Ping-Admin.Ru

Автор Тема: Подключение домена к интернету  (Прочитано 1810 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Corton

  • Начинающий
  • *
  • Сообщений: 14
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Москва
Подключение домена к интернету
« : 13 Декабря 2017, 15:21:48 »
Здравствуйте.  :)
Работаю админом, пока правда начинающим и с крупными сетями еще дело не имел. Но руководство поставило задачу, а старший админ в командировке. Я сказал, что справлюсь, но хочу быть уверенным что все рассчитал правильно.
Итак, есть сеть без выхода в инет, работает под управлением server 2003. Поднят домен, ну и соответственно DHCP, DNS. Нужно эту сеть подключить к интернету. Интернет через маршрутизатор(доступ к нему есть). Один порт там занят, на нем уже висит отдельная сетка. IP статический, идет на сервак и тот сам уже раздает инет по своей сети. По идее я могу второй сервак и сеть подключить таким же способом, но не хочу чтоб весь трафик шел через контроллер домена. То есть к маршрутизатору хочу подключить свич, а от свича уже ко всем компам и серваку этой подсети давать инет. Но при этом нужно, чтоб сохранился домен и соответствующие права доступа. Это пока не срочно(где то дней пять есть еще), но у меня будет 1 день, что бы все сделать. День я сам назначу, когда серваки перемещу в другое помещение. Но начальство сказало, чтоб все точно сразу работало.
Я примерно прикинул как буду делать: для примера сеть 192.168.0.0/24
Серваку даю статичный ip 192.168.0.1, маршрутизатору 192.168.0.2, шлюз у сервака 192.168.0.2, шлюз у маршрутизатора ip провайдера. DNS у сервака наверно тоже даю 192.168.0.2. Или нужно ip сервака? Или настраивать пересылку DNS? А куда? DNS провайдера?
С рабочими станциями: Ну адрес даст DHCP сервера, а вот как быть со шлюзом и DNS я в сомнении. По идее шлюз должен быть - ip маршутизатора. Правильно? А вот как быть с DNS?
Кто подскажет, все ли правильно или что то упустил? :pardon:

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 5841
  • Рейтинг: 38
  • Пол: Мужской
    • s.popov-skype
    • Просмотр профиля
  • Откуда: замкадыш
Подключение домена к интернету
« Ответ #1 : 13 Декабря 2017, 15:35:28 »
Не надо на контроллере домена ничего трогать... Надо просто настроить раздачу адресов с выдачей DNS и шлюза. Ну и на сервере пересылку, dns  можно провайдера, можно досыпать остальных но проверенных.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 8298
  • Рейтинг: 83
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл-Москва
Подключение домена к интернету
« Ответ #2 : 13 Декабря 2017, 15:49:40 »
Я ничего не понял. Кто из них контроллер, кто сервак, и т.п. Нарисуйте схему.


Updated: 13 December 2017, 15:50:58

С рабочими станциями: Ну адрес даст DHCP сервера, а вот как быть со шлюзом и DNS я в сомнении. По идее шлюз должен быть - ip маршутизатора. Правильно? А вот как быть с DNS?
Клиенту в качестве шлюза должен быть выдан адрес шлюза, в качестве DNS-сервера - адрес контроллера домена. На контроллере домена настроить пересылку на публичные DNS-серверы.

Оффлайн Corton

  • Начинающий
  • *
  • Сообщений: 14
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Москва
Подключение домена к интернету
« Ответ #3 : 13 Декабря 2017, 15:53:22 »
Цитата
Надо просто настроить раздачу адресов с выдачей DNS и шлюза
Спасибо. Ну это сделаю, но шлюз то какой выдавать, Lan маршрутизатора? А DNS ?  ???

Оффлайн Corton

  • Начинающий
  • *
  • Сообщений: 14
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Москва
Подключение домена к интернету
« Ответ #4 : 13 Декабря 2017, 16:07:34 »
Цитата
Я ничего не понял. Кто из них контроллер, кто сервак, и т.п. Нарисуйте схему.

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 8298
  • Рейтинг: 83
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл-Москва
Подключение домена к интернету
« Ответ #5 : 13 Декабря 2017, 16:28:57 »
Ну и все нормально, на клиенте должно быть:
ip шлюза - 192.168.0.2
ip DNS-сервера - 192.168.0.1

P.S. Бест практикс считается шлюзу давать адрес либо 1, либо 254. В вашем случае 1 уже занято, так что лучше назначить 254, пока не поздно. Если сетка 24-я, конечно.


Updated: 13 December 2017, 16:30:59

ip шлюза - 192.168.0.2
ip DNS-сервера - 192.168.0.1
На контроллере домена (который 192.168.0.1), тоже так же, плюс пересылка.

Оффлайн Corton

  • Начинающий
  • *
  • Сообщений: 14
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Москва
Подключение домена к интернету
« Ответ #6 : 13 Декабря 2017, 16:57:57 »
Спасибо, буду пробовать.
Цитата
Если сетка 24-я, конечно
Пока да...в планах поделить на три 26-х.
Еще такое дело... если контроллер домена раздает инет, а сам подключен к маршрутизатору, как это в плане безопасности? Если правильно настроить маршрутизатор? Вторая сеть у меня именно так подключена, но я в раздумьях, стоит ли делать так же как я эту собираюсь подключить? Начальство не сильно отдупляет ни в плане безопасности ни в принципах сети.

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 8298
  • Рейтинг: 83
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл-Москва
Подключение домена к интернету
« Ответ #7 : 13 Декабря 2017, 17:33:13 »
в планах поделить на три 26-х.
А три 24-х чем не устраивают?


Updated: 13 December 2017, 17:34:22

если контроллер домена раздает инет
Это уже плохо. Не должен он раздавать интернет, это должен делать отдельный сервер или железка.

Оффлайн Corton

  • Начинающий
  • *
  • Сообщений: 14
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Москва
Подключение домена к интернету
« Ответ #8 : 13 Декабря 2017, 18:27:40 »
Я думаю так просто будет проще...хотя...там видно будет.
В общем еще спасибо, буду пробовать.

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 8298
  • Рейтинг: 83
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл-Москва
Подключение домена к интернету
« Ответ #9 : 13 Декабря 2017, 20:35:31 »
Я думаю так просто будет проще
Так будет хуже, для контроллера домена и с точки зрения безопасности и с точки зрения стабильной работы самого контроллера.


Updated: 13 December 2017, 20:36:42

Почему маршрутизатором нельзя интернет раздавать, что это за железка, наверняка же это умеет?

Оффлайн Corton

  • Начинающий
  • *
  • Сообщений: 14
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Москва
Подключение домена к интернету
« Ответ #10 : 14 Декабря 2017, 14:10:44 »
Нет, я не собираюсь раздавать инет через контроллер домена.  :)  Я наоборот и хочу чтоб все шло через роутер, плюс работал работал домен. Домен локальный. Веб-сервер пока только планируется.
Проще, я имел ввиду разделение сети...одну 24-ю на несколько, но под одним КД.

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 8298
  • Рейтинг: 83
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл-Москва
Подключение домена к интернету
« Ответ #11 : 14 Декабря 2017, 14:33:12 »
одну 24-ю на несколько, но под одним КД.
чтоб все шло через роутер, плюс работал работал домен
Вы путаете разные понятия, сетевую маршрутизацию и совместную работу компьютеров под управлением прикладного ПО - Active Directory. Для компьютеров в домене совершенно все равно, как вы разобьете свою сеть, им нужен прозрачный доступ к контроллеру домена и прочим ресурсам.

я имел ввиду разделение сети...одну 24-ю на несколько
А зачем? Сколько у вас компьютеров?

Оффлайн Corton

  • Начинающий
  • *
  • Сообщений: 14
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Москва
Подключение домена к интернету
« Ответ #12 : 14 Декабря 2017, 16:58:29 »
Цитата
Для компьютеров в домене совершенно все равно, как вы разобьете свою сеть, им нужен прозрачный доступ к контроллеру домена и прочим ресурсам.
Согласен, но...такие требования контролирующий структуры. Мне конечно проще все компы запихнуть в один домен, под управлением одного контроллера (ну еще резервный), но нужно все разделить.
Что бы каждое направление имело отдельную подсеть со своими определенными правами. В своей подсети одни права, в соседней другие. И между собой еще тоже.
Техзадания часто корректируются...в общем ...опа.

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 8298
  • Рейтинг: 83
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл-Москва
Подключение домена к интернету
« Ответ #13 : 14 Декабря 2017, 17:02:55 »
Что бы каждое направление имело отдельную подсеть со своими определенными правами. В своей подсети одни права, в соседней другие.
Давайте вы напишите, какие именно вам выставили требования, а мы подскажем, как это лучше реализовать? А то мешаете в одну кучу подсети, права, блин какое отношение одно к другому имеет, мне совершенно непонятно.

Оффлайн Corton

  • Начинающий
  • *
  • Сообщений: 14
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Москва
Подключение домена к интернету
« Ответ #14 : 19 Января 2018, 13:09:21 »
Всем здравствуйте. ))) Я тут отсутствовал некоторое время, нарисовались другие задачи. По поводу моего вопроса...в общем все изменилось, куплен новый сервак и решено модернизировать сеть. Не сразу, конечно. В общем почти полная замена оборудования. В общем я на новом серваке установил 2016 сервер, поднял домен, DHCP, DNS, выход в инет через роутер, то есть у сервака один сетевой интерфейс. Компы в сети от сервака получают ip, шлюз и DNS. То есть логинятся в домене, интернет получают. Сделал как вы мне обьяснили. В общем все так же как и на рисунке, что я выкладывал выше. Но возник небольшой затык...вернее два затыка: первый это ни сервака ни компов не видно в сетевом окружении. Хотя все пингуются. И второй...мне нужно что бы сеть как бы была поделена на две части, то есть одна группа получала адреса к примеру  с 5 по 120, а другая с 130 до 250. Я на серваке в настройках DHCP я сделал две области, задал в одной пул адресов одного диапазона, во второй другого диапазона. Маска везде 255.255.255.128. Сейчас компы получают ip из первой области. Можно ли сделать так что бы определенные компы получали адрес из первого пула, вторые из другого?

ЗЫ. Сервак пока не в основной сети...пока в тестовом режиме с несколькими компами без пользователей, так что неделю-две могу играться с настройками, потом переустановлю винду.

ЗЗЫ: Не кидайтесь сильно тапками, я еще не все знаю, но пытаюсь. Старший админ ушел на повышение в вышестоящую организацию, а я один все разгребаю.

ЗЗЗЫ: Вопрос по линуху можно тут задать или в соответствующую ветку идти? (вопрос общего характера).