Форум системных администраторов

IT => Windows => Тема начата: Wargus1987 от 23 декабря 2016, 10:05:45

Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Wargus1987 от 23 декабря 2016, 10:05:45
Добрый день. Ситуация следующая. Есть центральный офис в котором расположен домен контроллер (далее ДК). На ДК имеем AD, DHCP, DNS и установленный Kerio Winroute Firewall (подробнее во вложении Простая схема сети). Есть удаленный филиал который связан с центральным офисом по ipsec VPN. Задача ввести в домен компьютеры в удаленном офисе. Все казалось бы довольно просто, но..машины удаленного офиса не "резолвят" dns имя КД. Ping КД 192.168.1.104 проходит. Ping server.mydomain.local говорит о том что не удалось обнаружить узел. NSLOOKUP показывает dns request timed out 2ms. На DNS созданы прямая и обратная зоны, записи о КД типа A и PTR соответственно, добавлены. В чем может быть проблема ? Спасибо за любую помощь. Уже седьмой день мучаюсь с данной проблемой, уже руки опускаются.
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Retif от 23 декабря 2016, 10:10:00
У вас Kerio Winroute на контроллере домена что ли стоит?  :o


Updated: 23 December 2016, 10:15:28

Свойства DNS-сервера, вкладка Interfaces, скриншот сделайте, что там?
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Wargus1987 от 23 декабря 2016, 10:15:40
Retif, Да, да я знаю что это неправильно, но имеем то что есть. Железка была одна, бюджет минимальный.
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Retif от 23 декабря 2016, 10:19:20
Ну так он может и блочит DNS-запросы снаружи. Разрешите входящие 53 UDP на него.

З.Ы. А сервер сам как мощный или так себе? Само железо? А то может на него какой-нибудь Hyper-V или Esxi поставить и две виртуалки, одна винроут, другая контроллер, нет?


Updated: 23 December 2016, 10:23:12

Ну и кстати, у вас в основной сети, на клиенте в правом нижнем углу указан в качестве DNS-сервера 192.168.1.104, это неправильно, нужно указать 192.168.0.1.
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: sirarthur от 23 декабря 2016, 10:58:18
хм..
А для чего у вас и керио и тп-линк - который вполне себе может держать айписек
http://www.tp-linkru.com/products/details/cat-4909_TL-ER6020.html
Цитировать
Поддержка нескольких протоколов VPN, включая IPsec/PPTP/L2TP, что предоставляет возможность более гибкой настройки VPN
Поддержка до 50 IPsec VPN-туннелей с помощью аппаратного VPN-обработчика
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Wargus1987 от 23 декабря 2016, 11:38:26
Ну так он может и блочит DNS-запросы снаружи. Разрешите входящие 53 UDP на него.

З.Ы. А сервер сам как мощный или так себе? Само железо? А то может на него какой-нибудь Hyper-V или Esxi поставить и две виртуалки, одна винроут, другая контроллер, нет?


Updated: 23 December 2016, 10:23:12

Ну и кстати, у вас в основной сети, на клиенте в правом нижнем углу указан в качестве DNS-сервера 192.168.1.104, это неправильно, нужно указать 192.168.0.1.


Да, посредственный из меня админ,  ну как говориться я только учусь. Похоже вы были правы. Порт UDP 53 действительно закрыт. Создал правило на kerio для открытия данного порта, вечером проверю. Пока что заранее огромное спасибо.


По поводу тех.характеристик сервера:
HP ProLiant DL180 Gen9
CPU - Xeon8C 2.1GHz(20Mb)
RAM - 1x16Gb
HDD - 4x300GB

Я думал о размещении kerio на виртуалке, но отсутствие времени (это моя вторая работа, а есть еще основная) и нытье начальника что завтра уже все должно работать и ниеб.. вынудили ограничиться вот таким корявым вариантом, внутри домена все работает и всем вроде бы хорошо. Но если в будущем появиться возможность безболезненно и быстро "перенести" все на виртуальную инфраструктуру так и сделаю.
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Wargus1987 от 23 декабря 2016, 11:42:25
хм..
А для чего у вас и керио и тп-линк - который вполне себе может держать айписек
[url]http://www.tp-linkru.com/products/details/cat-4909_TL-ER6020.html[/url]
Цитировать
Поддержка нескольких протоколов VPN, включая IPsec/PPTP/L2TP, что предоставляет возможность более гибкой настройки VPN
Поддержка до 50 IPsec VPN-туннелей с помощью аппаратного VPN-обработчика



Так у меня между двумя TP-Link 6020 и понят ipsec vpn, а kerio в основном используется для учета трафика, ну и как фаерволл, vpn сервер на Kerio отключен и не используется.
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Retif от 23 декабря 2016, 11:46:41
По поводу тех.характеристик сервера:
HP ProLiant DL180 Gen9
CPU - Xeon8C 2.1GHz(20Mb)
RAM - 1x16Gb
HDD - 4x300GB
Ну в принципе две виртуалки-то потянет без проблем, если там еще чего-нибудь на этот контроллер не наверчено тяжелого. Ну и для корректной миграции контроллера домена все равно потребуется дополнительно либо комп либо виртуалка вне этого сервера на время миграции.

Порт UDP 53 действительно закрыт. Создал правило на kerio для открытия данного порта
Ну можете еще табличку правил на kerio показать, так, чтобы проконтролировать.

З.Ы. Я когда-то в молодости статью писал, как правила на винроуте настраивать, посмотрите, может что понадобится: https://retifff.wordpress.com/2009/12/05/kwf_traffic_policy/
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Triangle от 23 декабря 2016, 12:09:28
Off-Topic:
Ну в принципе две виртуалки-то потянет без проблем
Ну он же про бюджет пишет, а за лицензии платит по хорошему надо.
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Wargus1987 от 23 декабря 2016, 12:12:59

Порт UDP 53 действительно закрыт. Создал правило на kerio для открытия данного порта
Ну можете еще табличку правил на kerio показать, так, чтобы проконтролировать.

З.Ы. Я когда-то в молодости статью писал, как правила на винроуте настраивать, посмотрите, может что понадобится: https://retifff.wordpress.com/2009/12/05/kwf_traffic_policy/
[/quote]

Табличку правил пришлю, но думаю уже вечером, основная работа зовет как говориться. В любом случае я отпишусь решилась основная проблема или нет. А за ссылку на статью отдельное спасибо. Обязательно почитаю. Админ я начинающий, только постигаю азы  :D ,с настройкой Windows Server столкнулся впервые, ровно как и с Kerio, поэтому любая информация будет полезной.
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Retif от 23 декабря 2016, 12:15:01
Triangle, ну это автора спрашивать надо, стоит у него такой вопрос или нет. Если на винроут есть актуальная лицензия, то его ж на линухе можно использовать, аплаинс. А если нет, то виндой больше, виндой меньше )))
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Wargus1987 от 23 декабря 2016, 12:48:13
Off-Topic:
Ну в принципе две виртуалки-то потянет без проблем
Ну он же про бюджет пишет, а за лицензии платит по хорошему надо.

На Windows Server 2012 R2 Standart есть лицензия, плюс если не ошибаюсь можно развернуть две копии на виртуальных машинах согласно данной лицензии. Kerio не лицензионный, только тихо  :D . А вообще буду трясти руководство, чтобы закладывали средства на модернизацию в том числе и на закупку лицензии на kerio (хотя дорогой он собака).
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Retif от 23 декабря 2016, 13:02:06
На Windows Server 2012 R2 Standart есть лицензия, плюс если не ошибаюсь можно развернуть две копии на виртуальных машинах согласно данной лицензии.
Ну да, на 2012 такое лицензирование, на сервере поднимаете гипервизор (причем не важно на чем, на Windows или на вмваре или еще на чем), а на нем две виртуалки с виндой лицензируются одной этой лицензией.

Если гипервизор на винде, то на нем нельзя ставить другие роли винды, только гипервизор, чтобы две виртуалки использовать по лицензии.
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Triangle от 23 декабря 2016, 13:05:54
Если на винроут есть актуальная лицензия, то его ж на линухе можно использовать, аплаинс.
А... не учел.
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Wargus1987 от 24 декабря 2016, 19:49:51
Добрый вечер. Извиняюсь, вчера не получилось отправить скриншоты политик трафика. Сегодня отправляю. Все не вместилось так что будет два скрина + скрин интерфейсов DNS (вы ранее спрашивали). Правила сегодня подправил согласно вашей статье, правда и здесь пришлось кое что добавить. Пока не прописал в правило Доступа к NAT 993 TCP порт не ходила входящая почта по. Но это мелочи. Возвращаясь к моей основной проблеме. После того как добавил правило на 53 UDP порт ничего не изменилось (если я его конечно правильно прописал ;)). По прежнему с удаленной машины КД не "пингуется" не "лукапиться" по FQDN имени. Пинг только по IP. Соответственно о вводе ее в домен не может быть и речи.

Порт UDP 53 действительно закрыт. Создал правило на kerio для открытия данного порта
Ну можете еще табличку правил на kerio показать, так, чтобы проконтролировать.

З.Ы. Я когда-то в молодости статью писал, как правила на винроуте настраивать, посмотрите, может что понадобится: https://retifff.wordpress.com/2009/12/05/kwf_traffic_policy/

Табличку правил пришлю, но думаю уже вечером, основная работа зовет как говориться. В любом случае я отпишусь решилась основная проблема или нет. А за ссылку на статью отдельное спасибо. Обязательно почитаю. Админ я начинающий, только постигаю азы  :D ,с настройкой Windows Server столкнулся впервые, ровно как и с Kerio, поэтому любая информация будет полезной.
[/quote]
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Wargus1987 от 24 декабря 2016, 20:15:43
Результаты dcdiag /test:dns ниже. Тесты на простой и рекурсивный запросы оба Отказ  :( (см. вложение).

Microsoft Windows [Version 6.3.9600]
(c) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены.

C:\Users\Администратор>dcdiag /test:dns

Диагностика сервера каталогов

Выполнение начальной настройки:
   Выполняется попытка поиска основного сервера...
   Основной сервер = FRLDC
   * Определен лес AD.
   Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

   Сервер проверки: ObninskOffice\FRLDC
      Запуск проверки: Connectivity
         ......................... FRLDC - пройдена проверка Connectivity

Выполнение основных проверок

   Сервер проверки: ObninskOffice\FRLDC

      Запуск проверки: DNS

         Проверки DNS выполняются без зависания. Подождите несколько минут...
         ......................... FRLDC - пройдена проверка DNS

   Выполнение проверок разделов на: ForestDnsZones

   Выполнение проверок разделов на: DomainDnsZones

   Выполнение проверок разделов на: Schema

   Выполнение проверок разделов на: Configuration

   Выполнение проверок разделов на: belkvartal

   Выполнение проверок предприятия на: belkvartal.local
      Запуск проверки: DNS
         Результаты проверки контроллеров домена:

            Контроллер домена: FRLDC.belkvartal.local
            Домен: belkvartal.local


               TEST: Dynamic update (Dyn)
                  Warning: Failed to delete the test record dcdiag-test-record i
n zone belkvartal.local

         Отчет о результатах проверки DNS-серверов, используемых приведенными
         выше контроллерами домена:

            DNS-сервер: 2001:500:12::d0d (g.root-servers.net.)
               1 - проверка на данном DNS-сервере не пройдена
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed on the DNS server 2001:500:12::d0d

            DNS-сервер: 2001:500:1::53 (h.root-servers.net.)
               1 - проверка на данном DNS-сервере не пройдена
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed on the DNS server 2001:500:1::53

            DNS-сервер: 2001:500:2::c (c.root-servers.net.)
               1 - проверка на данном DNS-сервере не пройдена
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed on the DNS server 2001:500:2::c

            DNS-сервер: 2001:500:2d::d (d.root-servers.net.)
               1 - проверка на данном DNS-сервере не пройдена
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed on the DNS server 2001:500:2d::d

            DNS-сервер: 2001:500:2f::f (f.root-servers.net.)
               1 - проверка на данном DNS-сервере не пройдена
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed on the DNS server 2001:500:2f::f

            DNS-сервер: 2001:500:84::b (b.root-servers.net.)
               1 - проверка на данном DNS-сервере не пройдена
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed on the DNS server 2001:500:84::b

            DNS-сервер: 2001:500:9f::42 (l.root-servers.net.)
               1 - проверка на данном DNS-сервере не пройдена
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed on the DNS server 2001:500:9f::42

            DNS-сервер: 2001:500:a8::e (e.root-servers.net.)
               1 - проверка на данном DNS-сервере не пройдена
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed on the DNS server 2001:500:a8::e

            DNS-сервер: 2001:503:ba3e::2:30 (a.root-servers.net.)
               1 - проверка на данном DNS-сервере не пройдена
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed on the DNS server 2001:503:ba3e::2:30

            DNS-сервер: 2001:503:c27::2:30 (j.root-servers.net.)
               1 - проверка на данном DNS-сервере не пройдена
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed on the DNS server 2001:503:c27::2:30

            DNS-сервер: 2001:7fd::1 (k.root-servers.net.)
               1 - проверка на данном DNS-сервере не пройдена
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed on the DNS server 2001:7fd::1

            DNS-сервер: 2001:7fe::53 (i.root-servers.net.)
               1 - проверка на данном DNS-сервере не пройдена
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed on the DNS server 2001:7fe::53

            DNS-сервер: 2001:dc3::35 (m.root-servers.net.)
               1 - проверка на данном DNS-сервере не пройдена
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed on the DNS server 2001:dc3::35

               FRLDC                        PASS PASS PASS PASS WARN PASS n/a
         ......................... belkvartal.local - пройдена проверка DNS

C:\Users\Администратор>
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Wargus1987 от 24 декабря 2016, 20:56:46
Так же выкладываю скриншоты прямой и обратной зоны в DNS (см.вложения).Так же во вложениях представлены результаты пинг-лукапа с машины в филиале (той самой которую в домен удаленно нужно загнать), результаты пинг-лукапа с сервера КД в центральном офисе и результаты тех же команд с машины в локальной сети центрального офиса.





Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Retif от 24 декабря 2016, 22:36:24
trafpol.jpg
Вот здесь, во первых, сервис можно не UDP 53, а DNS поставить, там должен быть такой. Во-вторых, источник "Интернет", покажите в Интерфейсах, что это.
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: sirarthur от 24 декабря 2016, 23:55:24
эм,а не проще прописать маршгруты из сети 192.168.10 в сеть 192.168.0.0
и указать клиентам из первой сети днс из нулевой сети?
ну и керя тут какбы совсем не в кассу - лишний гимор только.
учет трафика - ну разве что красивые таблицы
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Retif от 25 декабря 2016, 10:58:07
sirarthur, ну насколько я понял, он еще и интернет раздает.
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: sirarthur от 25 декабря 2016, 11:35:19
результаты пинг-лукапа
а что за днс сервер 192,168,2,1 ?
кто это и где он находится?
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Wargus1987 от 28 декабря 2016, 09:54:31
результаты пинг-лукапа
а что за днс сервер 192,168,2,1 ?
кто это и где он находится?

192.168.2.1 это роутер который установлен в филиале (см.схему сети на первой странице). Этот роутер соединен с другим роутером (192.168.1.100) в центральном офисе по vpn.
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Wargus1987 от 28 декабря 2016, 10:00:55
эм,а не проще прописать маршгруты из сети 192.168.10 в сеть 192.168.0.0
и указать клиентам из первой сети днс из нулевой сети?
ну и керя тут какбы совсем не в кассу - лишний гимор только.
учет трафика - ну разве что красивые таблицы

sirarthur, да, настроить маршрутизацию для меня проблемой не являлось, kerio был выбран только для ведения интернет статистики пользователей, ну а раз он и маршрутизировать умеет то ему была отведена и эта роль. Повторюсь это мой первый опыт администрирования, поэтому еще на этапе монтажа оборудования в стойку было прочитано много форумов, вариант с kerio показался тогда наиболее приемлемым. Собственно на нем и остановился. Сейчас уже что то менять на живую не хочется.
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Wargus1987 от 28 декабря 2016, 10:12:56
trafpol.jpg
Вот здесь, во первых, сервис можно не UDP 53, а DNS поставить, там должен быть такой. Во-вторых, источник "Интернет", покажите в Интерфейсах, что это.

Скриншот интернет интерфейса kerio во вложении. Кстати пришлось пока вернуть правила трафик так как они были, ибо получил по шапке у меня центральный офис пол дня сидел без sip телефонии. Открытие портов UDP 5060 и прочие мои потуги ни к чему не привели. Договорились что экспериментами я буду заниматься на новогодних праздниках. :-[
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: shs от 28 декабря 2016, 13:56:14
DNS-сервер: 2001:500:12::d0d (g.root-servers.net.)               1 - проверка на данном DNS-сервере не пройдена               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed on the DNS server 2001:500:12::d0d
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Retif от 28 декабря 2016, 13:59:44
Ха, а я и не обратил внимания. Дайте ipconfig /all с контроллера домена.
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Wargus1987 от 28 декабря 2016, 14:11:17
Ха, а я и не обратил внимания. Дайте ipconfig /all с контроллера домена.

Пожалуйста. Результаты ipconfig / all во вложении.
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: shs от 28 декабря 2016, 14:18:47
Для Multihomed DC нужно выполнить https://support.microsoft.com/en-us/kb/272294

у вас, как минимум, имя DC разрешается в два разных IP (см ваш же скриншот зоны DNS)
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Wargus1987 от 28 декабря 2016, 14:30:00
Для Multihomed DC нужно выполнить https://support.microsoft.com/en-us/kb/272294

у вас, как минимум, имя DC разрешается в два разных IP (см ваш же скриншот зоны DNS)

shs, спасибо за предоставленное решение. Попробую, но уже числа третьего января, когда в офисе народа не будет  :) Потом отпишусь решило это проблему или нет.
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Wargus1987 от 06 января 2017, 20:56:13
shs,
Для Multihomed DC нужно выполнить https://support.microsoft.com/en-us/kb/272294

у вас, как минимум, имя DC разрешается в два разных IP (см ваш же скриншот зоны DNS)

shs, добрый вечер. Настроил Multihomed DC согласно инструкции по ссылке. Прописал dns 192.168.0.1 в настройках локальных компов теперь все работает правильно, так как должно, но.. основная моя проблема так и не решилась. Пинги, нслукапы и пр. показывают тоже самое, правда тут есть момент. Изменились правила в Kerio согласно которые были прописаны согласно инструкции Retif.
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Wargus1987 от 06 января 2017, 21:00:11
Так же выкладываю скриншоты прямой и обратной зоны в DNS (см.вложения).Так же во вложениях представлены результаты пинг-лукапа с машины в филиале (той самой которую в домен удаленно нужно загнать), результаты пинг-лукапа с сервера КД в центральном офисе и результаты тех же команд с машины в локальной сети центрального офиса.

Retif, добрый вечер. Все поменял, поставил DNS вместо 53 порта, сделал настройку Multihomed DC согласно инструкции shs. В принципе ничего не изменилось...Кроме того что теперь не пингуется роутер в удаленном офисе 192.168.2.1 и из удаленного офиса не пингуется DC (хотя раньше пинговался). В общем все грустно  :-[
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Wargus1987 от 06 января 2017, 21:28:40
Пардон. С пингами все хорошо. ipsec vpn в статусе disable в центральном офисе почему то стоял. Теперь все хорошо. Но основная проблема так и осталась. Скриншоты делать смысла нет. Всё тоже самое что и было. Есть у кого нибудь еще идеи как исправить ?
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Wargus1987 от 06 января 2017, 21:43:17
Только что обнаружил кое какие изменения  :( после настройки по инструкции, nslookup запущенный на DC перестал резолвить имя. Пытается найти DC по ip 192.168.1.104, но пингует имя домена belkvartal.local как 192.168.0.1 (тут все правильно). Результаты nslookup и ping с DC во вложении.
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Retif от 06 января 2017, 23:45:16
Wargus1987, я вам еще на первой странице говорил, что 104-й адрес у вас не должен указываться клиентам в качестве DNS-сервера.


Updated: 06 January 2017, 23:50:53

Пытается найти DC по ip 192.168.1.104
сделал настройку Multihomed DC согласно инструкции shs
Что-то не похоже:
Для Multihomed DC нужно выполнить https://support.microsoft.com/en-us/kb/272294

у вас, как минимум, имя DC разрешается в два разных IP (см ваш же скриншот зоны DNS)

Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Wargus1987 от 07 января 2017, 00:01:49
Retif, да, все сделано по инструкции, от пункта до пункта, на локальных машинах указан 0.1 там все работает хорошо. Единственное... я сейчас еще раз посмотрел у меня dns 1.104 на внешнем (интернет интерфейсе) прописан в качестве dns.
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Retif от 07 января 2017, 00:13:42
еще раз посмотрел у меня dns 1.104 на внешнем (интернет интерфейсе) прописан в качестве dns.

Убирайте.

Ну и вопрос, а клиенты из филиала у вас пингуют 192.168.0.1? По уму, его ставить бы единственным DNS-сервером и для филиала тоже, а 53-й порт будет снаружи на внутренний интерфейс пробрасываться и отвечать клиентам DNS-сервер будет с интерфейса 192.168.0.1.
И тогда, соответсвенно, можно будет здесь:

(http://sysadminz.ru/index.php?action=dlattach;topic=13226.0;attach=13121;image)
только 192.168.0.1 оставить.


Updated: 07 January 2017, 00:16:13

Ну и ipconfig на DC тоже, основным должен быть 192.168.0.1, в привязках вы его наверх подняли (5-й пункт по ссылке shs)? DNS должен быть только на этом интерфейсе указан, сам на себя.
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Wargus1987 от 07 января 2017, 00:24:28
Retif, вместо 1.104 поставил 0.1 в качестве dns на внешней интерфейсе. Все остальное сделано уже давно, правила на службу dns в kerio прописано, в dns интерфейсах оставлен только 192.168.0.1 (это сделано еще на этапе настройки multihomed dc по той самой инструкции microsoft).

Отвечаю на вопрос по поводу пинга из филиала. Нет. Не пинговался адрес 0.1 до настройки multihomed dc не пингуется и сейчас. Пингуется только 192.168.1.104.
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Wargus1987 от 07 января 2017, 00:25:47
Забыл написать. С локальных машин 192.168.0.1 пингуется. Вообще в центральном офисе все хорошо.
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Retif от 07 января 2017, 00:26:15
вместо 1.104 поставил 0.1 в качестве dns на внешней интерфейсе.
:facepalm2:
Ну внешнем интерфейсе DNS-ов у вас не должно быть указано, совсем. Должны быть указаны только на внутреннем.


Updated: 07 January 2017, 00:29:02

Отвечаю на вопрос по поводу пинга из филиала. Нет. Не пинговался адрес 0.1 до настройки multihomed dc не пингуется и сейчас. Пингуется только 192.168.1.104.
Значит kerio его не пускает. И DNS не пускает аналогично, хотя правила я вижу. Если попробовтаь в правиле вместо Firewall, внутренний интерфейс поставить?

Вообще надо бы в керио помониторить, что он там режет, это можно, но я уже не помню точно, как именно.
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: sirarthur от 07 января 2017, 00:37:32
Пинги, нслукапы и пр. показывают тоже самое, правда тут есть момент. Изменились правила в Kerio согласно которые были прописаны согласно инструкции Retif.
Интрига?!
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Retif от 07 января 2017, 00:37:43
А-а, нет, стоп. Он же, это адрес, еще и роутиться должен, из сети 192.168.2.0.
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Wargus1987 от 07 января 2017, 00:38:17
Retif, на внешнем убрал dns вообще. В правиле DNS в Kerio заменил Firewall на Локальные интерфейсы,  по прежнему пинга нет.
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Retif от 07 января 2017, 00:38:55
Интрига?!
Да в общем-то никакой, все тоже самое, просто более узкими правилами прописано.
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Wargus1987 от 07 января 2017, 00:58:42
Retif,
А-а, нет, стоп. Он же, это адрес, еще и роутиться должен, из сети 192.168.2.0.

Так.. я немного запутался  ??? Так. Т.е на двух роутерах между которыми поднят vpn нужно прописать дополнительно два статических маршрута ?
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Retif от 07 января 2017, 11:09:51
по прежнему пинга нет.
Это не влияет на пинг никак, это про этот момент:
nslookup запущенный на DC перестал резолвить имя. Пытается найти DC по ip 192.168.1.104, но пингует имя домена belkvartal.local как 192.168.0.1 (тут все правильно).
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Wargus1987 от 07 января 2017, 12:27:36
по прежнему пинга нет.
Это не влияет на пинг никак, это про этот момент:
nslookup запущенный на DC перестал резолвить имя. Пытается найти DC по ip 192.168.1.104, но пингует имя домена belkvartal.local как 192.168.0.1 (тут все правильно).


Тут все исправилось после того как убрал на внешнем интерфейсе прописанный днс 1.104. Теперь nslookup и ping запущеные с dc показывают 0.1 ip. Тут все хорошо. Нет только пинга 0.1 ip из подсети 2.1 и обратно из подсети 0.1 до 2.1. Точнее пингуются из обоих подсетей только роутеры все что за ними нет.
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: sirarthur от 07 января 2017, 14:24:06
Точнее пингуются из обоих подсетей только роутеры все что за ними нет.
роутеры про маршртуты в удаленную сеть знают?
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Wargus1987 от 07 января 2017, 16:32:15
sirarthur,
Точнее пингуются из обоих подсетей только роутеры все что за ними нет.
роутеры про маршртуты в удаленную сеть знают?

Да, это логично  :D действительно, маршрутов в подсеть 192.168.0.0 и 192.168.2.0 на роутерах нет. Я как то и не смотрел на маршруты, упёрся в то что 192.168.1.104 пинговался без проблем а про маршрутизацию между сетями как то и не подумал. Теперь после настройки multihomed dc, про 192.168.1.104 можно забыть. Остался последний шаг, прописать маршруты. В правилах маршрутизации не силен но все же. sirarthur, посмотри пожалуйста правильно ли прописан маршрут в подсеть 0.1 на роутере в центральном офисе ? (см.скрин route), в поле next hope я же указываю локальный адрес роутера, верно ? Соответственно на роутере в филиале так же надо прописать в поле destination 192.168.2.0 и в next hope 192.168.2.1 ? Для того чтобы незапутататься какой роутер какой выкладываю так же общую схему сети с первой страницы (см.скрин Простая схема сети).
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Wargus1987 от 07 января 2017, 20:54:45
Всем добрый вечер. Только добрался до офиса (он же филиал на схеме). На данный момент прописал статический маршрут на роутере в центральном офисе (не знаю правильно или нет), на роутере в филиале ничего не прописывал ибо маршрут был добавлен при настройке vpn автоматом. На скриншотах две route table с роутера в центральном офисе и с роутера в филиале. Подскажите все ли правильно ? Ибо пингов как небыло так и нет. Из подсети 192.168.2.0 не вижу подсеть 192.168.0.0 (ping не идет).
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: sirarthur от 09 января 2017, 11:04:24
Подскажите все ли правильно ? Ибо пингов как небыло так и нет.
tracert покажите из одной сети в другую - только бога ради - не надо картинок   :dash:
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Wargus1987 от 09 января 2017, 19:54:30
Подскажите все ли правильно ? Ибо пингов как небыло так и нет.
tracert покажите из одной сети в другую - только бога ради - не надо картинок   :dash:

Вот результат tracert с компьютера в филиале до подсети 0.1 в центральном офисе:

Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

C:\Users\Admin>tracert 192.168.0.1

Трассировка маршрута к 192.168.0.1 с максимальным числом прыжков 30

  1    <1 мс    <1 мс    <1 мс  192.168.2.1
  2    <1 мс    <1 мс    <1 мс  5.23.99.65
  3     1 ms     1 ms     1 ms  Core.Obninsk.MAXnet.ru [195.112.96.62]
  4     *        *        *     Превышен интервал ожидания для запроса.
  5     *        *        *     Превышен интервал ожидания для запроса.
  6     *        *        *     Превышен интервал ожидания для запроса.
  7     *        *        *     Превышен интервал ожидания для запроса.

где 192.168.2.1 это адрес роутера в филиале, 5.23.99.65 шлюз провайдера Maxnet.
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: sirarthur от 09 января 2017, 23:45:26
у вас роутеры натят пакеты для туннеля - потому и не пингуется  :pardon:
как акцесс листы в тп-линках реализуются - я, увы, пас


Updated: 09 January 2017, 23:52:22

подозреваю что в секции firewall
хотя странно - в инструкции нет ни слова про это
http://www.tp-linkru.com/article/?faqid=380
Название: Windows 2012 R2 проблема с DNS ?
Отправлено: Wargus1987 от 10 января 2017, 00:03:25
у вас роутеры натят пакеты для туннеля - потому и не пингуется  :pardon:
как акцесс листы в тп-линках реализуются - я, увы, пас


Updated: 09 January 2017, 23:52:22

подозреваю что в секции firewall
хотя странно - в инструкции нет ни слова про это
[url]http://www.tp-linkru.com/article/?faqid=380[/url]



Да, настраивал vpn по этой инструкции. А что касается nat, почему тогда проходят пакеты с подсети 2.1 до 1.104 ?  И в этом случае ничего не "натится". Ну да ладно. Может тогда попробовать другие режимы роутеров. Есть три режима NAT, non-nat и classic. В любом случае спасибо за наводку. Буду дальше экспериментировать.