Автор Тема: Windows 2012 R2 проблема с DNS ?  (Прочитано 13340 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Wargus1987

  • Начинающий
  • *
  • Сообщений: 29
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Калуга
Windows 2012 R2 проблема с DNS ?
« : 23 декабря 2016, 10:05:45 »
Добрый день. Ситуация следующая. Есть центральный офис в котором расположен домен контроллер (далее ДК). На ДК имеем AD, DHCP, DNS и установленный Kerio Winroute Firewall (подробнее во вложении Простая схема сети). Есть удаленный филиал который связан с центральным офисом по ipsec VPN. Задача ввести в домен компьютеры в удаленном офисе. Все казалось бы довольно просто, но..машины удаленного офиса не "резолвят" dns имя КД. Ping КД 192.168.1.104 проходит. Ping server.mydomain.local говорит о том что не удалось обнаружить узел. NSLOOKUP показывает dns request timed out 2ms. На DNS созданы прямая и обратная зоны, записи о КД типа A и PTR соответственно, добавлены. В чем может быть проблема ? Спасибо за любую помощь. Уже седьмой день мучаюсь с данной проблемой, уже руки опускаются.

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Windows 2012 R2 проблема с DNS ?
« Ответ #1 : 23 декабря 2016, 10:10:00 »
У вас Kerio Winroute на контроллере домена что ли стоит?  :o


Updated: 23 December 2016, 10:15:28

Свойства DNS-сервера, вкладка Interfaces, скриншот сделайте, что там?
« Последнее редактирование: 23 декабря 2016, 10:15:28 от Retif »

Оффлайн Wargus1987

  • Начинающий
  • *
  • Сообщений: 29
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Калуга
Windows 2012 R2 проблема с DNS ?
« Ответ #2 : 23 декабря 2016, 10:15:40 »
Retif, Да, да я знаю что это неправильно, но имеем то что есть. Железка была одна, бюджет минимальный.

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Windows 2012 R2 проблема с DNS ?
« Ответ #3 : 23 декабря 2016, 10:19:20 »
Ну так он может и блочит DNS-запросы снаружи. Разрешите входящие 53 UDP на него.

З.Ы. А сервер сам как мощный или так себе? Само железо? А то может на него какой-нибудь Hyper-V или Esxi поставить и две виртуалки, одна винроут, другая контроллер, нет?


Updated: 23 December 2016, 10:23:12

Ну и кстати, у вас в основной сети, на клиенте в правом нижнем углу указан в качестве DNS-сервера 192.168.1.104, это неправильно, нужно указать 192.168.0.1.

Оффлайн sirarthur

  • Старожил
  • ****
  • Сообщений: 577
  • Рейтинг: 5
  • Пол: Мужской
    • Просмотр профиля
Windows 2012 R2 проблема с DNS ?
« Ответ #4 : 23 декабря 2016, 10:58:18 »
хм..
А для чего у вас и керио и тп-линк - который вполне себе может держать айписек
http://www.tp-linkru.com/products/details/cat-4909_TL-ER6020.html
Цитировать
Поддержка нескольких протоколов VPN, включая IPsec/PPTP/L2TP, что предоставляет возможность более гибкой настройки VPN
Поддержка до 50 IPsec VPN-туннелей с помощью аппаратного VPN-обработчика

Оффлайн Wargus1987

  • Начинающий
  • *
  • Сообщений: 29
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Калуга
Windows 2012 R2 проблема с DNS ?
« Ответ #5 : 23 декабря 2016, 11:38:26 »
Ну так он может и блочит DNS-запросы снаружи. Разрешите входящие 53 UDP на него.

З.Ы. А сервер сам как мощный или так себе? Само железо? А то может на него какой-нибудь Hyper-V или Esxi поставить и две виртуалки, одна винроут, другая контроллер, нет?


Updated: 23 December 2016, 10:23:12

Ну и кстати, у вас в основной сети, на клиенте в правом нижнем углу указан в качестве DNS-сервера 192.168.1.104, это неправильно, нужно указать 192.168.0.1.


Да, посредственный из меня админ,  ну как говориться я только учусь. Похоже вы были правы. Порт UDP 53 действительно закрыт. Создал правило на kerio для открытия данного порта, вечером проверю. Пока что заранее огромное спасибо.


По поводу тех.характеристик сервера:
HP ProLiant DL180 Gen9
CPU - Xeon8C 2.1GHz(20Mb)
RAM - 1x16Gb
HDD - 4x300GB

Я думал о размещении kerio на виртуалке, но отсутствие времени (это моя вторая работа, а есть еще основная) и нытье начальника что завтра уже все должно работать и ниеб.. вынудили ограничиться вот таким корявым вариантом, внутри домена все работает и всем вроде бы хорошо. Но если в будущем появиться возможность безболезненно и быстро "перенести" все на виртуальную инфраструктуру так и сделаю.

Оффлайн Wargus1987

  • Начинающий
  • *
  • Сообщений: 29
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Калуга
Windows 2012 R2 проблема с DNS ?
« Ответ #6 : 23 декабря 2016, 11:42:25 »
хм..
А для чего у вас и керио и тп-линк - который вполне себе может держать айписек
http://www.tp-linkru.com/products/details/cat-4909_TL-ER6020.html
Цитировать
Поддержка нескольких протоколов VPN, включая IPsec/PPTP/L2TP, что предоставляет возможность более гибкой настройки VPN
Поддержка до 50 IPsec VPN-туннелей с помощью аппаратного VPN-обработчика



Так у меня между двумя TP-Link 6020 и понят ipsec vpn, а kerio в основном используется для учета трафика, ну и как фаерволл, vpn сервер на Kerio отключен и не используется.

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Windows 2012 R2 проблема с DNS ?
« Ответ #7 : 23 декабря 2016, 11:46:41 »
По поводу тех.характеристик сервера:
HP ProLiant DL180 Gen9
CPU - Xeon8C 2.1GHz(20Mb)
RAM - 1x16Gb
HDD - 4x300GB
Ну в принципе две виртуалки-то потянет без проблем, если там еще чего-нибудь на этот контроллер не наверчено тяжелого. Ну и для корректной миграции контроллера домена все равно потребуется дополнительно либо комп либо виртуалка вне этого сервера на время миграции.

Порт UDP 53 действительно закрыт. Создал правило на kerio для открытия данного порта
Ну можете еще табличку правил на kerio показать, так, чтобы проконтролировать.

З.Ы. Я когда-то в молодости статью писал, как правила на винроуте настраивать, посмотрите, может что понадобится: https://retifff.wordpress.com/2009/12/05/kwf_traffic_policy/

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Windows 2012 R2 проблема с DNS ?
« Ответ #8 : 23 декабря 2016, 12:09:28 »
Off-Topic:
Ну в принципе две виртуалки-то потянет без проблем
Ну он же про бюджет пишет, а за лицензии платит по хорошему надо.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн Wargus1987

  • Начинающий
  • *
  • Сообщений: 29
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Калуга
Windows 2012 R2 проблема с DNS ?
« Ответ #9 : 23 декабря 2016, 12:12:59 »

Порт UDP 53 действительно закрыт. Создал правило на kerio для открытия данного порта
Ну можете еще табличку правил на kerio показать, так, чтобы проконтролировать.

З.Ы. Я когда-то в молодости статью писал, как правила на винроуте настраивать, посмотрите, может что понадобится: https://retifff.wordpress.com/2009/12/05/kwf_traffic_policy/
[/quote]

Табличку правил пришлю, но думаю уже вечером, основная работа зовет как говориться. В любом случае я отпишусь решилась основная проблема или нет. А за ссылку на статью отдельное спасибо. Обязательно почитаю. Админ я начинающий, только постигаю азы  :D ,с настройкой Windows Server столкнулся впервые, ровно как и с Kerio, поэтому любая информация будет полезной.

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Windows 2012 R2 проблема с DNS ?
« Ответ #10 : 23 декабря 2016, 12:15:01 »
Triangle, ну это автора спрашивать надо, стоит у него такой вопрос или нет. Если на винроут есть актуальная лицензия, то его ж на линухе можно использовать, аплаинс. А если нет, то виндой больше, виндой меньше )))

Оффлайн Wargus1987

  • Начинающий
  • *
  • Сообщений: 29
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Калуга
Windows 2012 R2 проблема с DNS ?
« Ответ #11 : 23 декабря 2016, 12:48:13 »
Off-Topic:
Ну в принципе две виртуалки-то потянет без проблем
Ну он же про бюджет пишет, а за лицензии платит по хорошему надо.

На Windows Server 2012 R2 Standart есть лицензия, плюс если не ошибаюсь можно развернуть две копии на виртуальных машинах согласно данной лицензии. Kerio не лицензионный, только тихо  :D . А вообще буду трясти руководство, чтобы закладывали средства на модернизацию в том числе и на закупку лицензии на kerio (хотя дорогой он собака).

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Windows 2012 R2 проблема с DNS ?
« Ответ #12 : 23 декабря 2016, 13:02:06 »
На Windows Server 2012 R2 Standart есть лицензия, плюс если не ошибаюсь можно развернуть две копии на виртуальных машинах согласно данной лицензии.
Ну да, на 2012 такое лицензирование, на сервере поднимаете гипервизор (причем не важно на чем, на Windows или на вмваре или еще на чем), а на нем две виртуалки с виндой лицензируются одной этой лицензией.

Если гипервизор на винде, то на нем нельзя ставить другие роли винды, только гипервизор, чтобы две виртуалки использовать по лицензии.

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Windows 2012 R2 проблема с DNS ?
« Ответ #13 : 23 декабря 2016, 13:05:54 »
Если на винроут есть актуальная лицензия, то его ж на линухе можно использовать, аплаинс.
А... не учел.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн Wargus1987

  • Начинающий
  • *
  • Сообщений: 29
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Калуга
Windows 2012 R2 проблема с DNS ?
« Ответ #14 : 24 декабря 2016, 19:49:51 »
Добрый вечер. Извиняюсь, вчера не получилось отправить скриншоты политик трафика. Сегодня отправляю. Все не вместилось так что будет два скрина + скрин интерфейсов DNS (вы ранее спрашивали). Правила сегодня подправил согласно вашей статье, правда и здесь пришлось кое что добавить. Пока не прописал в правило Доступа к NAT 993 TCP порт не ходила входящая почта по. Но это мелочи. Возвращаясь к моей основной проблеме. После того как добавил правило на 53 UDP порт ничего не изменилось (если я его конечно правильно прописал ;)). По прежнему с удаленной машины КД не "пингуется" не "лукапиться" по FQDN имени. Пинг только по IP. Соответственно о вводе ее в домен не может быть и речи.

Порт UDP 53 действительно закрыт. Создал правило на kerio для открытия данного порта
Ну можете еще табличку правил на kerio показать, так, чтобы проконтролировать.

З.Ы. Я когда-то в молодости статью писал, как правила на винроуте настраивать, посмотрите, может что понадобится: https://retifff.wordpress.com/2009/12/05/kwf_traffic_policy/

Табличку правил пришлю, но думаю уже вечером, основная работа зовет как говориться. В любом случае я отпишусь решилась основная проблема или нет. А за ссылку на статью отдельное спасибо. Обязательно почитаю. Админ я начинающий, только постигаю азы  :D ,с настройкой Windows Server столкнулся впервые, ровно как и с Kerio, поэтому любая информация будет полезной.
[/quote]