del pc) ---> Proprieta'
Vedere la voce Forwarders ( in italiano dovrebbe essere inoltro)
Nella parte bassa devi aggiungere gli ip del tuo provider. In questo modo il dns principale per tutti i pc della rete e' il tuo server, questo poi si occupera' di contattare il dns del provider per risolvere i nomi dei siti in ip.

Cosi eviti che i pc non vedano il server se lo contattano per nome. Naturalmente devi impostare il dns dei client con quello del server. Se usi il dhcp lo imposti sul dhcp server altrimenti a manina sui pc che non hanno dhcp.

Ciao Kdocia, grazie per il tuo suggerimento.

Scusami se non ho ancora risposto; purtroppo il server è utilizzato (quasi) 24/7, quindi preferisco evitare di smanettarci sopra troppo mentre gli altri lavorano.
Sto ultimando uno spostamento dati che mi permetterà di isolare parzialmente il server e mi darà maggior spazio di manovra.
Presumibilmente nei primi giorni della prossima settimana potrò effettuare gli ulteriori test che mi hai gentilmente suggerito.

Grazie ancora!!!