Venerdì, 04 Maggio 2018 07:41

DC , dns e problemi di identità

Scritto da
Vota questo articolo
(0 Voti)

Problema:

Una macchina Windows 10 (1709) è collegata al un Domain Controller Samba (3.6.23 ) configurata senza roaming dei profili.

La macchina windows gira virtualizzata su vmware mentre il controller di dominio è installato "bare metal".

Ad un certo punto , senza particolari interventi o aggiornamenti alcuni utenti che dovevano accedere alla macchina si ritrovano il messaggio 

nessun server di accesso è attualmente disponibile per soddisfare la richiesta di accesso

Da notare che :

  1. Il login viene correttamente con alcuni utenti e con altri no, se un utente funziona, funziona sempre, se non va, non va mai;
  2. La macchina Samba (CentOs) è anche server Dns (dnsmasq 2.48.18) e sembra funzionare perfettamente;
  3. Altre macchine windows che fanno riferimento al Domain controller non danno problemi e lo stesso utente che non funziona sulla macchina affetta dal problema si connette perfettamente sulle altre;
  4. Entrando nella macchina Windows e cercando di aggiungere manualmente uno degli utenti che non funzionano con "control userpasswords2" si ottiene il messaggio di errore "Server del dominio XXX non raggiungibile;
  5. un semplice ping verso il server funziona sia con l'ip che con il nome netbios
  6. Dai log non si capisce molto, gli unici messaggi sono lato client che sembra non riuscire a raggiungere il domain controller

Analisi fatte:

Dopo aver verificato connettività , routing eccetera provo a capire come mai solo alcuni utenti soffrono il problema e come mai solo su questa installazione windows 10.

Creo un nuovo utente ma nemmeno questo si logga al sistema dalla macchina col problema mentre su tutte le altre funziona

Allora provo a mettere nel file degli host di windows 10 una riga che indichi l'ip della macchina Dc....nessun miglioramento

Verifico che il client abbia come server wins il Dc , anche se con windows 10 dovrebbe essere poco importante ... niente

Non rimane che ringraziare il fatto di essere su una macchina virtualizzata e tornare ad uno snapshot precedente al disatro... faccio copia della vm e procedo al ripristino del vecchio snapshot e sorpresa.... Non funziona ancora !

Ma come è possibile ? 

il mistero si infittisce. Anche in questa situazione, alcuni utenti si loggano e altri no.

Dopo una lunga passeggiata nei log leggo una riga che potrebbe essere la soluzione : un errore di "nome duplicato nella rete"... ma come è possibile ? non c'è nessun computer con il nome di questo!

Soluzione :

In effetti non c'erano altri computer con lo stesso nome ma era successo il server dns (dnsmasq) aveva associato due mac address allo stesso id.

Questo , leggendo le man pages di dnsmasq sembra possibile in quanto :

-G, --dhcp-host=[hwaddr][,id:client_id|*][,set:tag][,ipaddr][,hostname][,lease_time][,ignore]
Specify per host parameters for the DHCP server. This allows a machine with a particular hardware address to be always allocated the same hostname,
IP address and lease time. A hostname specified like this overrides any supplied by the DHCP client on the machine.
It is also allowable to ommit the hardware address and include the hostname, in which case the IP address and lease times will apply to any machine claiming that name.
For example --dhcp-host=00:20:e0:3b:13:af,wap,infinite tells dnsmasq to give the machine with hardware address 00:20:e0:3b:13:af
the name wap, and an infinite DHCP lease. --dhcp-host=lap,192.168.0.199 tells dnsmasq to always allocate the machine lap the IP address 192.168.0.199.

 

Probabilmente la causa scatenante è stato l'avvio involontario di una copia della vm durante qualche spostamento oppure ... non me lo so spiegare.

Sta di fatto che per la prossima volta che capita un problema del genere, basta togliere la macchina dal dominio , rinominarla e rifare la join, oppure, ancora piu semplicemente togliere la voce eraata nel file delle associazioni del dns (resolv.conf).

 

 

Letto 83 volte Ultima modifica il Venerdì, 04 Maggio 2018 09:10