[Egor]

zSerg
А расскажи, уважаемый, о топологии своей сети (сколько DC и что на них есть, домен реальный или нет, что через что работает и т.д.)

zoman

делаю BDC, отключаю PDC, поднимаю BDC до PDC и еще раз повторяю эту операцию, не забыв вычистить на новом PDC остатки BDC ручками? Так?

Ты о чем? Какой PDC и BDC на 2003 сервере?
Расскажи более внятно, что есть и что надо получит в итоге?

[zSerg]

EgorРассказываю:

Есть Сервер1 шлюз в инет, первый IP канал, конфигурация:
1. Внеш. IP 213.247.....
Маска 255.255.....
Шлюз 213.247.....
DNS1 212........
DNS2 195

2. Внутр.IP 192.168.2.1 (Инет пользователям)
Маска 255.255.255.0
Шлюз
DNS1 192.168.0.1
DNS2
3. Внутр.IP 192.168.0.2 (Сетка в которой находится Сервер2: Почта, DNS, еще один IP канал)
Маска 255.255.255.0
Шлюз
DNS1
DNS2
Есть Сервер2 второй IP канал, конфигурация:
1. Внеш. IP 194.117.....
Маска 255.255.....
Шлюз 194.117.....
DNS1 127.0.0.1
DNS2

2. Внутр.IP 192.168.0.1
Маска 255.255.255.0
Шлюз 192.168.0.2
DNS1 127.0.0.1
DNS2
прописан постоянный маршрут:
Адрес_________Маска________Шлюз
192.168.0.0___255.255.0.0______192.168.0.2 1
Я занимаюся насройкой 2 сервера, необходимо чтобы пользователи из сети 2 организованной на первом сервере, получали почту со второго сервера (у него свой отдельный канал в инет), который единтсвенный в сети 3 организованной также на первом сервере, т.е. SMTP и POP3 это 192.168.0.1 для пользователей.

А вот этот 2 сервер должен слать/получать почту и поддерживать доменное имя, в качестве шлюза в инет он не используется

И как тут правильно DNS настроить, в этом и вопрос?

P.S. Старался подробно описать, незнаю как уж получилось.

Добавлено zSerg,
Еще!

Этот сервер2 и есть домен контроллер, но в нем никто не работает, он только почта и DNS (необходимо публиковать www.домен.ru), все пользователи под Novell'ом заведены.

[Egor]

2. Внутр.IP 192.168.2.1
Маска 255.255.255.0
Шлюз
DNS1
DNS2
3. Внутр.IP 192.168.0.2
Маска 255.255.255.0
Шлюз
DNS1 192.168.0.1
DNS2

Поменяй. У тебя DNS находится в сегменте, подключенному к интерфейсу "3". Вот туда его и пропиши.
Доменное имя реальное? Зону держишь у себя?
Второй сервер является потенциальным шлюзом (хотя-бы для самого себя) т.к. имеет два интерфейса. То, что через него никто не ходит в и-нет уже не важно.

[zSerg]

Поменяй. У тебя DNS находится в сегменте, подключенному к интерфейсу "3". Вот туда его и пропиши.

Что это даст? Для чего?

Доменное имя реальное? Зону держишь у себя?

На 2 сервере все это и есть, 1 сервер только шлюз.


Как все же правильноорганизовать, чтобы DNS только "наружу"? А то пинг снаружи домен.ру выдает 192.168.0.1

[Egor]

Что это даст? Для чего?

Для того, что ты системный администратор. А если хочешь быть хорошим системным администратором, научись правильно делать настройки и предвидеть события хотя-бы на шаг вперед.
Предположим такую ситуацию для твоей сетки. У тебя есть локалка из двух сегментов. DC с DNS находится во втором сегменте. В настройках шлюза DC указан на интерфейсе первого сегмента. Пока есть рутинг между первым и вторым сегментом - все нормально. Но завтра начальник говорит, что первый и второй сегмент не должны видеть друг друга. Маршрут убирается. Как результат, шлюз перестает видеть DC вообще. И ты опять идешь на форум с вопросом: что делать и кто виноват.

Как все же правильно организовать, чтобы DNS только "наружу"? А то пинг снаружи домен.ру выдает 192.168.0.1

Еще раз повторюсь. Кто держит зону?
м-м-м... расскажи, как у вас регистрили домен?

[zoman]

Ты о чем? Какой PDC и BDC на 2003 сервере?

Как это о чем? PDC - Primary Domain Controller. BDC - Backup Domain Controller.

Что надо сделать?

Есть глючный, но рабочий сервак на w2k3. Достался в наследство, со всеми глюками бороться надоело.
Надо переустановить w2k3 (+ sp1) и восстановить учетные записи пользователей (AD) + DNS-сервер (без DHCP, WINS).

[Egor]

zoman
Ладно, с PDC и BDC понятно

Надо переустановить w2k3 (+ sp1) и восстановить учетные записи пользователей (AD) + DNS-сервер

Ставишь на второй машине 2003 - dcpromo - поднимаешь на ней DNS - на первой машине dcpromo. Все.

[zSerg]

Но завтра начальник говорит, что первый и второй сегмент не должны видеть друг друга. Маршрут убирается. Как результат, шлюз перестает видеть DC вообще. И ты опять идешь на форум с вопросом: что делать и кто виноват.

Такое решение в принципе не возможно. Да и оно только лишит доступ к почте. Смысл его не понятен.

Еще раз повторюсь. Кто держит зону?

Сервер 2 держит зону и публикует ее в инет.

м-м-м... расскажи, как у вас регистрили домен?

Т.е.? Доменное имя куплено, выделен IP, к нему и привязываю домен.ру на сервере 2.

[Egor]

Такое решение в принципе не возможно.

Никогда не говори никогда, пути господни и начальства неисповедимы
Для каких целей на DC ставился отдельный выход в и-нет? Публикация DC (тем более AD) в и-нет на прямую очень и очень не рекомендуется. Не хочешь переконфигурить сетку? Это я к тому, что существующую конфигурацию защитить достаточно проблематично и настройки для существующего ТЗ будут ну очень "кривые".

ЗЫ морально готовся изучать ISA

[zSerg]

Egor

Ладно, убираю я AD, будет только DNS. Вопрос остается.

[Egor]

Да нет, AD убирать совсем не обязательно. Сделай локальную сетку с другим именем (домен.local к примеру). Подними для нее AD, а наружу опубликуй настоящую зону. Это уже будет хорошо

[zSerg]

Egor, ладно уже сделал, перезалил Windy, установил DNS, KMS, IIS (AD не нужен, если он и будет то не на этом сервере). Почта, DNS, WWW работает. Но ping домен.ру из вне идет на 192.168.0.1, а на www.домен.ру на 194.117...(Ок).

Зона Основная Домен.ру там www на 194.117...

Чтобы пинг шел на праильный адрес, надо создать еще одну оснвную зону, допустим домен.local и там прописать 192.168.0.1 на имя компа или как? Как привязать к домен.ру правильный IP (194.117...)

[Egor]

Да, примерно так и делаешь.
Две примари зоны (домен.local и домен.ру). В каждой создаешь две "А" - записи, одну пустую, другую с именем DNS сервака. Зоны привязываешь к требуемым IP. Не забудь создать реверсные зоны.

[Jamez]

2 Egor. Вах, какую тему замутил, не грех и зарегиться.
Читал все с самого начала .... имхо бодрит
Причина любознательности такова:
Есть локалка на w2k сервере, но построена на WINS (так случилось).
И у этотго сервера с WINS (назовем его SRV1) появилась вторая сетевая карта (которая смотрит в другой сегмент) и начались проблемы, которые выражаются в ошибках NetBt и MrxSmb.
Соотвественно при наборе в консоли команды nbtstat -n видим конфликт
1 NIC
SRV1 <00> UNIQUE Конфликт
SRV1 <20> UNIQUE Конфликт

2 NIC
SRV1 <00> UNIQUE Конфликт
SRV1 <20> UNIQUE Конфликт

Согласно всему ранее сказанному, на такой "типа DC" машине нельзя активировать
{http://www.osp.ru/win2000/worknt/23nt08.htm } Computer Browser Service, а это надо сделать. Поскольу это один работающий круглосуточно сервер. Прюс переодически проходят перевыборы браузера сети. (После, все-таки надеюсь, добаления к HKEY_LOCAL_MACHINE\SYSTEM\CurrebtControlSetServices \Browser\Parameters\IsDomainMaster значения True перевыборов больше не будет) + (временно пришлось выклють НетБиос over TCP/ip на добавленной карточке)
2Еgor - как бы на елку влезь и ....
Как сделать чтоп и конфликтов не было и перевыборов и нетбиос овер тисипи работал?

[Egor]

У тебя сегменты должны видеть друг друга?

[Jamez]

2Egor
K сожалению, да. Есть одна прога, которая может работать только с "локальной сетью" .....

[Jamez]

И еще:
Зачем нужен браузер сети, если есть сервер WINS и он прописан на всех машинах?

[Egor]

Зачем нужен браузер сети, если есть сервер WINS и он прописан на всех машинах?

WINS только сопоставляет IP-адреса и имена машин, а все остальное делает Browser. Это если совсем просто... ну или по другому - содержимое папки можно посмотреть, набрав в командной строке dir *.*, а можно открыть соответствующее окошко в системе. Как тебе удобнее, выбирай сам

Если сегменты должны видеть друг друга, тогда ты уже настроил сетку.

временно пришлось выклють НетБиос over TCP/ip на добавленной карточке

Так и надо было сделать.

[Jamez]

Так то оно так ....
Но ента прога, насколько я понял, работает по нетбиосу и если овер тисипи выкл, то она (прога) не могет перебраться в другой сегмент ....

[Jamez]

И еще в начале поста, проявила себя проблема замыкания DNS DC на себя (типа не могет быть). Как то давно я решил для себя как делать и благополучно забыл. Недавно пришлось заново находить решение. Так вот: Все делается напрямую в рееестре ручкапи в курентконтролсет, далее - интерфасес, и по смыслу намесервер ставим 127.0.0.1
2Egor (прошу оценить )

Сорри за офтоп
Как здесь можно редактрировать свои посты ...

[Jamez]

2Egor


Тут еще одна заморочка подоспела:
а можно ли в DC, котор одной картой смотрит в локалку, другой в инет, и на нем стоит ИСА, при конфиге DNS оставить точку, дабы DNS не лез к серваку прова, а ИСА лезла ( с исой мало знаком) ...

Egor Au!

[Egor]

Но ента прога, насколько я понял, работает по нетбиосу и если овер тисипи выкл, то она (прога) не могет перебраться в другой сегмент ....

Может, если оба сегмента находятся в одной подсети.

дабы DNS не лез к серваку прова, а ИСА лезла

ISA не умеет разрешать имена. DNS и ISA совершенно разные по назначению и возможностям.

[Jamez]

Цитата(Jamez @ Вчера, 10:35)
Но ента прога, насколько я понял, работает по нетбиосу и если овер тисипи выкл, то она (прога) не могет перебраться в другой сегмент ....

Может, если оба сегмента находятся в одной подсети

Сегменты в разных подсетях

[Jamez]

ISA не умеет разрешать имена. DNS и ISA совершенно разные по назначению и возможностям.

Т.есть ИСА, для разрешения имен ВСЕГДА должна пользоваться каким-либо ДНС сервером?
А если сервер на другой машине, где в исе это прописываеться (кажется офтоп ) Или иса всегда берет данные прописанные в настройках карточки (смотрящей в инет)?

[Egor]

Сегменты в разных подсетях

Загони в в одну подсеть. Иначе никак.

Или иса всегда берет данные прописанные в настройках карточки (смотрящей в инет)

ISA ничего нигде не берет это фаервол (огненная стена). Он либо пропускает, либо нет, в зависимости от настроек

ЗЫ Уважаемый, почитай литературу... плз

[sergeyy]

Здравия желаю,
есть домен 3го уровня с адресами в сетке X - пока только для внутреннего использования - win2003;
есть шлюз в инет с ICS c адресами в Y(внутр) и Z(внеш) -xp.
В настоящий момент машинки для доступа в инет(w2000pro, xp) имеют адреса и в X и в Y и dns в Y. Причем разрешение имен этим dns постоянно слетает и помогает шаманство- временная замена адреса dns на z. Короче, безобразие полное.

Хочу на машине для инет иметь один адрес в X, dns - тоже в X. Чтобы dns мог и внутр. и внешние адреса разрешать.
Также хочу сохранить прокси-комп (в качестве ли шлюза, в другом ли - не знаю) но поменять внутр. адрес на X.

Как настроить сервер dns в X и как настроить шлюзовую машину?
Приветствую предложения и вне моих "хочу".
Спасибо.

Сообщение отредактировал sergeyy - Вторник, 28 Февраля 2006, 17:02

[Egor]

Честно говоря, ничего не понял. Ты-бы рассказал, как у тебя построена сетка.

[sergeyy]

Честно говоря, ничего не понял. Ты-бы рассказал, как у тебя построена сетка.

?

Сеть X - новая внутр.сетка: DNS, AD, DHCP на PDC (и BDC). В днс первич. зона для домена 3го уровня(только для внутреннего использования - пока не зарегистрирован). В этой сетке выделен диапазон адресов, к-е могут ходить в инет, пользовать почту.

Сеть Y - старая внутр. сетка. Умирает. Используется сейчас для доступа в инет (сеть Z -см.ниже) через машину (xp) c ICS (inet connection sharing).

Сеть Z - собственно выделенка.

Типичная рабстанция с доступом в Инет имеет адрес в этой сети, а упомянутую ICS-машину в качестве шлюза и dns-сервера. Кроме того такая рабстанция имеет еще один адрес и dns-сервер в сети X соответственно для доступа и разрешения имен внутренней сети.

Понятно?

Подождав, немного, решил зайти с другой стороны :
см.схему


0 - pdc windows2003server, dns внутренней сети (как сделать, чтобы он перенаправлял запросы для разрешения внешних имен на машину 3 или 4?)
1- Рабстанция. Предполагается доступ только к внутреней сетке и разрешение только имен внутр домена.
2- Рабстанция. Предполагается доступ и к внутр. и к внешней сетке и соответственно разрешение внутр и внешних имен.
3 - Прокси-машина (маршрутизатор между Y и Z) со службой ICS
4 - dns-сервер внешней сети

Сообщение отредактировал Админ - Четверг, 02 Марта 2006, 15:46

[Egor]

Понятно?

Нет. Информация, какая сеть старая, какая новая, что мертвому припарка.
Как у тебя эти сетки взаимодействуют? Физически как у тебя все это сделано? Разнесено в отдельные сегменты или все "воткнуто" в один свич и разделено по подсеткам? Рутеры, между ними, есть? Как настроено? И т.д.

[sergeyy]

Понятно?

Нет. Информация, какая сеть старая, какая новая, что мертвому припарка.
Как у тебя эти сетки взаимодействуют? Физически как у тебя все это сделано? Разнесено в отдельные сегменты или все "воткнуто" в один свич и разделено по подсеткам? Рутеры, между ними, есть? Как настроено? И т.д.

На самом деле все гораздо сложнее: некоторые рабстанции в том же свиче, что и машинки 0 и 3, некоторые в других свичах. См.еще схему:


В рабстан типа1 входят маш. машинки типа первой (1), в рабстан типа 2 - типа второй(2).
На схеме специально не указывал куда воткнуты рабстанции: какие-то в гиговые, какие-то в подчиненные - для простоты возьмем две рабстанции (машинки 1 и 2) воткнутые в правый гиговый.
"Как настроено" см. предыд.схему.
Рутеров как видно из схемы между сегментами (кроме рутера во внешнюю сеть) нет.
"И т.д." - не понял.

ps если не кажет схемы, щелкните Показать рисунок, иначе претензии к народ.ру - уменя все казало.
Добавлено Админ: схемы к постам приклеил. А то на народ.ру бесполезно наезжать.

Сообщение отредактировал Админ - Четверг, 02 Марта 2006, 15:50