Atlantis Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Сильно не бейте, может уже тема поднималасть, но поиском не нашел.   Существует два интерфейса на домен контролере                    212.212.212.214 (интернет (IP условный))                  192.168.0.1 - 192.168.0.50 локальная сеть     Установлена AD+интегрированный DNS(первичный) + поднят DCHP для машин локальной сети. В DNS разрешено автообновление из DCHP (чтоб DCHP корректно работал) Поднят честный домен mydomin.ru   Теперь эта гадость автоматом дописывает в DNS локальные Айпишники в DNS и получается: *Name:=mydomin.ru                 Type=A , Class=1, TTL=600.RDLENGTH=4                 IP Address=212.212.212.214   *Name:=mydomin.ru                 Type=A , Class=1, TTL=600.RDLENGTH=4                 IP Address=192.168.0.1     В результате в течении часа все локальные компьютеры получаются дописаны в первычный DNS и их имена и IP видны и интернета.   Подскажите, как сделать так, чтобы DCHP сохранить и DNS не становился предателем?   Можно как-то сделать чтобы честные айпишники выдавались в интернет, а локальные   оставались в локалке. Может нажно как-то перенастроить DNS сервер? Можно их два поднять на одной машине Win2003 один для локалки, другой для инета? --- Зарание прошу не пинать за эти глупые вопросы ... Всего записей: 361 | Зарегистр. 18-01-2002 | Отправлено: 14:52 19-02-2005

kibkalo Убью Билла Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Atlantis - так сделать нельзя. Если у тебя имя домена совпадает с именем интернет-домена, то днс зона общая для обоих сетей. Обычно делают два днс сервера, рдин внутренний, второй - внешний. Да и практика подскаывает не использовать  DHCP сервер на контроллерах. Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 20:56 19-02-2005

Atlantis Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Atlantis - так сделать нельзя.   Если у тебя имя домена совпадает с именем интернет-домена, то днс зона общая для обоих сетей. Обычно делают два днс сервера, рдин внутренний, второй - внешний. Да и практика подскаывает не использовать  DHCP сервер на контроллерах.   Спасибо за совет, но на фирме только один сервер, который и Домен контроллер и DNS и мейл сервер и файервол и DHCP. Второй завести нельзя. Это условие задачи.  Как обойти грабли ? Заглядывают сюда грамотные сисадмины?     Всего записей: 361 | Зарегистр. 18-01-2002 | Отправлено: 22:48 19-02-2005

ShriEkeR Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Atlantis Цитата: один сервер, который и Домен контроллер и DNS и мейл сервер и файервол и DHCP а если установить vmware и поднять там сервер необходимой конфигурации? Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 15:50 20-02-2005

Atlantis Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Что тебе мешает запретить DNS запросы с внешнего IP-шника? Ничего, за исключением того, что DNS - первичный... и он должен быть виден из интернета, без этого невозможно будет разрешение имени mydomin.ru   проблемка?   Цитата: а если установить vmware и поднять там сервер необходимой конфигурации? Тоже вариант, хотя я думаю существует более красивые решения. Памяти жалко оперативной и ресурсов под вторую ОС... Уж очень много ресурсов кушает эта "вмварь"...   Есть еще варианты решения вопроса? Ау, Сисадмины, неужели у всех по 3-4 сервера в сети???? Всего записей: 361 | Зарегистр. 18-01-2002 | Отправлено: 19:37 20-02-2005

kibkalo Убью Билла Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Atlantis - скорее у всех по 3-4 десятка (у меня скорее сотни). Поверь бывшему сотруднику Майкрософт - средствами Майкрософт твоя задача не реализуема. Требуется ДВА сервера (физических или виртуальных, - дело другое.) Или же отказывайся от идеи совпадения имени домена с именем интернет домена и делай две зоны, каждая из которых доступна только со своего интерфейса. Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 00:40 21-02-2005

Atlantis Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору kibkalo Цитата: Или же отказывайся от идеи совпадения имени домена с именем интернет домена и делай две зоны, каждая из которых доступна только со своего интерфейса. Преклоняюсь перед авторитетом.   Как сделать на одном компе две зоны одна интернет, другая локальная (я так понимаю зоны две должны быть в DNS?) А АД должна стать mydomin.ru.local ?     Как при этом сберечь (не переустанавливать)АД + DNS+ DCHP и общий выход всей локалки в инет?   Хотя бы намекни...   Добавлено: Кто подскажет, если в DNS запретить обновление от DCHP, DCHP перестанет корректно работать или с ней ничего не произойдет? Всего записей: 361 | Зарегистр. 18-01-2002 | Отправлено: 04:14 21-02-2005

psj Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору А не надо ничего устанавливать. В DNS-е прописываешь новую зону, а в DHCP изменяешь передаваемые параметры. Насколько я помню, АД глубоко параллельно какую и сколько зон в твоей сети. Всего записей: 267 | Зарегистр. 27-07-2004 | Отправлено: 09:58 21-02-2005

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Atlantis Цитата: Как сделать на одном компе две зоны одна интернет, другая локальная (я так понимаю зоны две должны быть в DNS?)  А АД должна стать mydomin.ru.local ?   Если у тебя 2003, то имо, единственный выход: Переименование домена в Windows 2003 server Если 2000, то придется переустанавливать домен. ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 10:04 21-02-2005

psj Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Atlantis Извиняюсь! G14 прав на 100%.   Хотя, по моему, лучше поставить еще одну машину. Б/у, что бы обслуживала внешний DNS и файервол. В этом случае ничего переименовывать или переустанавливать не надо. И еще один большой плюс - файервол, а следовательно и шлюз на Интернет, на одном сервере с АД это не есть хорошо! Всего записей: 267 | Зарегистр. 27-07-2004 | Отправлено: 10:27 21-02-2005

kibkalo Убью Билла Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Atlantis - только RENDOM. При этом придется сначала поднять лес до 2003 уровня. Ну а после переименовывай. Не обязательно .локал. Что угодно, главное не совпадающее с рельным доменом. Можно localdomain.ru например. Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 10:44 21-02-2005

Atlantis Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вопрос временно решился поднятием на машине самого умного юзверя win2003+ DNS     Терерь за Инет DNS отвечает Домен-контролер, где на DNS запрещено обновление.   А на юзверьском компе создана зона mydomin.ru с IP 192.168.0.2-192.168.0.100 и динамическим апдейтом.     Микрософтовский DCHP удален, на доменконтролере WinROUTE 6.0.9  в качестве NAT, роутера и DCHP. В DCHP прописан для всей локалки DNS у юзверя. При этом DNS у юзверя при невозможности разрешить имя самостоятельно посылает запрос на DNS  доменконтролера, а последний на DNS провайдера.   Кто-нить может прокоментировать данное решение ? Можно его оптимизировать? Всего записей: 361 | Зарегистр. 18-01-2002 | Отправлено: 03:43 22-02-2005 | Исправлено: Atlantis, 03:48 22-02-2005

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Atlantis 1. DC прямо глядящий в Интернет это плохая идея с точки зрения безопасности. Файрвол прямо на контроллере идея тоже не из прекрасных....   Я б сделал практически наоборот: Тот dns, что "у юзверя", держит внешние записи. На нем всякие файрволы и т.п....Он же глядит в интернет, то есть фактически эта машина является шлюзом. На контроллере dns с записями домена (srv, хосты и т.п.), никаких файрволов, натов на нем нет. ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 08:43 22-02-2005

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору kibkalo Цитата: Или же отказывайся от идеи совпадения имени домена с именем интернет домена и делай две зоны, каждая из которых доступна только со своего интерфейса. Я не очень понимаю как это сделать. Сервер можно привязать к интерфейсу, а как это сделать с зоной?   Atlantis Тебе уже все ответили в этом топике. В пределах 1 компьютера можно иметь: а) 2 разных DNS сервера, каждый из которых привязан к своему интерфейсу. К примеру, внутрь сети смотри MS DNS, а наружу -- ISC bind. Имя зоны может быть одним и тем же. б) 2 разноименных зоны на одном DNS. Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 09:14 22-02-2005

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Active Directory+DNSпервичный+DCHP траблы

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование