Поддержка нескольких протоколов VPN, включая IPsec/PPTP/L2TP, что предоставляет возможность более гибкой настройки VPN
Поддержка до 50 IPsec VPN-туннелей с помощью аппаратного VPN-обработчика
Ну так он может и блочит DNS-запросы снаружи. Разрешите входящие 53 UDP на него.
З.Ы. А сервер сам как мощный или так себе? Само железо? А то может на него какой-нибудь Hyper-V или Esxi поставить и две виртуалки, одна винроут, другая контроллер, нет?
Updated: 23 December 2016, 10:23:12
Ну и кстати, у вас в основной сети, на клиенте в правом нижнем углу указан в качестве DNS-сервера 192.168.1.104, это неправильно, нужно указать 192.168.0.1.
хм..
А для чего у вас и керио и тп-линк - который вполне себе может держать айписек
[url]http://www.tp-linkru.com/products/details/cat-4909_TL-ER6020.html[/url]ЦитироватьПоддержка нескольких протоколов VPN, включая IPsec/PPTP/L2TP, что предоставляет возможность более гибкой настройки VPN
Поддержка до 50 IPsec VPN-туннелей с помощью аппаратного VPN-обработчика
По поводу тех.характеристик сервера:Ну в принципе две виртуалки-то потянет без проблем, если там еще чего-нибудь на этот контроллер не наверчено тяжелого. Ну и для корректной миграции контроллера домена все равно потребуется дополнительно либо комп либо виртуалка вне этого сервера на время миграции.
HP ProLiant DL180 Gen9
CPU - Xeon8C 2.1GHz(20Mb)
RAM - 1x16Gb
HDD - 4x300GB
Порт UDP 53 действительно закрыт. Создал правило на kerio для открытия данного портаНу можете еще табличку правил на kerio показать, так, чтобы проконтролировать.
Ну в принципе две виртуалки-то потянет без проблемНу он же про бюджет пишет, а за лицензии платит по хорошему надо.
Порт UDP 53 действительно закрыт. Создал правило на kerio для открытия данного портаНу можете еще табличку правил на kerio показать, так, чтобы проконтролировать.
На Windows Server 2012 R2 Standart есть лицензия, плюс если не ошибаюсь можно развернуть две копии на виртуальных машинах согласно данной лицензии. Kerio не лицензионный, только тихо :D . А вообще буду трясти руководство, чтобы закладывали средства на модернизацию в том числе и на закупку лицензии на kerio (хотя дорогой он собака).Off-Topic:Ну в принципе две виртуалки-то потянет без проблемНу он же про бюджет пишет, а за лицензии платит по хорошему надо.
На Windows Server 2012 R2 Standart есть лицензия, плюс если не ошибаюсь можно развернуть две копии на виртуальных машинах согласно данной лицензии.Ну да, на 2012 такое лицензирование, на сервере поднимаете гипервизор (причем не важно на чем, на Windows или на вмваре или еще на чем), а на нем две виртуалки с виндой лицензируются одной этой лицензией.
Если на винроут есть актуальная лицензия, то его ж на линухе можно использовать, аплаинс.А... не учел.
Порт UDP 53 действительно закрыт. Создал правило на kerio для открытия данного портаНу можете еще табличку правил на kerio показать, так, чтобы проконтролировать.
З.Ы. Я когда-то в молодости статью писал, как правила на винроуте настраивать, посмотрите, может что понадобится: https://retifff.wordpress.com/2009/12/05/kwf_traffic_policy/
trafpol.jpgВот здесь, во первых, сервис можно не UDP 53, а DNS поставить, там должен быть такой. Во-вторых, источник "Интернет", покажите в Интерфейсах, что это.
результаты пинг-лукапаа что за днс сервер 192,168,2,1 ?
результаты пинг-лукапаа что за днс сервер 192,168,2,1 ?
кто это и где он находится?
эм,а не проще прописать маршгруты из сети 192.168.10 в сеть 192.168.0.0
и указать клиентам из первой сети днс из нулевой сети?
ну и керя тут какбы совсем не в кассу - лишний гимор только.
учет трафика - ну разве что красивые таблицы
trafpol.jpgВот здесь, во первых, сервис можно не UDP 53, а DNS поставить, там должен быть такой. Во-вторых, источник "Интернет", покажите в Интерфейсах, что это.
DNS-сервер: 2001:500:12::d0d (g.root-servers.net.) 1 - проверка на данном DNS-сервере не пройдена PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed on the DNS server 2001:500:12::d0d
Ха, а я и не обратил внимания. Дайте ipconfig /all с контроллера домена.
Для Multihomed DC нужно выполнить https://support.microsoft.com/en-us/kb/272294
у вас, как минимум, имя DC разрешается в два разных IP (см ваш же скриншот зоны DNS)
Для Multihomed DC нужно выполнить https://support.microsoft.com/en-us/kb/272294
у вас, как минимум, имя DC разрешается в два разных IP (см ваш же скриншот зоны DNS)
Так же выкладываю скриншоты прямой и обратной зоны в DNS (см.вложения).Так же во вложениях представлены результаты пинг-лукапа с машины в филиале (той самой которую в домен удаленно нужно загнать), результаты пинг-лукапа с сервера КД в центральном офисе и результаты тех же команд с машины в локальной сети центрального офиса.
Пытается найти DC по ip 192.168.1.104
сделал настройку Multihomed DC согласно инструкции shsЧто-то не похоже:
Для Multihomed DC нужно выполнить https://support.microsoft.com/en-us/kb/272294
у вас, как минимум, имя DC разрешается в два разных IP (см ваш же скриншот зоны DNS)
еще раз посмотрел у меня dns 1.104 на внешнем (интернет интерфейсе) прописан в качестве dns.
вместо 1.104 поставил 0.1 в качестве dns на внешней интерфейсе.:facepalm2:
Отвечаю на вопрос по поводу пинга из филиала. Нет. Не пинговался адрес 0.1 до настройки multihomed dc не пингуется и сейчас. Пингуется только 192.168.1.104.Значит kerio его не пускает. И DNS не пускает аналогично, хотя правила я вижу. Если попробовтаь в правиле вместо Firewall, внутренний интерфейс поставить?
Пинги, нслукапы и пр. показывают тоже самое, правда тут есть момент. Изменились правила в Kerio согласно которые были прописаны согласно инструкции Retif.Интрига?!
Интрига?!Да в общем-то никакой, все тоже самое, просто более узкими правилами прописано.
А-а, нет, стоп. Он же, это адрес, еще и роутиться должен, из сети 192.168.2.0.
по прежнему пинга нет.Это не влияет на пинг никак, это про этот момент:
nslookup запущенный на DC перестал резолвить имя. Пытается найти DC по ip 192.168.1.104, но пингует имя домена belkvartal.local как 192.168.0.1 (тут все правильно).
по прежнему пинга нет.Это не влияет на пинг никак, это про этот момент:nslookup запущенный на DC перестал резолвить имя. Пытается найти DC по ip 192.168.1.104, но пингует имя домена belkvartal.local как 192.168.0.1 (тут все правильно).
Точнее пингуются из обоих подсетей только роутеры все что за ними нет.роутеры про маршртуты в удаленную сеть знают?
Точнее пингуются из обоих подсетей только роутеры все что за ними нет.роутеры про маршртуты в удаленную сеть знают?
Подскажите все ли правильно ? Ибо пингов как небыло так и нет.tracert покажите из одной сети в другую - только бога ради - не надо картинок :dash:
Подскажите все ли правильно ? Ибо пингов как небыло так и нет.tracert покажите из одной сети в другую - только бога ради - не надо картинок :dash:
у вас роутеры натят пакеты для туннеля - потому и не пингуется :pardon:
как акцесс листы в тп-линках реализуются - я, увы, пас
Updated: 09 January 2017, 23:52:22
подозреваю что в секции firewall
хотя странно - в инструкции нет ни слова про это
[url]http://www.tp-linkru.com/article/?faqid=380[/url]