Quando a Internet está inoperante, o Active Directory também está?

8

Estou configurando um servidor comercial para uso em pequenos escritórios com 5 usuários / 5 dispositivos ou mais. Nada elaborado aqui.

Configurei um servidor ÚNICO Lenovo TS440 (NIC única) com o Windows Server 2012 R2 Essentials. Passo a passo através da instalação e assistentes. Nenhum controlador de domínio secundário. Vou procurar outras soluções secundárias quando puder. Não quero comprar outro servidor, mas entendo a importância dele.

Configurei uma conta de administrador de domínio que uso em todas as estações de trabalho e no servidor durante esse processo de instalação. Os usuários não terão privilégios de administrador e nenhuma conta local estará nas estações de trabalho, para que não possam entrar na estação de trabalho sem autenticação do servidor.

Temos um roteador Comcast Business (CISCO DC3939B com wifi) com um IP externo dinâmico que quase nunca muda. Também temos um comutador TrendNet, TEG S80g.

A Internet a cabo coaxial chega ao roteador e depois ao roteador para alternar.

O servidor e cerca de 3 estações de trabalho e 2 dispositivos são alimentados no comutador e existem alguns dispositivos sem fio.

Meu problema é que, depois de testar o sistema, desconectando a energia do roteador e desligando a Internet, as estações de trabalho não podem mais se autenticar corretamente. Tudo funciona bem com a Internet disponível, mas preciso garantir que as estações de trabalho ainda possam se comunicar entre si e com o servidor quando a Internet cair. Acho que preciso que essa rede de servidores WSE 2012 R2 funcione como se não houvesse acesso à Internet para começar.

Isso talvez tenha algo a ver com o roteador que faz DHCP? Não tenho certeza se o DHCP pode ser desativado no roteador.

Os erros que recebo quando as estações de trabalho tentam se conectar a outras estações de trabalho são que eles exigem o nome de usuário e o pw novamente e, às vezes, não conseguem se conectar. O servidor não está fora do ar, apenas a internet. No começo, recebia um prompt para ativar a descoberta de rede, o que fiz (não é público, mas privado), mas ainda temos esse problema do AD.

Se deixei de fora alguns detalhes importantes, informe-nos para que eu possa arredondá-los.

networking active-directory dhcp timd1971
fonte
2
Qual configuração de DNS os clientes têm? E qual dispositivo fornece concessões DHCP para a rede?
Shane Madden
1
O DCHP é tratado pelo roteador.
Basil
Eu "acho" como não tenho certeza, mas parece que o roteador está distribuindo ip's. Como o Essentials configura tudo automaticamente, não tenho certeza do que está acontecendo aqui. Onde eu encontraria a configuração do DNS? Status da Ethernet, detalhes da conexão de rede? Também descobri mais tarde que o Essentials configurou o servidor como um local. O que aparentemente não é bom e não pode ser alterado facilmente sem passar por um milhão de aros ... caramba ... eu precisava que fosse .com ... então isso será outro tópico.
precisa saber é o seguinte
1
Você não está simulando uma falha de acesso à Internet desligando o roteador. Você está simulando uma falha do roteador. Apenas desconecte o cabo coaxial.
Aaron Copley
bom ponto !!!!!
timd1971

Respostas:

6

O DNS é o serviço mais importante em todas as configurações do AD. Ele é responsável por localizar serviços relacionados ao AD como LDAP, KDC etc. Portanto, todo computador ingressado no domínio deve ter configurações de cliente DNS definidas para apontar para um controlador de domínio. O servidor DNS no controlador de domínio deve ter encaminhadores para apontar para o seu ISP. Dessa maneira, se uma consulta DNS não for resolvida, o controlador de domínio encaminhará a consulta para seus encaminhadores. Aqui está um esquema do fluxo de consultas DNS simples:

Computador -> DC (Encaminhadores) -> ISP

Portanto, o seu DHCP (DC ou o roteador, mas não ambos) deve oferecer concessões com DNS apontando para o seu DC única . Em seguida, adicione encaminhadores no seu servidor DNS. Dessa forma, quando a conexão com a Internet estiver inoperante, todas as consultas DNS relacionadas ao AD serão resolvidas e você poderá autenticar e usar os serviços do Active Directory como um todo.

Além disso, em uma instalação de 1 controlador de domínio, o controlador de domínio deve apontar para si mesmo (127.0.0.1 * ou seu IP) nas configurações de DNS do seu adaptador de rede.

  • 127.0.0.1 funcionará apenas se o servidor DNS estiver configurado para escutar todos os adaptadores de rede disponíveis
iPath
fonte
obrigado pela excelente ajuda! Analisarei mais o que você está aconselhando.
timd1971
20

Você deve ter seu Small Business Server (Server Essentials) executando DHCP e DNS. O SBS desabilitará automaticamente o serviço DHCP quando detectar outro servidor DHCP na LAN. (Você pode verificar isso verificando os logs de eventos, haverá erros de DHCP e o serviço provavelmente será interrompido)

Como seu roteador provavelmente está distribuindo o DNS dos ISPs, seus computadores não podem se autenticar quando você o desligar.

Conecte-se ao seu roteador Comcast, desligue a transmissão DHCP e inicie o serviço DHCP no servidor SBS. Se você usou os assistentes para configurar, o problema que você está vendo provavelmente se resolverá.

Editar: se você não tiver certeza de quem é o servidor DHCP, faça um ipconfig / all em um dos clientes para obter o endereço IP do servidor DHCP.

DanBig
fonte
Isso explica muito do problema. Obrigado DanBig pelos conselhos fáceis de entender. Vou tentar isso hoje quando tiver algum tempo. Obrigado a todos por sua ajuda até agora. Espero que isso me dê mais um passo à frente e para os próximos problemas que certamente surgirão. Eu tenho um cara de TI para quem posso ir, mas quero aprender o máximo que puder desde que estou em computadores desde os anos 80. Então, eu tenho uma boa noção de tecnologia de computador, mas os servidores são obviamente um animal totalmente diferente. Se é obviamente demais, mesmo sendo ESSENCIAIS, eu olho para ele. ; )
timd1971
Encontrei o Ativar / Desativar LAN DHCP no roteador para IPv4. (foi verificado ativado usando ip como 10.1.10.1). Vejo que o servidor também está usando IPv6. Devo também desabilitar o int roteador que eu assumiria? Não é tão simples, mas atualmente Stateless (Configuração automática e com monitoração de estado (usar servidor DHCP) está marcado (ativado). Acho que deixar como está (use basicamente o servidor DHCP) Também preciso atribuir DNS manualmente para ambos ? Atualmente desmarcada e vazia. Obrigado!
timd1971 1/15/15
1
Você não quer nada que faça DHCP para ipV4 ou IPv6, exceto o servidor Essentials.
DanBig
Como você define o DHCPv6 no servidor? ou seja, qual endereço IPv6 você usa? Parece ser (3) tipos diferentes? Como você sabe o que é ou qual usar? Sei que preciso adicionar a função DHCP e posso definir um IP estático IPv4, gateway, DNS etc. Em seguida, defina um escopo no DHCP ... fácil o suficiente ... mas e os escopos e estática do DHCPv6? Bastante misterioso para mim e não há muitas informações fáceis de entender sobre isso.
21815
4

Se o servidor estiver conectado a uma porta no roteador e você o desligar, como você espera que as estações de trabalho se comuniquem com o servidor? Você deve conectar o servidor ao mesmo switch que as estações de trabalho.

joeqwerty
fonte
Em sua pergunta, ele especificou que o servidor e três estações de trabalho estão conectadas a esse comutador.
Basil
Isso não estava claro para mim. O OP parece estar implicando que, mas em um de seus comentários, ele menciona ter o servidor conectado ao roteador.
joeqwerty
sim, eu percebi isso depois do fato. Então, sim, o que você mencionou antes de eu mudar o servidor para o switch do roteador. Sim, adicionei a diferença a um dos comentários, pois esqueci de adicionar essas informações MUITO IMPORTANTES, pois percebi que era a maneira incorreta de fazer isso. Por isso, primeiro é o roteador Comcast, o switch, o servidor e as estações de trabalho conectadas ao switch. Mais uma vez, eu não sou um profissional, então, procurando ajuda aqui, o que eu acho incrível aqui.
timd1971
3

Não. O problema provavelmente está no DNS. Como é uma configuração do AD, você também precisa e provavelmente configurou o DNS no servidor. Verifique se as estações usam esse DNS como principal. Outras configurações mais elaboradas também são possíveis.

Konrad Gajewski
fonte
Ele resolve o seu problema?
precisa
Desculpa. Pressione ENTER para a próxima linha, mas foi necessário o comentário. Sendo essenciais, parece ser fácil e, portanto, tudo de forma simples e automática. Acho que a principal coisa que esqueci de inserir aqui foi PRIMEIRO, eu tinha o SERVIDOR conectado a uma das 4 portas do roteador e o switch em outra porta do roteador e as estações de trabalho conectadas ao switch e às duas últimas portas do roteador). Não sei se isso atrapalhou todas as configurações iniciais fáceis que o WSE fez primeiro?
timd1971