Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Windows Новый топик    Ответить
 начальная настройка win2008r2  [new]
Do.Fr.
Member

Откуда: Нижний Тагил :(
Сообщений: 38
есть сервер с win2008r2, требуется сделать его контроллером домена, раздавать интернет, делить принтеры.
для этого добавил соответствующие роли, установил kerio.
настройки сети для сервера:

+ Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : mainserv
Основной DNS-суффикс . . . . . . : dgb3nt.net
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Да
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : dgb3nt.net

Ethernet adapter net:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Intel(R) 82575EB Gigabit Network Connect
on #2
Физический адрес. . . . . . . . . : 00-1E-67-26-D3-CF
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 95.82.195.70(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 95.82.195.69
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter local:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Intel(R) 82575EB Gigabit Network Connect
on
Физический адрес. . . . . . . . . : 00-1E-67-26-D3-CE
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.1.1.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 10.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Подключение по локальной сети 2:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Kerio Virtual Network Adapter
Физический адрес. . . . . . . . . : 44-45-53-54-4F-53
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::e525:2f90:ff01:d7b5%22(Основной)
IPv4-адрес. . . . . . . . . . . . : 172.26.187.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 12 апреля 2012 г. 17:13:28
Срок аренды истекает. . . . . . . . . . : 19 апреля 2012 г. 5:13:28
Основной шлюз. . . . . . . . . :
DHCP-сервер. . . . . . . . . . . : 172.26.187.2
IAID DHCPv6 . . . . . . . . . . . : 289686867
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-16-D5-27-64-00-1E-67-26-D3-C

DNS-серверы. . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBios через TCP/IP. . . . . . . . : Отключен

Туннельный адаптер isatap.{B2B3F4DD-1D67-483B-829D-D49BD9EB16A1}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{ADBF9D31-AF87-459E-BD86-E3BA09EAC6B6}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер 6TO4 Adapter:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft 6to4
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv6-адрес. . . . . . . . . . . . : 2002:5f52:c346::5f52:c346(Основной)
Основной шлюз. . . . . . . . . : 2002:c058:6301::c058:6301
NetBios через TCP/IP. . . . . . . . : Отключен

Туннельный адаптер isatap.{BBABEA8C-B5B5-425E-AF76-5C8CC796B378}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #3
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

всё бы ничего, НО nslookup на сервере для машины в сети:

C:\>nslookup comp1
DNS request timed out.
timeout was 2 seconds.
TхЁтхЁ: UnKnown
Address: 10.0.0.1

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Превышено время ожидания запроса UnKnown

а вот что происходит на comp1

C:\Users\comp1>nslookup mainserv
╤хЁтхЁ: UnKnown
Address: 10.1.1.1

╚ь : mainserv.dgb3nt.net
Addresses: 10.1.1.1
172.26.187.1
95.82.195.70

приношу извинения за откровенно нубство, но объясните ПОЧЕМУ сервер сам для себя не можер разрешить именя компов из домена, которые он держит. И как вообще понимать UnKnown. Иероглифы, я так понимаю, обусловлены рускоязычностью винды
18 апр 12, 07:24    [12430761]     Ответить | Цитировать Сообщить модератору
 Re: начальная настройка win2008r2  [new]
Do.Fr.
Member

Откуда: Нижний Тагил :(
Сообщений: 38
ошибка вышла...
не то прописал)
вот что на сервере:
C:\>nslookup comp1
TхЁтхЁ: UnKnown
Address: 10.1.1.1

Lь : comp1.dgb3nt.net
Address: 10.1.1.11


почему unknown&&
18 апр 12, 07:38    [12430777]     Ответить | Цитировать Сообщить модератору
 Re: начальная настройка win2008r2  [new]
Cerebrum
Member

Откуда: Омикрон Персей 8
Сообщений: 7980
Какой Kerio ты поставил? Kerio Control?
В правилах есть такое разрешение

source 127.0.0.1, 0.0.0.0
destination 127.0.0.1, 0.0.0.0
Port Any
Action Allow

source firewall (IP сервака)
]destination Any (любой необходимый набор протоколов, включая DNS)
Port Any
Action Allow
18 апр 12, 08:28    [12430841]     Ответить | Цитировать Сообщить модератору
 Re: начальная настройка win2008r2  [new]
Sergey Orlov
Member

Откуда: СПб
Сообщений: 4445
Do.Fr.,
А kerio то зачем ставить, входящий в поставку 2008 софт чем не устраивает... В добавок, я поостерегся бы выставлять в I-net контроллер домена, пусть даже и чем-то мощным защищенный, kerio так себе защитка..
18 апр 12, 10:01    [12431155]     Ответить | Цитировать Сообщить модератору
 Re: начальная настройка win2008r2  [new]
Cerebrum
Member

Откуда: Омикрон Персей 8
Сообщений: 7980
Sergey Orlov
kerio так себе защитка..

Бугага

В кривых руках и лом раскрошится
18 апр 12, 11:39    [12432019]     Ответить | Цитировать Сообщить модератору
 Re: начальная настройка win2008r2  [new]
Do.Fr.
Member

Откуда: Нижний Тагил :(
Сообщений: 38
Cerebrum,
kerio winroute firewall 6.7
да, теперь есть. ничего не изменилось

Sergey Orlov,
какими winсредствами я могу позволить или не позволить тем или иным пользователям сети доступ к нужным/ненужным ресурсам?
что вы посоветуете?
18 апр 12, 12:38    [12432424]     Ответить | Цитировать Сообщить модератору
 Re: начальная настройка win2008r2  [new]
Khod
Member

Откуда: Ukraine, Kirovograd
Сообщений: 6958
Do.Fr.
какими winсредствами я могу позволить или не позволить тем или иным пользователям сети доступ к нужным/ненужным ресурсам?
что вы посоветуете?


В нете - через прокси.
В локалке - чере нарезание прав.
18 апр 12, 12:40    [12432439]     Ответить | Цитировать Сообщить модератору
 Re: начальная настройка win2008r2  [new]
Cerebrum
Member

Откуда: Омикрон Персей 8
Сообщений: 7980
Do.Fr.
Cerebrum,
kerio winroute firewall 6.7
да, теперь есть. ничего не изменилось

Проверь работает ли Window'ый файрвол в паралель с Kerio. Проверь в Kerio журнал Filter, какие пакеты и на какие направления дропаются. А лучше выложи раскладку своих прав из раздела Traffic Policy->Traffic Rules.

Вообще-то надо быть очень-очень хорошим спецом (или отмороженным на голову), чтобы на контроллер домена взгромоздить сторонний файрвол. Контроллер домена не должен быть переферией DMZ, для этого существуют прокси и шлюзы. Вот на них то файрволу как раз самое место. А пользователям принудительно через GPO вкрячивают строго заданную маршрутизацию на случай вылазки за пределы DMZ.
18 апр 12, 13:02    [12432560]     Ответить | Цитировать Сообщить модератору
 Re: начальная настройка win2008r2  [new]
Do.Fr.
Member

Откуда: Нижний Тагил :(
Сообщений: 38
Window'ый файрвол выключен, в Kerio в журнале filter все записи на основе правил, ничего "левого" нет.
Картинка с другого сайта.
т.е. лучше фаервол перевести на стороннюю машину?
а какие функции ещё можно повесить на КД?
я планировал почтовый сервер и сервер терминалов взгрузить на него. На сколько чревато? просто организация у нас бюджетная и огромная нехватка компов, а о покупке ещё одного сервера ближайшие лет пять можно точно забыть.
p.s. ногами за нубизм не бейте)
20 апр 12, 09:05    [12443441]     Ответить | Цитировать Сообщить модератору
 Re: начальная настройка win2008r2  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
Но хоть сетевые платы две WAN и LAN
Решение CMC основано все на одном сервере, контроллер и файрвол, плюс прочее, включая WEB и базу, решение конечно для бедных, правильно одна задача - один сервер.
20 апр 12, 09:36    [12443524]     Ответить | Цитировать Сообщить модератору
 Re: начальная настройка win2008r2  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
Do.Fr.
C:\>nslookup comp1
DNS request timed out.
timeout was 2 seconds.
TхЁтхЁ: UnKnown
Address: 10.0.0.1


приношу извинения за откровенно нубство, но объясните ПОЧЕМУ сервер сам для себя не можер разрешить именя компов из домена, которые он держит. И как вообще понимать UnKnown. Иероглифы, я так понимаю, обусловлены рускоязычностью винды

Видимо ДНС неверно настроен, по имени он обязан определять зарегистированые в нем комппьютеры
UnKnown - говорит об отсутствии обратной зоны
20 апр 12, 09:40    [12443544]     Ответить | Цитировать Сообщить модератору
 Re: начальная настройка win2008r2  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
СМС = SBS
20 апр 12, 09:41    [12443555]     Ответить | Цитировать Сообщить модератору
 Re: начальная настройка win2008r2  [new]
Do.Fr.
Member

Откуда: Нижний Тагил :(
Сообщений: 38
Anatoly Podgoretsky
Видимо ДНС неверно настроен

зону обратного просмотра добавил, а воз и ныне там

а можно поподробнее про SBS?
20 апр 12, 10:23    [12443755]     Ответить | Цитировать Сообщить модератору
 Re: начальная настройка win2008r2  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
Do.Fr.
Anatoly Podgoretsky
Видимо ДНС неверно настроен

зону обратного просмотра добавил, а воз и ныне там

а можно поподробнее про SBS?

Насчет воза надо поподробнее.
Не видать кода этого воза

А SBS это Small Buness Server - редакция Windows для бедных предприятий, которые не могут себе позволить покупку нескольких серверов, все на одном сервере. Естественно и другие редакции тоже могут так работать, дело в цене
20 апр 12, 10:27    [12443790]     Ответить | Цитировать Сообщить модератору
 Re: начальная настройка win2008r2  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
ЗЫ: я пользовался, выкинул через недели, купил Standard и на нем создал "SBS", но без Exchange
20 апр 12, 10:28    [12443800]     Ответить | Цитировать Сообщить модератору
 Re: начальная настройка win2008r2  [new]
Do.Fr.
Member

Откуда: Нижний Тагил :(
Сообщений: 38
Anatoly Podgoretsky,

ладно, с sbs понятно всё, значит такова судьба)

с перезапуском kerio всё стало ОК, сервер узнал себя.
20 апр 12, 10:41    [12443869]     Ответить | Цитировать Сообщить модератору
 Re: начальная настройка win2008r2  [new]
Do.Fr.
Member

Откуда: Нижний Тагил :(
Сообщений: 38
2 Cerebrum, Anatoly Podgoretsky
решил внять я вашим советам и вынести gateway на отдельную машину. Kerio мне никто не купит, поэтому использовать буду проксю. Что посоветуете? предпочтительнее linux решение.
22 апр 12, 11:16    [12452373]     Ответить | Цитировать Сообщить модератору
 Re: начальная настройка win2008r2  [new]
AndreTM
Member

Откуда: Где-то в вологодских лесах...
Сообщений: 6901
Можно и "ручками" любой серверный дистрибутив настроить...
А как насчет Ideco ICS?
22 апр 12, 11:48    [12452419]     Ответить | Цитировать Сообщить модератору
 Re: начальная настройка win2008r2  [new]
Do.Fr.
Member

Откуда: Нижний Тагил :(
Сообщений: 38
AndreTM,

нет. дорого. если крякать, то kerio поюзаем
22 апр 12, 12:57    [12452537]     Ответить | Цитировать Сообщить модератору
 Re: начальная настройка win2008r2  [new]
AndreTM
Member

Откуда: Где-то в вологодских лесах...
Сообщений: 6901
Do.Fr.
нет. дорого.
Как это?
22 апр 12, 13:26    [12452587]     Ответить | Цитировать Сообщить модератору
 Re: начальная настройка win2008r2  [new]
Do.Fr.
Member

Откуда: Нижний Тагил :(
Сообщений: 38
AndreTM,

пользователей 70 :)
22 апр 12, 13:27    [12452590]     Ответить | Цитировать Сообщить модератору
 Re: начальная настройка win2008r2  [new]
AndreTM
Member

Откуда: Где-то в вологодских лесах...
Сообщений: 6901
1) И вся сотня юзеров одновременно ломится в ИНет?
2) И вы при этом собираетесь использовать ломаный w2k8 и ломаный kerio?


Кроме того, При наличии отдельно DC+DNS+DHCP, плюс файлохранилище, плюс сервер приложений и отдельно инет-шлюза - зачем вам "прозрачно" пускать во внешнюю сеть ваших юзеров? Ведь вы всегда можете сначала всё, что нужно, "отпроксить" на локальном сервере, а затем - воспользоваться настройками шлюза. Т.е. вы свою локалку подключИте к "серверу", и уже только сам-один сервер - к инет-шлюзу...
22 апр 12, 13:35    [12452603]     Ответить | Цитировать Сообщить модератору
 Re: начальная настройка win2008r2  [new]
Do.Fr.
Member

Откуда: Нижний Тагил :(
Сообщений: 38
AndreTM,

да, у всех пользователей должен быть доступ к паре сайтов (например министерских) +у всей администрации должен быть доступ полный, а это >5 юзеров.
и w2k8 не ломаный и керио я не собираюсь юзать
AndreTM
всегда можете сначала всё, что нужно, "отпроксить" на локальном сервере

вот и прошу конкретных советов
22 апр 12, 21:19    [12453586]     Ответить | Цитировать Сообщить модератору
 Re: начальная настройка win2008r2  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
Такое решается файрволом. Но я никогда для этой цели не использовал персональный файрвол, хотя он может ограничивать исходящие соединения.
Я для подобной работы использую корпоративный файрвол (ISA-2006)
22 апр 12, 21:45    [12453688]     Ответить | Цитировать Сообщить модератору
 Re: начальная настройка win2008r2  [new]
Khod
Member

Откуда: Ukraine, Kirovograd
Сообщений: 6958
Или Сквид.
23 апр 12, 15:19    [12457375]     Ответить | Цитировать Сообщить модератору
Все форумы / Windows Ответить