Venerdì, 04 Maggio 2018 07:41

DC , dns e problemi di identità

Problema:

Una macchina Windows 10 (1709) è collegata al un Domain Controller Samba (3.6.23 ) configurata senza roaming dei profili.

La macchina windows gira virtualizzata su vmware mentre il controller di dominio è installato "bare metal".

Ad un certo punto , senza particolari interventi o aggiornamenti alcuni utenti che dovevano accedere alla macchina si ritrovano il messaggio 

nessun server di accesso è attualmente disponibile per soddisfare la richiesta di accesso

Da notare che :

  1. Il login viene correttamente con alcuni utenti e con altri no, se un utente funziona, funziona sempre, se non va, non va mai;
  2. La macchina Samba (CentOs) è anche server Dns (dnsmasq 2.48.18) e sembra funzionare perfettamente;
  3. Altre macchine windows che fanno riferimento al Domain controller non danno problemi e lo stesso utente che non funziona sulla macchina affetta dal problema si connette perfettamente sulle altre;
  4. Entrando nella macchina Windows e cercando di aggiungere manualmente uno degli utenti che non funzionano con "control userpasswords2" si ottiene il messaggio di errore "Server del dominio XXX non raggiungibile;
  5. un semplice ping verso il server funziona sia con l'ip che con il nome netbios
  6. Dai log non si capisce molto, gli unici messaggi sono lato client che sembra non riuscire a raggiungere il domain controller

Analisi fatte:

Dopo aver verificato connettività , routing eccetera provo a capire come mai solo alcuni utenti soffrono il problema e come mai solo su questa installazione windows 10.

Creo un nuovo utente ma nemmeno questo si logga al sistema dalla macchina col problema mentre su tutte le altre funziona

Allora provo a mettere nel file degli host di windows 10 una riga che indichi l'ip della macchina Dc....nessun miglioramento

Verifico che il client abbia come server wins il Dc , anche se con windows 10 dovrebbe essere poco importante ... niente

Non rimane che ringraziare il fatto di essere su una macchina virtualizzata e tornare ad uno snapshot precedente al disatro... faccio copia della vm e procedo al ripristino del vecchio snapshot e sorpresa.... Non funziona ancora !

Ma come è possibile ? 

il mistero si infittisce. Anche in questa situazione, alcuni utenti si loggano e altri no.

Dopo una lunga passeggiata nei log leggo una riga che potrebbe essere la soluzione : un errore di "nome duplicato nella rete"... ma come è possibile ? non c'è nessun computer con il nome di questo!

Soluzione :

In effetti non c'erano altri computer con lo stesso nome ma era successo il server dns (dnsmasq) aveva associato due mac address allo stesso id.

Questo , leggendo le man pages di dnsmasq sembra possibile in quanto :

-G, --dhcp-host=[hwaddr][,id:client_id|*][,set:tag][,ipaddr][,hostname][,lease_time][,ignore]
Specify per host parameters for the DHCP server. This allows a machine with a particular hardware address to be always allocated the same hostname,
IP address and lease time. A hostname specified like this overrides any supplied by the DHCP client on the machine.
It is also allowable to ommit the hardware address and include the hostname, in which case the IP address and lease times will apply to any machine claiming that name.
For example --dhcp-host=00:20:e0:3b:13:af,wap,infinite tells dnsmasq to give the machine with hardware address 00:20:e0:3b:13:af
the name wap, and an infinite DHCP lease. --dhcp-host=lap,192.168.0.199 tells dnsmasq to always allocate the machine lap the IP address 192.168.0.199.

 

Probabilmente la causa scatenante è stato l'avvio involontario di una copia della vm durante qualche spostamento oppure ... non me lo so spiegare.

Sta di fatto che per la prossima volta che capita un problema del genere, basta togliere la macchina dal dominio , rinominarla e rifare la join, oppure, ancora piu semplicemente togliere la voce eraata nel file delle associazioni del dns (resolv.conf).

 

 

Pubblicato in Documentazione
Lunedì, 23 Ottobre 2017 12:36

Configurazione della rete

Ecco come si presenta la nostra rete in uno schema sintetico con descrizione dettagliata delle zone.

In allegato l'immagine ad alta risoluzione oppure qui la mappa live in continuo aggiornamento.

Rete Amministrativa:

Nella rete amministrativa sono operativi:

File Server e Domain Controller

Basato su CentOs, fornisce share, Active directory e tutti i servizi di file sharing (non virtualizzato)

Server "Axios"

Macchina Windows che esporta il database del gestionale, si interfaccia con la bollatrice e gestisce gli upload verso i server Spaggiari (virtualizzato)

Server "GreenServer"

Macchina Ubuntu, si occupa di gestire i flussi del protocollo informatizzato (non virtualizzato)

Terminal 1 

Macchina Windows che esporta in rdp il desktop a tutte le utenze della rete didattica (Windows 10) fornendo il Desktop operativo. (virtualizzato)

Terminal 2 

Macchina Windows che esporta in rdp il desktop a tutte le utenze della rete didattica (Windows 8.1) fornendo il Desktop operativo. (virtualizzato)

Gestore Stampanti

Macchina Windows con il gestore "MyQ" delle stampanti sparse nei corridoi (la stessa macchina con una differente interfaccia di rete serve anche la rete didattica (virtualizzato)

Server di Backup

Tiene copia di backup sia dei dati che delle macchine virtuali . per un facile disaster recovery

Client degli uffici

Essendo l'ambiente operativo proveniente da RDP, il client locale ha poca importanza. 

Per semplificare le installazioni viene usato Panenus Linux, una distribuzione fatta apposta per il nostro Istituto che dispone di tutto quello che serve per la gestione degli ambienti Desktop. Da notare la presenza di un comando ad Hoc che crea in automatico sul Desktop la stringa di connessione ai servizi RDP. 

P_linkRDP [server] [dominio] [utente] [nome del link]

oppure ancora il comando P_kiosk che permette di congelare l'ambiente operativo in modo che sia sempre pronto all' uso (una sorta di "deepFreeze" per Linux creato tramite script bash che utilizzano rsync

 

 

 

 

Pubblicato in Documentazione
Martedì, 17 Ottobre 2017 08:11

Installazione switch centro stella

Oggi 17 ottobre 2017 la rete potrà avere delle interruzioni tra le 13 e le 14.30 a causa della necessità di dover aggiungere uno switch necessario a connettere le 30 nuove postazioni del nuovo laboratorio al terzo piano.

Ci scusiamo per il disagio.

Edit 17.10.2017

Intervento avvenuto con successo, tutte le dorsali sono state ricollegate. 

Durata interruzione : 38 minuti

 

Pubblicato in Diario di bordo
Venerdì, 06 Ottobre 2017 07:19

Problemi al primo accesso Wifi

Abbiamo superato i 1300 voucher erogati per la navigazione e questa fase ha portato in evidenza qualche piccolo problema che stiamo risolvendo.

Alcuni lamentano la difficoltà a fare il primo accesso in quanto non viene presentata la pagina del captive portal dove inserire le proprie credenziali.

Cercando di replicare le varie configurazioni, abbiamo dedotto che i motivi possono essere questi:

  1. Sistema Android : I dispositivi che hanno android Kitkat (4.4) o inferiori che navigano col browser stock non riescono ad autenticarsi.
    Soluzione: Installare il browser Google Chrome dal Play store.

  2. Sistema Windows Mobile (Nokia Lumia) : il browser di sistema non permette l'autenticazione.
    Soluzione: Non trovata in quanto non abbiamo un dispositivo nokia su cui indagare :-)

  3. Tutti i sistemi: Non si vede la finestra di Login
    Soluzione: La prima pagina che si richiede deve essere con il protocollo http e non https in quanto interrogando una pagina https che viene reindirizzata dal captive portal si genera un problema di certificato ssl e i moderni browser interpretano la cosa come un attacco "man in te middle".
  4. Tutti i sistemi: Non si vede la finestra di Login
    Soluzione: Se avete un antivirus con funzioni di controllo del browsing, spesso il captive portal viene bloccato perchè considerato come nel punto 3 anche se la richiesta è http. Disattivate questa funzionalità per il tempo del primo login e riprovate

  5. Tutti i sistemi: cambiando aula la rete non funziona più
    Soluzione: disabilitate e riabilitate il wifi

  6. Tutti i sistemi: compare il messaggio "invalid voucher code"
    Soluzione: Avete inserito un codice errato (è un numero quindi non ci sono lettere come "O" o "I" , oppure state cercando di utilizzare un voucher già associato ad altro dispositivo. Nel caso abbiate n dispositivi, dovete richiedere n codici. Il numero massimo di codici richiedibili è di 5 per gli studenti, 10 per i docenti.

Nel caso serva assistenza : qui è il posto giusto.

Pubblicato in Documentazione
Lunedì, 29 Maggio 2017 08:53

Problemi rete 26 maggio 2017

Se avete la pazienza di leggere questo post sino alla fine, vi spiego per filo e per segno come mai la rete di Istituto è morta giovedì pomeriggio e magari insieme troviamo la quadra perchè non succeda più.

Venerdì mattina , ore 7.30 arrivano i primi whatsapp "la rete non funziona" , "manca internet" e una pletora di altri messaggi più o meno incerniati sul fatto che una giornata senza rete avrebbe generato cataclismi che in confronto Katrina e tutte le sue colleghe uragano erano una brezza marina.

Incomincio a pensare a cosa ho fatto il giorno prima , al fatto che spesso un esperto è una persona che evitando tutti i piccoli errori punta dritto alla catastrofe.... Poi mi rassereno, io non sono un esperto ;.)

Arrivo a scuola, mi precipito sul server e scopro che una delle interfacce ethernet che erogano servizi verso la rete didattica ha un tempo di "ping" superiore ai due secondi (una eternità visto che di solito si misura in millisecondi)...

Non rimane che smontare la baracca , serverone pesante come un macigno incastrato in un armadio rack che per toglierlo senza fare disastri ci vuole una specializzazione di artificiere... il tutto con un viavai di gente che ripete come nemmeno il tantum ergo sacaramentum sa essere così tedioso una nenia tipo "Quando torna internet"?

Smonto cambio scheda, rimonto e .... stessa latenza del ping ... Mannaggia allora non è la scheda ma lo switch a cui è collegato.... che strano, è nuovo e pure di qualità e i led di diagnostica non segnalano anomalie....

Allora sonto lo switch ( 24 cavi piu 4 fibre ottiche) , ne cerco uno vecchio e rimonto tutto... Ormai la lucidità, già scarsa, è ridotta ai livelli di un teenager all' uscita di un rave party... lavorare sotto pressione non fa per me...

Comunque... riavvio e .... il ping è sempre lì , lento come non mai.

Mi prende lo sconforto ma non mi arrendo, devo trovare il problema ... smonto una dorsale alla volta dell' Istituto e che scopro ???

Che scollegando un armadio che porta verso la rete del pian terreno tutto si riprende...(naturalmente per la legge di murphy il cavo incriminato è stato l'ultimo che ho tolto, mica capita una volta che il caso aiuta....)

Adesso rimane il secondo passo,  passare all' armadio dopo e staccare tutte le 22 derivazioni e attaccarne una ad una per capire da dove arriva il problema. Ovviamente il problema, sempre per la legge di murphy non si palesa all' istante, ma bisogna aspettare circa due minuti per ogni collegamento per vedere se succede qualcosa...

Naturalmente l'operazione fatta con sottofondo della processione degli utenti che mi allietano il lavoro con discorsi più o meno filosofici, teorie sulle reti, critiche e consigli che vanno dal dedicarmi al giardinaggio ad usare strumenti che costano come tutta la nostra rete...

Finalmente isolo il troncone incriminato e che ti scopro??

Laboratorio XXX, sono stati acquistati alcuni pc e il numero, essendo salito non permette a tutti di collegarsi alle due prese a muro.

Soluzione applicata : Acquistato uno switch da otto porte di quelli che si comprano al carrefour vicino alla corsia delle bici con cambio shimano, tanto per non farsi mancare niente, messo un access point pure collegato lì , a un paio di metri da quello di Istituto....

Ma non basta, evidentemente presi dallo spot virale "due gusti is meglio che uan" il suddetto switch era stato collegato con due porte alle due prese a muro generando un loop micidiale che mandava in circolo tutti i pacchetti e li ripeteva (broadcast) su tutta la rete mandando a pallino tutto.

A dirla tutta questa cosa era già successa un annetto prima, in un altro laboratorio e quello che avevo pensato di fare era quello di mettere switch nei laboratori più intelligenti, in grado di autoproteggersi da queste cose , attivando una roba che si chiama "spanning tree" .

Purtroppo gli switch layer 3 costano e ne stavamo acquistando qualcuno alla volta e quell' area della scuola era ancora sguarnita.

Ora vi invito a due riflessioni:

Quando si ha a che fare con una rete che eroga connettività per circa 1600 dispositivi al giorno, generando circa 1 TERAbyte di traffico al giorno, non sarebbe il caso di rispettare le più elementari regole di progettazione delle reti? Oppure il primo che passa si attacca quello che vuole come se la rete fosse un grande sudoku con cui giocare?

Posso capire che servivano punti rete, ma tanto per fare un esempio, ma mia macchina ibrida di vecchia generazione fa solo pochi km in modalità elettrica e supponiamo per assurdo che ne voglio fare di più ; se andassi dal tabacchino a comprare una carriola di pile per il walkman e poi le butto nel baule e le attacco con dei cavi facendo attenzione che il colore del cavo faccia "pendant" con la tappezzeria del baule, credete che poi posso lamentarmi con la toyota se la macchina non parte?

E se dopo aver messo in corto circuito la scuola (giovedi pomeriggio) mi accorgo che non funziona più nulla, non sarebbe il caso di farsi un paio di domande?

Adesso ci sono ancora molti dispositivi che sono andati in protezione e devo finire il giro per fare il reboot affichè ritornino in vita.

Era il caso? Se qualcuno venisse nel vostro laboratorio e attacca a caso qualcosa sui macchinari, come reagireste?

Anche gli accesspoint, se messi così a caso senza curarsi del canale, della banda passante e tante altre cose, generano onde elettromagnetiche nello stesso spettro di quelle di istituto, così poi tutto è lento e funziona male.

Io ho già i miei mille limiti, potrei sicuramente fare meglio e soprattutto ci può essere qualcuno più bravo di me, ma proprio per questo, vi prego, non uccidete un uomo morto con queste esperienze di "networking creativo".

 Grazie , senza rancore ma con la speranza che insieme miglioriamo la nostra splendida scuola

 

Ivan Bertotto

 

Pubblicato in Blog