Версия для печати темы

Нажмите сюда для просмотра этой темы в оригинальном формате

WinCity.Ru _ Серверное ПО _ доверительные отношения + Exchange 2000

Автор: yustus_777 Среда, 23 Июля 2003, 12:07

Обращаюсь к специалистам:
есть два сервера, оба DC. Между ними - доверительные отношения. На одном из них, Exchange 2000. Помогите с корректной настройкой ДНС!!!
Дело в том, что статический IP почтовика, виден извне вместе с IP, арендованным. Это не есть гут. Обновление зон между DC идет через пень-колоду! И, как следствие, сотрудники жалуются на работу почтовика.

Автор: kenm Среда, 23 Июля 2003, 12:19

Подними отдельный DNS-сервер для пользователей интернета, куда будешь прописывать, только то что нужно.

Автор: yustus_777 Среда, 23 Июля 2003, 12:24

kenm,
так в том то и дело, что на одном сервере БД, а на втором почта. Часть пользователей действительно пользователей обращается ТОЛЬКО к БД, а часть работает ТОЛЬКО с почтой.
НО. Есть и такие, кому необходимы как почта, так и БД...
Что делать в таком случае?

Автор: kenm Среда, 23 Июля 2003, 13:18

Что и где у тебя внутри не имеет никакого значения.
Как я понял у тебя два DC один из которых является шлюзом в интернет и почтовым сервером.
Подними на том который не шлюз DNS-зону Active Directory твоего домена (если её там нет) для внутреннего использования, и перенастрой все внутренние машины чтобы глядели на неё , на шлюзе удали зону ActiveDirectory и подними простую DNS зону, на которую будут попадать внешние пользователи (и пропиши туда только то, что необходимо : MX, A твоего сайта (если есть) и т.п.) На первом DC настрой Forwarding на "внешний" DNS.

Автор: yustus_777 Среда, 23 Июля 2003, 14:48

kenm,

Сейчас я интерпретирую сказанное тобой. Сервер А (почта+шлюз), сервер Б (БД). На обоих у меня DNS поднят. Оба ДНС интегрированы в АД. Настроены доверительные отношения.
Необходимо.
1. На сервере А имеющуюся зону, интегрированную в АД, понизить до основной. Там прописать запись А, МХ...
2. На сервере Б ДНС есть, интегрированная в АД. На ВСЕХ локальных машинах прописать статический адрес ДНС ТОЛЬКО ЭТОГО сервера.
3. Доверительные отношения удалить.
4. На сервере Б настроить форвардинг на ДНС сервера А.

Вроде как все. Только появился вопрос. Пользователь домена, где DC сервер Б (БД), логинится на этот сервер, у него прописан адрес ДНС этого сервера, благодаря форвардингу, пользователь логинится одновременно и на сервер А (почта+шлюз)?
И еще. Сервер А (почта) имеет свой статический IP, на внутреннюю сеть. В настройках его зоны ДНС везде "убить" записи типа А, с этим адресом, оставив только внешний IP?

Автор: kenm Среда, 23 Июля 2003, 16:35

Цитата
1. На сервере А имеющуюся зону, интегрированную в АД, понизить до основной. Там прописать запись А, МХ...

да но не забудь поднять зону этого домена на сервере Б
Цитата
3. Доверительные отношения удалить.

не надо
Цитата
благодаря форвардингу, пользователь логинится одновременно и на сервер А (почта+шлюз

одновременно пользователь никуда не логинится, пользователь домена Б получает доступ к ресурсам домена A благодаря доверительным отношениям. DNS же необходим для нормального функционирования AD. A DNS разделить на внешний и внутренний, необходимо для того чтобы твои локальные адреса внешним пользователям не светились.
Цитата
И еще. Сервер А (почта) имеет свой статический IP, на внутреннюю сеть. В настройках его зоны ДНС везде "убить" записи типа А, с этим адресом, оставив только внешний IP?

на "внешнем" DNS

Автор: yustus_777 Среда, 23 Июля 2003, 16:48

kenm,
Если можно, по-подробнее об разделении ДНС на внешний и внутренний: следует на шлюзе поднять дополнительную зону?
Т.е. на домене А (почта), в консоли Домены и доверие, будет не только зона сервера Б, зона сервера А (наружу), но и еще одна зона сервера А, только внутрь?

Автор: yustus_777 Среда, 23 Июля 2003, 16:50

kenm,
ошибся немного - не в Домены и доверие, а в ДНС...
Прошу прощения.

Автор: kenm Среда, 23 Июля 2003, 17:28

Цитата
но и еще одна зона сервера А, только внутрь

нет, эта зона должна быть на Б , и именно на Б должны направляться все компьютеры твоей сети за разрешением имени через ДНС
на A только "внешний" DNS с зоной для "внешних" пользователей.
на Б "внутренний" DNS-сервер содержащий зоны и для доменов А и Б

Автор: yustus_777 Четверг, 24 Июля 2003, 9:26

kenm,
Во-первых, благодарю за квалифицированную консультацию, спасибо!
Во-вторых, рискуя надоесть со своими вопросами, спрошу.
Где-то на этом сайте, если не ошибаюсь, встретил описание настроек доверительных отношений. Там говорилось, что необходимо перенести зону сервера 1 в настройки консоли ДНС сервера 2, и наоборот.
Ты написал, что доверительные отношения "убивать" не надо. А потом, что на сервере А д/б настройка зоны ДНС для "почтового" сервера (арендованный IP), никаких внутренних статических.
На сервере Б, напротив, своя зона, плюс зона сервера А, только обращенная "внутрь" сети (никаких упоминаний о внешних IP)!
Так о каких доверительных отношениях можно говорить, если на сервере А, зоны сервера Б не будет?
Выходит, что единственным сервером ДНС для разрешения имен "внутри" будет однозначно Б, так? И у пользователей в настройках сети везде явно указать IP сервера Б, для разрешения?
Но! На сервере А ОБЯЗАТЕЛЬНО должна быть зона серврера Б! По-моему в этом суть доверительных отношений. Иначе как пользователи сети смогут авторизоваться на почтовике?
Сейчас нигде в настройках явно не прописан статический IP ни одного из внутренних ДНС серверов. Поэтому они ОБА полномочны разрешать имена пользователей ОБОИХ доменов.
Извини, может я в глубоком заблуждении?


Автор: kenm Четверг, 24 Июля 2003, 9:56

yustus_777,
- DNS предназначен для разрешения имен в IP-адреса, и к доверительным отношениям он имеет очень маленькое отношение, а вот к тому что-бы два домена-контроллера могли взаимно разрешить имена друг друга, очень большое...
Цитата
Но! На сервере А ОБЯЗАТЕЛЬНО должна быть зона серврера Б

а вот это ваше заблуждение.

Автор: yustus_777 Четверг, 24 Июля 2003, 11:15

kenm,

Подскажите пожалуйста, IP адрес сервера Б на каждом клиенте явно указывать? Или при соответствующей настройке (о которой говорилось в этом обсуждении), клиент первоначально будет обращаться за разрешением к ДНС сервера Б?
Спасибо.

Автор: kenm Четверг, 24 Июля 2003, 11:21

yustus_777, см. выше.

Автор: Egor Четверг, 24 Июля 2003, 12:31

yustus_777

Ты немного не корректно объясняешь, чего тебе требуется. Как я понял твою проблему.
Есть два сервера с разными доменными именами и поднятыми на них AD:
Сервер А - почтовый сервер и рутер - домен1.ru (Д1)
Сервер Б - сервер баз данных - домен2.ru (Д2)
Между ними настроены доверительные отношения.
Требуется, чтобы Д1 не "светил" локальными адресами в и-нет.

Сразу вопрос: зона Д1 является официально зарегистрированной и ты держишь ее у себя?

Автор: yustus_777 Четверг, 24 Июля 2003, 14:24

Egor,
1. Прошу пощения, за непроставленную ссылку.
2. Да, зона Д1 официально зарегистрированная, и у себя я ее не держу.

У этой проблемы два аспекта.
1. Да, два доменных имени, два АД, два ДНС. Доверительные отношения. И при проверке тем же nslookup, в инете светятся два IP - выданный провайдером, и наш, на внутреннюю сеть.
2. Из прочитанного в конференции, для меня возникла дилемма - доверительные отношения создаются переносом зон каждого из серверов друг к другу. А мне присоветовали на почте оставить только внешнюю зону (?), а на сервере Б оставить две зоны - и сервера А и сервера Б.

Задача у меня такая. Пользователь сервера Б, логинится, получает адрес или на А, или на Б, тем самым получая доступ к почте (Exchange), если ему необходимо. Или работает с БД.

Автор: kenm Четверг, 24 Июля 2003, 14:57

Цитата
доверительные отношения создаются переносом зон каждого из серверов друг к другу

yustus_777, вы глубоко заблуждаетесь, встроенную справку что-ли почитайте... или книжку по администрированию w2k

Автор: Egor Четверг, 24 Июля 2003, 15:22

1. На одном DC нельзя поднять две разные AD. Это тебя kenm немного не правильно понял. Он рассказал про вариант с одним доменом и двумя DC.
2. Поскольку зону ты держишь не у себя, смело закрывай на проксе (кстати, у тебя стоит прокся на рутере?) 53 порт, можно и по UDP тоже. Руби на внешней карточке NetBIOS. Этого будет достаточно, чтобы светить "толко" внешним IP.

Автор: yustus_777 Четверг, 24 Июля 2003, 15:32

kenm,
что тут сказать... читано "талмудов" огромное количество. И сейчас как кирпичи вокруг лежат, меня не видно)
Возможно я утрирую, насчет прямого копирования зон. Сейчас на почтовике у меня есть записи хостов как внутреннего, так и внешнего. Эта же зона есть на сервере БД, как резервная зона прямого просмотра. И наоборот. На сервере БД есть резервная зона для почтовика.
ДНС настроен неправильно - спору нет. Иногда по сети некоторые локальные машины не вижу. Что-то типа "Target name incorrect".
Доверительные отношения, настроенные сейчас, не позволяют корректно работать ни почте, ни внутри локальной сети.
Вот я и мучаюсь, каким образом разнести зоны по двум серверам, чтобы пользователи имели одновременный доступ как БД, так и к почте.
На один сервер ставить не получается. Был такой советчик, отстаивал свою правоту, пока Exchange не свалил!

Автор: yustus_777 Четверг, 24 Июля 2003, 15:53

Egor,
Прокси у меня организован посредством WinGate. Для этого есть и отдельный комп, и свой IP. Exchange стоит на отдельно серваке, со свои адресом. Все это за Cisco-ой 1720 находится.
Вопрос: где что рубить?)

Автор: yustus_777 Четверг, 24 Июля 2003, 15:56

kenm,
но как быть с этим?
http://forum.wincity.ru/index.php?act=ST&f=3&t=1687&hl=доверия
http://forum.wincity.ru/index.php?act=ST&f=3&t=2565&hl=доверия


Автор: yustus_777 Четверг, 24 Июля 2003, 16:28

Egor,
Проверил, на WinGate 53 порт закрыт..(((

Автор: Egor Четверг, 24 Июля 2003, 17:03

Из локалки проверял или с наружней машины?
Так... Расскажи полностью топологию сети. Как-то не правильно "выяснять", что конечным рутером служит циска sad.gif

Автор: kenm Четверг, 24 Июля 2003, 17:31

Цитата
На одном DC нельзя поднять две разные AD

Никто не предлагал поднять две AD на одном DC, предлагалось поднять на одном DC DNS-зоны двух доменов.

Автор: yustus_777 Четверг, 24 Июля 2003, 17:33

Egor,

Итак, в здании работают две организации. У каждой есть свой сервер.
1. Первый или сервер А: (W2kSrv SP3+Exchange 2000), два интерфейса, инет + локалка.
2. Второй или сервер Б: (W2kAS SP4), два интерфейса, один отключен, второй локалка.
3. ПК, (W2kPro+Wingate 4.4.1) имеет два интерфейса, инет+локалка - прокси.

дальше,
4. все перечисленные машины заведены на коммутаторы Cisco 2924
5. а вот далее следует маршрутизатор Cisco 1720 и на ISDN.

Адресное пространство разделили так: 192.168.1.2 - 192.168.1.99 - пространство обслуживаемое сервером А, 192.168.1.100 - 192.168.1.200 - пространство обслуживаемое сервером Б.

Пожалуй все, остается добавить, что адреса (внешние) и ПК с Wingate и с Exchange 2K прописаны в 1720. Так что почта отдельно, инет отдельно.

Автор: Egor Четверг, 24 Июля 2003, 17:50

Давно-бы так, просто и понятно... наверное smile.gif
Реально, после циски, у тебя существует два рутера. А дальше, методом исключения, мог сам догадаться кто из них светит локальными адресами.
Ставь на Exchange проксю, либо закрывай на циске 53 порт по протоколам TCP и UDP. Больше никак. Это быстрый вариант. Есть еще один. Воткнуть в ПК еще один интерфейс и пустить Exchange через него.

Автор: yustus_777 Пятница, 25 Июля 2003, 8:21

Egor, спасибо)
А то, что в настройках зон прямого просмотра есть записи узла А как внутреннего, так и внешнего интерфейса, это нормально?
Т.е. в Events-ах я смотрю, что периодически происходит перенос зон в файлы C:\WINNT\system32\dns\mydomen.dns на обоих серверах, сейчас это дело прекратилось. ДНС сервер запущен и все тут!
Или в зонах прямого просмотра должны фигурировать только записи типа А, МХ, NS, SOA для внутреннего интерфейса?
Пожалуй даже без МХ...

Автор: Egor Пятница, 25 Июля 2003, 11:04

Это нормально. Недостаток динамической регистрации или недоработка мелкомягких. Даже если ты уберешь Register this connection's addresses in DNS, все равно в зоне прямого просмотра остается А запись (same as parent folder). Единственно, что можно сделать, это запретить в DNS обрабатывать внешний интерфейс.

Автор: yustus_777 Пятница, 25 Июля 2003, 12:47

Egor,
а то, что при просмотре сети кликаешь на какоq-нть комп, а в ответ "Target name incorrect" быть?
Явно проблема с ДНС...(

Автор: Egor Пятница, 25 Июля 2003, 15:40

А ты посмотри. Если на nslookup "полное имя компа", nslookup "нетбиос имя компа" и nslookup "IP компа" информация выдается верная, значит DNS работает нормально и надо разбираться со службой Computer Browser.

Автор: yustus_777 Пятница, 25 Июля 2003, 18:29

Egor,
когда все это набрал с локальной машины (ее полное имя, НЕТБИОС-имя, IP) - все показало нормально. Как только с этой же машины стал набирать IP (внешний), почтовика, то в ответ пишет название сервера, потом его ВНУТРЕННИЙ IP, затем пауза, и DNS request time out, timeout was 2 seconds.

Когда же набрал nslookup имясерврера.мойдомен.ру выдал такое:
Server: имясерврера.мойдомен.ру
Adress: IP внутренний

Name: имясерврера.мойдомен.ру
Adresses: IP внутренний, IP внешний.

???




Автор: yustus_777 Пятница, 25 Июля 2003, 18:35

Egor,
и еще один момент, если можно)))

набираю повторно, в тойже сессии: nslookup IP внешний
и,
Server: мойсервер.мойдомен.ру
Adresses: IP внутренний

мойсервер.мойдомен.ру can't find IP внешний: Not exist domain

Похоже ДНС...(

Автор: Egor Понедельник, 28 Июля 2003, 10:21

Так точно - DNS. А если точнее, настройки сетевых. Твой DNS не знает как идти во внешний мир.
Конкретно по твоему имени домена. У тебя имя внутреннего домена и имя внешнего (зарегестрированного) домена совпадают?

Автор: yustus_777 Понедельник, 28 Июля 2003, 10:38

Egor,
да, имена совпадают: имя домена для выхода в инет и для внутреннего пользования - одно и тоже.

Автор: Egor Понедельник, 28 Июля 2003, 11:21

Тогда брейся smile.gif. Во внутренней сети nslookup всегда будет показывать твой внутренний домен. На крайний случай, для HTML странички (если хоститесь на стороне) можно прописать LMHOSTS.
C:\WINNT\system32\drivers\etc\hosts
127.0.0.1...............localhost
IP где он лежит....www.твой домен.ru

Автор: yustus_777 Понедельник, 28 Июля 2003, 11:39

Egor,
это-то верно, но ведь внутренний IP виден из вне (дома пробовал!).

Автор: Egor Понедельник, 28 Июля 2003, 12:58

Закрывайся, я тебе уже говорил. Иначе у прововского DNS начнет крыша подъезжать, да и ты поимеешь проблемы и не только со связью. Я удивляюсь, что тебе провайдер еще свое фэ не выссказал.

Автор: yustus_777 Понедельник, 28 Июля 2003, 14:29

Egor,
не подскажешь какое-нть ПО для управления циской 1720?
Иначе придется фильтрацию в настройках TCP/IP по 53 порту по протоколам TCP и UDP включать?

Автор: Egor Понедельник, 28 Июля 2003, 16:27

А разве CISCO 1720 умеет настраиваться? Это-же обычный рутер без прокси и фаервола.

Автор: yustus_777 Понедельник, 28 Июля 2003, 17:07

Egor,
файервол там вроде как есть, внутри...
и управлялся посредством веб-интрефейса...

Автор: yustus_777 Понедельник, 28 Июля 2003, 17:08

Egor,
как же закрывать 53 порт на нем, если он не управляемый? smile.gif

Автор: Egor Вторник, 29 Июля 2003, 14:55

х.б.з. Тут я тебе посказать ничего не смогу, извини.

Автор: kenm Среда, 30 Июля 2003, 8:38

Цитата
не подскажешь какое-нть ПО для управления циской 1720

Cisco ConfigMaker
http://www.cisco.com/warp/public/cc/pd/nemnsw/cm/index.shtml

Автор: yustus_777 Среда, 30 Июля 2003, 10:55

Egor, kenm,
Благодарю за исчерпывающие ответы. Очень приятно было с Вами общаться!
Если возникнут вопросы, позволите у Вас проконсультироваться?

Автор: Egor Среда, 30 Июля 2003, 17:24

yustus_777, нема за че.
А если не позволим, не будешь в форуме вопросы задавать? biggrin.gif biggrin.gif biggrin.gif

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)