Archivio

Archivio per 15 Novembre 2009

Configurazione Cisco 1720/1721 con WIC-1ADSL per Telecom Alice 7Mbit

15 Novembre 2009

Di seguito riporto un esempio di per router 1720/1721 con WIC-1ADSL e connessione 7Mbit.

 version 12.4
 service timestamps debug datetime msec
 service timestamps log datetime msec
 service password-encryption
 !
 hostname Router
 !
 boot-start-marker
 boot-end-marker
 !
 no aaa new-model
 !
 resource policy
 !
 mmi polling-interval 60
 no mmi auto-configure
 no mmi pvc
 mmi snmp-timeout 180
 ip subnet-zero
 ip cef
!
 no ip domain lookup
 ip name-server 151.99.125.2
 ip name-server 151.99.125.1
 ip name-server 151.99.125.3
 ip name-server 212.216.112.222
 !
 interface ATM0
   description Interfaccia ATM0/0 - Wic 
   bandwidth 2464
   no ip address
   no atm ilmi-keepalive
   dsl operating-mode ansi-dmt
   hold-queue 224 in
   pvc 8/35
     encapsulation aal5mux ppp dialer
     dialer pool-member 1
 !
 !
 interface FastEthernet0
   description Interfaccia FastEthernet0/0 - Lan interna
   ip address 192.168.0.1 255.255.255.0
   ip nat inside
   ip virtual-reassembly
   speed auto
 !
 interface Dialer0
   description Interfaccia Dialer1 - Connessione   7Mbit/s
   bandwidth 2464
   ip address negotiated
   ip nat outside
   ip virtual-reassembly
   encapsulation ppp
   dialer pool 1
   ppp pap sent-username aliceadsl password 7 094D42001A0016161800
 !
 ip classless
 ip route 0.0.0.0 0.0.0.0 Dialer0
 !
 no ip http server
 no ip http secure-server
 ip nat translation timeout 420
 ip nat translation tcp-timeout 120
 ip nat translation pptp-timeout 420
 ip nat translation icmp-timeout 1
 ip nat translation max-entries 1000
 ip nat inside source list nat interface Dialer0 overload
 !
 ip access-list extended nat
   permit ip 192.168.0.0 0.0.0.255 any
   permit icmp 192.168.0.0 0.0.0.255 any
 !
 control-plane
 !
 !
 line con 0
 line aux 0
 line vty 0 4
 login
 !
 end
Share

Cisco

Cisco – PPPoE per router Cisco 827

15 Novembre 2009

Di seguito riporto un esempio di configurazione per router con connessione Telecom Alice 7Mbit.

version 12.3
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname c827
!
boot-start-marker
boot-end-marker
!
no aaa new-model
ip subnet-zero
ip name-server 151.99.125.2
ip name-server 212.216.112.112
ip dhcp excluded-address 192.168.0.100
ip dhcp excluded-address 192.168.0.1 192.168.0.5
!
ip dhcp pool LAN
  network 192.168.0.0 255.255.255.0
  default-router 192.168.0.1
  dns-server 208.67.222.222 151.99.0.100
  lease 0 12
!
no ip bootp server
vpdn enable
!
vpdn-group 1
request-dialin
  protocol 
!
interface Ethernet0
description Interfaccia Ethernet0/0 - Lan interna
ip address 192.168.0.1 255.255.255.0
no ip redirects
ip mtu 1492
ip nat inside
ip tcp adjust-mss 1452
no cdp enable
hold-queue 100 out
!
interface ATM0
description Interfaccia ATM0/0 - Connessione ADSL
no ip address
no atm ilmi-keepalive
bundle-enable
dsl operating-mode auto
hold-queue 224 in
pvc 8/35
 -client dial-pool-number 1
 !
!
interface Dialer0
description Interfaccia Dialer0/0 - Alice Mega ADSL 7Mbit/s
bandwidth 8096
ip address negotiated
ip mtu 1492
ip nat outside
encapsulation ppp
ip tcp header-compression passive
ip tcp adjust-mss 1452
dialer pool 1
dialer-group 1
no cdp enable
ppp pap sent-username aliceadsl password 0 aliceadsl
!
ip nat translation timeout 420
ip nat translation syn-timeout 40
ip nat translation max-entries 5000
ip nat inside source list 1 interface Dialer0 overload
ip classless
no ip forward-protocol udp bootps
no ip forward-protocol udp tftp
no ip forward-protocol udp nameserver
no ip forward-protocol udp domain
no ip forward-protocol udp time
no ip forward-protocol udp netbios-ns
no ip forward-protocol udp netbios-dgm
no ip forward-protocol udp tacacs
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
no ip http secure-server
!
access-list 1 permit 192.168.0.0 0.0.0.255
banner login ^C
                 ||        ||
                 ||        ||
                ||||      ||||
            ..:||||||:..:||||||:..
               Systems Inc.
                       -
              c827 @ 192.168.0.1

*** Accesso alla configurazione del router. Ogni accesso viene loggato ***^C
banner prompt-timeout ^C
La sessione di lavoro e' scaduta. Per continuare e' necessario
riautenticarsi.^C
!
line con 0
transport preferred all
transport output all
stopbits 1
line vty 0 4
access-class 1 in
exec-timeout 0 0
logging synchronous
login
transport preferred all
transport input all
transport output all
!
scheduler max-task-time 5000
sntp server 193.204.114.232
sntp server 193.204.114.233
end
Share

Cisco

Cisco NTP – Sincronizzazione del tempo

15 Novembre 2009

Sincronizzazione del tempo

E’ bene usare il protocollo NTP per sincronizzare i router con un NTP Server stratum 1 o stratum 2 (vedi http://www.ntp.org per informazioni)., avendo cura di autenticare –quando possibile- il protocollo NTP. Si consiglia di usare la timezone UTC qualora si gestiscano più router distribuiti su più fasce orarie: questo accorgimento facilita la lettura nel caso fosse necessario correlare i log. Esempio:

clock timezone UTC 0
no clock summer-time
ntp update-calendar
ntp authenticate
ntp authentication-key 10 md5 ntpkey
ntp trusted-key 10
ntp server 172.16.3.2 key 10

interface Serial 0/0
ntp disable
interface Ethernet 0/0
ntp broadcast

Share

Cisco ,

Cisco Tuning

15 Novembre 2009

Tuning dello stack IP

I comandi successivi servono ad effettuare un miglioramento dello stack IP del routerl. Il primo abilita l’algoritmo di Nangle per la gestione del controllo della congestione (RFC 896). Il secondo limita il tempo di timeout dei pacchetti Syn, il default è di 30 secondi. Il terzo e il quarto nel rispetto degli RFC 1323 e RFC2018.

service nagle
ip tcp synwait-time 10
ip tcp window-size 2144
ip tcp selective-ack

Tuning della CPU

Attraverso il seguente comando si garantisce il tempo minimo della CPU per i processi vitali (500 millisecondi)

scheduler-interval 500

Sui Cisco 7200 e 7500 si può anche inserire il seguente comando, che abilita 500 microsecondi per ciclo di clock sul fast-packet switching e 100 microsecondi per cliclo di clock per process-switching:

scheduler allocate 500 100

Share

Cisco ,

Testare la qualità della linea ADSL

15 Novembre 2009

Spesso tra le  varie problematiche che si possono incontrare durante l’installazione di linee ADSL, la qualità offerta e’ uno di questi.  I router  Cisco ci mettono a disposizione un comando specifico per verificarne l’efficienza.

Show dsl interface atm

Tra i vari parametri che  vengono visualizzati ci soffermeremo su due di questi che già da soli danno un’ idea della qualita’ della linea. Il primo è il rumore di fondo (noise) che viene espresso in decibel, ed il secondo è l’attenuazione (attenuation) sempre espresso in decibel. Con questi due parametri si puo’ gia’ avere un’idea di ciò che il gestore sta erogando.

Il primo parametro viene visualizzato con la seguente espressione;Noise Margin:     18.00 dB il concetto di rumore è abbastanza semplice, più alto è il rumore e minore è la qualita’ della linea. Diciamo che intorno ai 20.0 dB la linea puo’ essere utilizzata senza alcun problema , per grandezze inferiori si potrebbero avere dei problemi che consistono nella perdita di pacchetti.

L’altro parametro è l’attenuazione, anche lui espresso in Decibel e viene visualizzato nel seguente modo; Attenuation : 10.0 dB. Questo numero varia a seconda della qualita’ della linea e del rumore stesso (noise), infatti maggiore sono i Decibel di “Noise Margin” e inferiore è l’attenuazione. Per intenderci l’attenuazione puo’ essere interpretata come la perdita di segnale tra il punto A ed il punto B della rete.

La soluzione a questi problemi può essere: Sotituzione del doppino ADSL, sotituzione del filtro ADSL o diminuzione della distanza tra la centrale che eroga il servizio ed il router che lo utilizza.

Share

Cisco ,

Migrare un dominio NT 4 a windows 2000/2003

15 Novembre 2009

Un ottimo tutorial per la migrazione di un server nt4 domain controller a Windows 2000/2003 tratto dal sito di http://www.andreabeggi.net

Negli ultimi due anni mi è capitato sovente di dover aggiornare un dominio NT4 ad uno Active Directory Windows 2000 o 2003, e nell’ultimo periodo anche i ritardatari si sono decisi ad effettuare la migrazione. Oltre alle ben note caratteristiche introdotte dalla piattaforma, va segnalato che tra un mese circa MS cesserà di fornire supporto per NT, e l’assenza di aggiornamenti è un fattore critico. Inoltre ci sono problemi con le nuove normative sulla sicurezza e la privacy che dovrebbero entrare in vigore tra breve.
Dopo diverse migrazioni ho trovato un metodo abbastanza sicuro e veloce per effettuare l’aggiornamento.

Intanto tutte le migrazioni che ho fatto sono state effettuate in occasione dell’acquisto di un nuovo server, dato che, un server che funziona non si tocca, ma si sostituisce quando è vecchio.
In un dominio NT, l’aggiornamento fa fatto partendo dal Primary Domain Cantroller (PDC), seguito poi dai Backup Domain Controller (BDC), se ci sono.
Naturalmente il server in attività è troppo vecchio per essere aggiornato, ed inoltre non lo vogliamo assolutamente toccare finchè non siamo sicuri del successo dell’operazione. D’altronde non voglio che il nuovo server abbia un s.o. “sporco” che è stato caricato da un aggiornamento. Ultima cosa: voglio assolutamente un backup del database di dominio, se qualcosa andasse storto.
Per fare tutto questo ho bisogno di due PC abbastanza recenti da usare rispettivamente come backup e “ponte” per l’aggiornamento, li chiameremo A e B (*). Si procede così:
Come prima cosa fate un backup completo del server, non si sa mai. Intallate NT4 server su A, rendendolo BDC del dominio, e sincronizzate il database da “gestione server”. Controllate sui log l’avvenuta sincronia, dopodichè scollegate A dalla rete e mettetelo da parte: è il backup del database del dominio, che vi permette di ritirare su la struttura se qualcosa va male.
Installate NT4 Server anche su B, rendendolo PDC, questa volta. Sincronizzate il dominio come avete fatto prima.
Adesso inizia la migrazione vera e propria. Aggiornate B da Windows NT 4 Server a Windows Server 2000/2003.
Al termine dell’aggiornamento, se tutto è andato a buon fine il dominio è già migrato, ed è in modalità mista. Durante l’aggiornamento la rete continua a funzionare, tranne che per un breve periodo durante il riavvio dei servizi di rete sul server.
Adesso potete preparare il vostro nuovo server con Windows 200x. Rendetelo Domain Controller (DC) tramite un dcpromo. Il vostro dominio AD al momento ha 2 DC. Configurate molto attentamente il servizio DNS. Controllate lo stato del dominio e della sua replicazione tramite dcdiag. Tornate sulla macchina B e abbassatela a server membro, usando sempre dcpromo. Ricontrollate dcdiag, spegnete la macchina B e rimuovetela dal dominio e dall’elenco dei DC. Spegnete e rimuovete dal dominio anche il vecchio server, che a questo punto non serve più.
Ecco fatto: il dominio è migrato. Se avete anche dei BDC potete tenerli così, oppure sostituirli.
Adesso terminate l’installazione dei servizi di cui avete bisogno. (Una guida qui.)
Se qualcosa andasse storto, in qualunque momento potrete ripristinare il database del dominio staccando i server sui quali state lavorando, riattaccando la macchina A e promuovendola PDC.
Sui client non va fatta nessuna operazione.

Share

Microsoft

Active Directory disaster recovery: sostituzione del root domain controller

15 Novembre 2009

Introduzione

Active Directory rappresenta il baricentro di un’infrastruttura informatica basata su tecnologia Microsoft. L’accesso alle risorse, la funzionalità dei servizi, la configurazione degli ambienti di lavoro dipendono da Active Directory. Diventa quindi essenziale progettare l’infrastruttura in modo che questo fondamentale servizio sia ridondato e predisporre delle procedure per ripristino in casi in cui occorre eseguire un disaster recovery.

Sommario

Scenario

In questo scenario prenderemo in esame un’infrastruttura ipotetica con un’unica foresta a singolo dominio test.local in cui vi siano due domain controller:

  • il server SRVDC01 che detiene i cinque ruoli FSMO (master schema, master per la denominazione dei domini, master RID, master emulatore PDC e master infrastrutture) ed configurato come server DNS e Global Catalog;
  • il server SRVDC02 configurato come server DNS e Global Catalog.

Si noti che in una struttura a singolo dominio non sono presenti phantom, quindi il master infrastrutture non ha funzioni da svolgere. Questo significa che ruolo master infrastrutture può essere collocato su un qualsiasi controller di dominio indipendentemente dal fatto che sua o meno configurato come catalogo globale. I phantom sono oggetti di basso livello del database Active Directory utilizzati per operazione di gestione interna e non visibili tramite LDAP o Active Directory Service Interfaces (ADSI). Per ulteriori informazioni in merito si vedano Collocazione e ottimizzazione di FSMO in controller di dominio Active Directory e Phantoms, tombstones and the infrastructure master.

Si supponga ora che il server SRVDC01 cessi di funzionare rendendo così non disponibili i ruolo FSMO, per ripristinare la funzionalità di Active Directory occorre eseguire le seguenti operazioni:

  • Assegnare (seize) i ruoli FSMO sul server SRVDC02 in quanto, dal momento che il server SRVDC01 non è disponibile, non è possibile trasferirli.
  • Rimuovere da Active Directory i riferimenti al server SRVDC01.
  • Assicurarsi che i client abbiano il sever SRVDC02 configurato come DNS e non abbiano più riferimenti al server SRVDC01.

Si noti che sebbene il server SRVDC01 non sia disponibile i client possono continuare ad autenticarsi se su di essi è stato configurato come DNS secondario il server SRVDC02 grazie al fatto che entrambi i DC sono Global Catalog. Il Global Catalog (GC) contiene una copia parziale in sola lettura di tutti gli oggetti definiti nei domini della foresta il cui insieme e l’aggiornamento dei loro attributi è frutto della replica multimaster. Le attività che prevedono l’utilizzo del GC sono:

  1. ricerca di oggetti a livello di foresta eseguite tramite LDAP su porta TCP 3268 o su porta TCP 3269 se viene utilizzato LDAP con SSL. Un esempio di utilizzo del GC è lo snap-in Active Directory Users and Computers quando si esegue una ricerca che ha come scope Entire Directory un altro esempio è l’Infrastructure Master durate la fase di aggiornamento dei phantom record;
  2. user logon in un dominio con livello funzionale Windows 2000 nativo o successivo in quanto a partire da versione dello schema di Active Directory sono disponibili i gruppi universali e ciò comporta che durante la fase di autenticazione il DC contatti il GC per ottenere i SID dell’utente e dei gruppi universali a cui appartiene (anche quelli definiti esternamente al dominio).
  3. UPN logon se l’utente utilizzi la sintassi UPN (User Principal Name) per l’autenticazione, in questo caso il DC contatta il GC fornendo il valore dell’attributo user-PrincipalName dell’oggetto User per ottenere il DN dell’utente e ricavare in questo modo il dominio di appartenenza dell’account. Inoltre il GC viene anche utilizzato nel caso vi sia un trust tra due foreste con livello funzionale Windows Server 2003 o successivo durante l’autenticazione UPN di un  account definito esternamente alla foresta su cui si sta eseguendo l’autenticazione (in questo il GC contatta il GC dell’altra foresta per ottenere le informazioni sull’account).
  4. Exchange client infatti i client Outlook durate l’apertura dell’Address Book o durate la compilazione del campo “Da” di una mail contattano il GC specificato dal server Exchange  per ottenere la GAL (Global Address List).
  5. Client Active Directory che utilizzano la rubrica di Windows per ricercare persone e contatti memorizzati in Active Directory.

Nel caso di una foresta a dominio singolo ogni DC può servire tutte le richieste di logon (incluse le UPN) senza utilizzare il GC, ma solo un DC configurato come GC può rispondere a richieste LDAP.

L’indisponibilità dei ruoli master impedisce l’esecuzione delle seguenti operazioni e genera alcuni disservizi:

  1. la modifica dello schema della foresta in quanto tale operazione, che può essere eseguita da un qualunque DC, prevede la connessione al DC che detiene il ruolo di Schema Master e che è anche l’unico DC della foresta a possedere una copia in scrittura dello Schema Partition;
  2. la creazione di un nuovo dominio in quanto tale operazione prevede la connessione al DC che detiene il ruolo Domain Naming Master che provvede a verificare che il dominio non sia già stato definito e ad attribuirgli un identificativo GUID univoco, inoltre il Domani Naming Master si occupa anche dell’autorizzazione alla cancellazione di un dominio e della creazione e cancellazione di una Application Partition, nonchè della validazione delle operazioni di modifica dei nomi dei domini tramite il tool RENDOM;
  3. la richiesta di un nuovo pool di RID (Relative ID) in quanto tale operazione viene servita da DC che detiene il ruolo di Relative ID Master, i RID sono utilizzati dai DC durate la creazione di oggetti Security Principal (User, Group o Computer) per attribuirgli identificativi Security ID (SID) univoci nel formato S-1-5-Y1-Y2-Y3-Y4 (dove Y1-Y2-Y3 è il domain SID e Y4 il RID). Ciò significa che esaurito il pool di RID corrente non sarà più possibile creare oggetti Security Principal (un pool di RID è composto da 500 RID e quando si raggiunge le 100 unità disponibili viene richiesto un nuovo pool). Il Relative ID Master è contattato anche per autorizzare lo spostamento di un oggetto in un altro dominio tramite ad esempio Active Directory Migration Tool per evitare che possa essere spostato in due domini diversi;
  4. l’autorizzazione del raise del livello funzionale del dominio in quanto tale operazione viene servita da DC che detiene il ruolo di PDC Emulator. Inoltre la modifica della password potrebbe avere tempi di convergenza maggiori poiché in seguito ad un cambio password di un account utente o computer il DC interessato comunica la nuova password al PDC Emulator e nel caso un altro DC durante la fase di autenticazione rilevi una password errata prima di comunicare l’errore verifica se il PDC Emulator non abbia ricevuto una modifica delle credenziali (se il ruolo PDC Emulator non è disponibile occorre attendere la replica di Active Directory affinché il secondo DC validi la nuova password). Potrebbero verificarsi anche problemi di sincronizzazione oraria dal momento che il PDC Emulator è la fonte di sincronizzazione del Windows Time Service infatti i DC di un dominio utilizzano il PDC Emulator del proprio dominio come time source e i PDC Emulator dei vari domini utilizzano come time source il PDC Emulator del Forest Root Domain. Infine il PDC Emulator è utilizzato di default dallo snap-in di creazione o modifica di un Group policy Object, ma tramite DC Options è possibile selezionare un altro DC;
  5. possibili incoerenze durante la visualizzazione degli utenti/gruppi nei domini esterni utilizzati nei gruppi del dominio (phantom record) in quanto la relazione GUID-SID-DN di tali utenti/gruppi definiti nei domini esterni viene mantenuta aggiornata dal DC che detiene il ruolo di Infrastructure Master. Il corretto funzionamento dell’Infrastructure Master prevede infatti che la visualizzazione dei membri di tali utenti e dei membri di tali gruppi non produca incoerenze causate dalla modifica del Distinguished Name (DN), per spostamento nel dominio, o del SID, per spostamento in altri domini. L’Infrastrucure Master per svolgere questa attività verifica e aggiorna periodicamente eventuali differenze tra il proprio database locale di phantom record e le informazioni contenute nei Global Catalog e replica tale database a tutti i DC del dominio.

Assegnazione (seize) dei ruoli FSMO

Per eseguire il seize dei ruoli FSMO sul server SRVDC02 è possibile utilizzare l’utility a riga di comando Ntdsutil, utilizzando la seguente procedura valida per Windows 2000 Server, Windows 2003 Server e Windows 2008 Server.

  1. Autenticarsi al server SRVDC02 con credenziali di amministratore di dominio.
  2. Aprire un prompt dei comandi.
  3. Digitare il comando ntdsutil.
  4. Al prompt ntdsutil: digitare il comando roles.
  5. Al prompt fsmo maintenance: digitare il comando connections.
  6. Al prompt connections: digitare connect to server srvdc02.
  7. Verificare che la connessione sia avvenuta controllado di ottenere il seguente output.
    Connesso a srvdc02 tramite le credenziali dell’utente connesso localmente.
  8. Al prompt server connections: digitare quit.
  9. Al prompt fsmo maintenance: digitare il comando seize domain naming master.
  10. Confermare il messaggio di conferma della requisizione del ruolo.
  11. Al prompt fsmo maintenance: digitare il comando seize schema master.
  12. Confermare il messaggio di conferma della requisizione del ruolo.
  13. Al prompt fsmo maintenance: digitare il comando seize infrastructure master.
  14. Confermare il messaggio di conferma della requisizione del ruolo.
  15. Al prompt fsmo maintenance: digitare il comando seize pdc.
  16. Confermare il messaggio di conferma della requisizione del ruolo.
  17. Al prompt fsmo maintenance: digitare il comando seize rid master.
  18. Confermare il messaggio di conferma della requisizione del ruolo.
  19. Al prompt fsmo maintenance: digitare il comando quit.
  20. Al prompt ntdsutil: digitare il comando quit.

Per verificare che i ruoli siano stati correttamente assegnati è possibile utilizzare il comando netdom query fsmo che dovrà restituire il seguente output:

Schema owner SRVDC02.test.local

Domain role owner SRVDC02.test.local

PDC role SRVDC02.test.local

RID pool manager SRVDC02.test.local

Infrastructure owner SRVDC02.test.local

The command completed successfully.

In Windows 2003 Server il tool a riga di comando Netdom è contenuto nei Support Tools, mentre in Windows 2008 Server e successivi è nativamente presente nel sistema. In Windows 2008 Server R2 grazie alla presenza di PowerShell, la nuova shell a riga di comando basata sul .NET framework 2.0, è possibile utilizzare il cmdlet Move-ADDirectoryServerOperationMasterRole per trasferire i ruoli Fsmo.

Per ulteriori informazioni si vedano:

Rimozione dei riferimenti del Domain Controller

Dal momento che si è reso necessario il seize dei ruoli si presuppone che il server SRVDC01 non tornerà più ad essere disponibile e quindi occorre rimuovere da Active Directory ogni suo riferimento. Inoltre va precisato che anche qualora SRVDC01 tornasse ad essere operativo non dovrà più essere connesso alla rete e andrà formattato.

Per eseguire l’eliminazione dei riferimenti del server SRVDC01 da Active Directory verrà utilizzato ancora il tool Ntdsutil che a partire dalla versione inclusa in Windows 2003 Server SP1 e successivi è in grado di svolgere le seguenti operazioni quando viene eseguito il metadata cleanup:

  • Rimozione dei riferimenti NTDSA o NTDS Setting del DC da eliminare.
  • Rimozione delle impostazioni di replica AD relative al DC da eliminare.
  • Rimozione del computer account del DC da elinare.
  • Rimozione delle impostazioni relative al FRS (File Replication System) relative al DC da eliminare.
  • Viene tentato il seize dei ruoli FSMO posseduti dal DC che si intende eliminare.

Di seguito viene riportata la procedura da eseguire su sistemi Windows 2003 SP1 o successivi per rimuovere i riferimenti del server SRVDC01 in Active Directory.

  1. Autenticarsi al server SRVDC02 con credenziali di amministratore di dominio.
  2. Aprire un prompt dei comandi.
  3. Digitare il comando ntdsutil.
  4. Al prompt ntdsutil: digitare il comando metada cleanup.
  5. Al prompt metadata cleanup: digitare il comando connections.
  6. Al prompt connections: digitare connect to server srvdc02.
  7. Verificare che la connessione sia avvenuta controllando di ottenere il seguente output.
    Connesso a srvdc02 tramite le credenziali dell’utente connesso localmente.
  8. Al prompt server connections: digitare quit.
  9. Al prompt metadata cleanup: digitare il comando select operation target.
  10. Al prompt select operation target: digitare il comando list domains.
  11. Viene restituita la lista dei domini tramite il seguente output
    Trovati 1 domini
    0 – DC=test,DC=local
  12. Al prompt select operation target: digitare il comando select domain 0
    (per selezionare il dominio in cui si trova il server da rimuovere SRVDC01).
  13. Viene restituito il seguente output
    Nessun sito corrente
    Dominio – DC=test,DC=local
    Nessun server corrente
    Nessun contesto dei nomi attivo
  14. Al prompt select operation target: digitare il comando list sites.
  15. Viene restituita la lista dei siti tramite il seguente output
    Trovati 1 siti
    0 – CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local
  16. Al prompt select operation target: digitare il comando select site 0
    (per selezionare il sito in cui si trova il server da rimuovere SRVDC01).
  17. Viene restituito il seguente output
    Sito – CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local
    Dominio – DC=test,DC=local
    Nessun server corrente
  18. Al prompt select operation target: digitare il comando list server in site.
  19. Viene restituita la lista dei server tramite il seguente output
    Trovati 2 server
    0 – CN=SRVDC01,CN=Servers,CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local
    1 – CN=SRVDC02,CN=Servers,CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local
  20. Al prompt select operation target: digitare il comando select server 0
    (per selezionare il server da rimuovere SRVDC01).
  21. Viene restituito il seguente output
    Sito – CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local
    Dominio – DC=test,DC=local
    Server – CN=SRVDC01,CN=Servers,CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local
    Oggetto DSA – CN=NTDS Settings,CN=SRVDC01,CN=Servers,CN=Nome-predefinito-primo- sito,CN=Sites,CN=Configuration,DC=test,DC=local
    Nome host DNS – SRVDC01.test.local
    Oggetto computer – CN=SRVDC01,OU=Domain Controllers,DC=test,DC=local
    Nessun contesto dei nomi attivo
  22. Al prompt select operation target: digitare quit.
  23. Al prompt metadata cleanup: digitare il comando remove selected server.
  24. Confermare il messaggio di conferma.
  25. Viene restituito il seguente output
    Rimozione di metadati FRS per il server selezionato.
    Ricerca di membri FRS in “CN=SRVDC01,OU=Domain Controllers,DC=test,DC=local.
    Rimozione dei membri FRS “CN=SRVDC01,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=test,DC=local.
    Eliminazione della sottostruttura in “CN=SRVDC01,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=test,DC=local.
    Eliminazione della sottostruttura in “CN=SRVDC01,OU=Domain Controllers,DC=test,DC=local.
    Il tentativo di rimuovere le impostazioni FRS su CN=SRVDC01,CN=Servers,CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local non è riuscito per il seguente motivo: Impossibile trovare elemento.
    È ancora in corso la pulitura dei metadati.
    CN=SRVDC01,CN=Servers,CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local rimossi dal server srvdc02
  26. Al prompt metadata cleanup: digitare quit.
  27. Al prompt ntdsutil: digitare il comando quit.
  28. Aprire lo snap-in Siti e servizi di Active Directory (dssite.msc).
  29. Selezionare il nodo Sites.
  30. Selezionare il sito a cui il server da rimuovere SRVDC01 appartiene (in questo caso Nome-predefinito-primo-sito).
  31. Selezionare il nodo Servers.
  32. Selezionare il server SRVDC01 e quindi selezionare Azione -> Elimina.

Per eseguire l’eliminazione dei riferimenti del server SRVDC01 dal DNS utilizzare la seguente procedura:

  1. Aprire lo snap-in DNS (dnsmgmt.msc /s).
  2. Nella zona diretta _msdcs.dominio rimuovere il record CNAME relativo al server SRVDC01. Nel caso il server non venga reinstallato e promosso Domain Controller con lo stesso nome eliminare anche i record NS (tramite la scheda Server dei nomi delle proprietà della zona) e i vari record SRV.
  3. Nella zona diretta relativa al dominio rimuovere il record A (Host) relativo al server SRVDC01. Nel caso il server non venga reinstallato e promosso Domain Controller con lo stesso nome eliminare anche i record NS (tramite la scheda Server dei nomi delle proprietà della zona) e i vari record SRV e impostare su SRVDC02 il record CNAME nella zona delegata _msdcs (tramite la scheda Server dei nomi delle proprietà della zona).

Terminata l’eliminazione dei riferimenti del server SRVDC01 in Active Directory e nel DNS occorre assicurarsi che i client non continuino ad utilizzarlo con server DNS, assicurarsi quindi che il DHCP non fornisca ai client tale impostazione.

Per ulteriori informazioni si vedano:

Conclusioni

In questo scenario grazie al fatto che nell’infrastruttura sono prendi almeno due DC e che si ha la ridondanza del GC e del servizio DNS nonostante cessi di funzionare il server che detiene i ruoli FSMO i disservizi risultano contenuti. Infatti gli utenti possono continuare ad autenticarsi e ad operare normalmente e anche la procedura di disaster recovery risulta non eccessivamente complessa e soprattutto non comporta interruzioni di servizio.

Share

Microsoft