 Автор |
Сообщение |
Александр Шкробов
Форумчанин
 |
|
| Помогите составить принципиальную схему подключения |
|
 |
|
 |
Александр Шкробов
Форумчанин
|
|
| И настроить по эт ой схеме |
|
| |
|
|
Александр Шкробов
Форумчанин
|
|
| Вопрос возник в плане настройки DNS. Помогите пожалуйста кто может. |
|
| |
|
|
Vlad
Гуру
 Предупреждений : 4
|
|
У тебя проблемы с DNS или все же с DC? Без работающего DNS DC не будет. И вообще,вопрос поставлен некорректно. Чтобы повысить рядовой 2K/2K3 Server до домена с AD нужно иметь рабочий DNS сервер на этой же машине [dcpromo попросит поставить] или где-то еще. Иначе работать не будет 
DNS в винде ставится оч. легко [если не нужна какая-то сложная конфигурация], это не bind и работает почти сразу.
Вопрос следом - где стоит ISA? На этом же компе? Прокси,нат или все вместе плюс firewall? И зачем вообще начинать танцы вокруг нее когда DNS еще не побежден?
В общем одни вопросы,а телепаты как всегда ушли в отпуск.. |
|
| |
|
|
Александр Шкробов
Форумчанин
|
|
| Vlad писал(а): |
У тебя проблемы с DNS или все же с DC? Без работающего DNS DC не будет. И вообще,вопрос поставлен некорректно. Чтобы повысить рядовой 2K/2K3 Server до домена с AD нужно иметь рабочий DNS сервер на этой же машине [dcpromo попросит поставить] или где-то еще. Иначе работать не будет
DNS в винде ставится оч. легко [если не нужна какая-то сложная конфигурация], это не bind и работает почти сразу.
Вопрос следом - где стоит ISA? На этом же компе? Прокси,нат или все вместе плюс firewall? И зачем вообще начинать танцы вокруг нее когда DNS еще не побежден?
В общем одни вопросы,а телепаты как всегда ушли в отпуск.. |
AD есть с поднятым DNS сервером. ISA поднят на отдельной физической машине. Не могу вникнуть в схему как это настроить и как это должно выглядеть в плане DNS... MS Visio есть? |
|
| |
|
|
Vlad
Гуру
Предупреждений : 4
|
|
где-то был, но все равно не понимаю в чем проблема.
dns у тебя скорее всего настроен как forward'ящий [те локальные запросы разрешает сам а за другими лезет к dns провайдера] и работает, те на любом компе сети nslookup ya.ru выдаст правильный результат.
Настраиваешь ISA c натом[если это шлюз] и прокси, разрешаешь все в firewall, прописываешь шлюз [адрес компа с isa] на первом же клиенте и ip:port в броузере.
Если работает, вводишь комп с ISA в домен [эт нужно в основном чтобы он мог использовать авторизацию пользователей] и уже пишешь правила. |
|
| |
|
|
Александр Шкробов
Форумчанин
|
|
| Vlad писал(а): |
где-то был, но все равно не понимаю в чем проблема.
dns у тебя скорее всего настроен как forward'ящий [те локальные запросы разрешает сам а за другими лезет к dns провайдера] и работает, те на любом компе сети nslookup ya.ru выдаст правильный результат.
Настраиваешь ISA c натом[если это шлюз] и прокси, разрешаешь все в firewall, прописываешь шлюз [адрес компа с isa] на первом же клиенте и ip:port в броузере.
Если работает, вводишь комп с ISA в домен [эт нужно в основном чтобы он мог использовать авторизацию пользователей] и уже пишешь правила. |
Да DNS у меня forward'ящий, из интернета приходит красиво. А вот обратно зарулить не получается. Чтобы допустим ты смог увидеть osb2291.sib.sbrf.ru. |
|
| |
|
|
Vlad
Гуру
Предупреждений : 4
|
|
опять ничего не понял.
если ты хочешь чтобы твой ip адрес ну скажем 11.22.33.44 определялся как vrotmnerukinogi.ru тебе нужно обратиться в http://www.nic.ru для регистрации домена 2-го уровня. Если хочешь чтобы это был vrotmnerukinogi.<мой провайдер>.<что-то там> обратись в его службу тех.поддержки чтобы они прописали тебя в обратной зоне. |
|
| |
|
|
Александр Шкробов
Форумчанин
|
|
| Vlad писал(а): |
опять ничего не понял.
если ты хочешь чтобы твой ip адрес ну скажем 11.22.33.44 определялся как vrotmnerukinogi.ru тебе нужно обратиться в http://www.nic.ru для регистрации домена 2-го уровня. Если хочешь чтобы это был vrotmnerukinogi.<мой провайдер>.<что-то там> обратись в его службу тех.поддержки чтобы они прописали тебя в обратной зоне. |
Уточню вопрос:
у меня домен domen3.domen2.global domen.ru
мой domen3 с domen2 у нас провайдер один и тот-же, у domain2 свой DNS. Мне к к4му обращаться к моим головным или к провайдеру?  |
|
| |
|
|
Александр Шкробов
Форумчанин
|
|
| О MS Visio. Да хотел схемку свою выслать. |
|
| |
|
|
Vlad
Гуру
Предупреждений : 4
|
|
| Цитата: |
Мне к к4му обращаться к моим головным или к провайдеру? |
понятия не имею, здесь нет универсального решения (но в >95% это твой провайдер), но я бы начал с конца, те с того чей адрес DNS у меня прописан..  |
|
| |
|
|
Александр Шкробов
Форумчанин
|
|
| Vlad писал(а): |
| Цитата: |
Мне к к4му обращаться к моим головным или к провайдеру? |
понятия не имею, здесь нет универсального решения (но в >95% это твой провайдер), но я бы начал с конца, те с того чей адрес DNS у меня прописан.. |
Понятно. Спасибо большое за консультацию... Да и еще вопрос - не знаешь как IIS поставить если его нет в установке компонентов Windows 2003 EE. |
|
| |
|
|
Александр Шкробов
Форумчанин
|
|
| Спасибо. Нашел, видимо уже перегрелся |
|
| |
|
|
weer
Гуру
 Предупреждений : 2
|
|
Александр Шкробов
зря форвард поставил на ДНС во внутренней сети.
суть проблемы заключается в том, что на внутреннем интерфейсе иса должен быть прописан DNS, который может разрешать ТОЛЬКО внутренние записи днс.
а на внешнем должен быть прописан тот, который может разрешать внешние (ну и внутренние тоже можно, если это необходимо ).
на всех остальных сетевых интерфесах иса ДНС не должен быть прописан вообще (за редкими исключениями)
такой механизм называется "расщепление dns"
набери в эту фразу в поисковике и поймешь причины, по которым необходимо так поступать.
вообще обычно в AD делается 2 контроллера домена. на одном форвард ставится (указывается на десктопах как первый днс сервер). на втором - не ставится. второй используется для орагниазции расщепления днс
ну и еще уточняющий вопрос
AD функционируется на домене domen3.domen2.global domen.ru или на другом? |
|
| |
|
|
Vlad
Гуру
Предупреждений : 4
|
|
| Цитата: |
такой механизм называется "расщепление dns" |
проще поставить ограничения на зоны, запретить слушать внешний интерфейс и/или отзываться только на ip своей подсети..
| Цитата: |
AD функционируется на домене domen3.domen2.global domen.ru или на другом? |
 как я понял это вообще внешний ip филиала и ес-но никакого AD там в принципе быть не может. |
|
| |
|
|
weer
Гуру
Предупреждений : 2
|
|
Vlad
без расщепления днс будет много проблем в запретом доступа по доменному имени или адресу страницы. это из того, что сразу заметно станет. так же будут проблемы с ненормальным функционированием клиента isa.
если посмотреть глубже - начнуться проблемы с преобразованием ссылок. как следствие - проблемы с публикацией http серверов.
это что сразу в голову пришло. еще помимо этого куча проблем.
| Vlad писал(а): |
| как я понял это вообще внешний ip филиала и ес-но никакого AD там в принципе быть не может. |
domen3.domen2.global domen.ru может быть выдан "головным" офисом комании с целью использовать это имя как отдельный домен в лесу. соответственно все компьютеры в локалке будут иметь имя xxx.domen3.domen2.global domen.ru
соответсвенно ситуация сильно усложняется с точки зрения isa. |
|
| |
|
|
Александр Шкробов
Форумчанин
|
|
| Vlad писал(а): |
| Цитата: |
такой механизм называется "расщепление dns" |
проще поставить ограничения на зоны, запретить слушать внешний интерфейс и/или отзываться только на ip своей подсети..
| Цитата: |
AD функционируется на домене domen3.domen2.global domen.ru или на другом? |
как я понял это вообще внешний ip филиала и ес-но никакого AD там в принципе быть не может. |
Схема классическая, только без выделенной DMZ зоны AD реализована только для удобства авторизации пользователей, ведения политик безопасности. DNS на ISA работает в режиме кэширования. Светится только IP внешнего физического устройства (NAT) + NAT на ISA. Могу выложить схему, чтобы было наглядней обсуждать. |
|
| |
|
|
Александр Шкробов
Форумчанин
|
|
| weer писал(а): |
Vlad
без расщепления днс будет много проблем в запретом доступа по доменному имени или адресу страницы. это из того, что сразу заметно станет. так же будут проблемы с ненормальным функционированием клиента isa.
если посмотреть глубже - начнуться проблемы с преобразованием ссылок. как следствие - проблемы с публикацией http серверов.
это что сразу в голову пришло. еще помимо этого куча проблем.
| Vlad писал(а): |
| как я понял это вообще внешний ip филиала и ес-но никакого AD там в принципе быть не может. |
domen3.domen2.global domen.ru может быть выдан "головным" офисом комании с целью использовать это имя как отдельный домен в лесу. соответственно все компьютеры в локалке будут иметь имя xxx.domen3.domen2.global domen.ru
соответсвенно ситуация сильно усложняется с точки зрения isa. |
А что посоветуете? |
|
| |
|
|
|
