Форум системных администраторов

IT => Networks => Тема начата: Corton от 13 декабря 2017, 15:21:48

Название: Подключение домена к интернету
Отправлено: Corton от 13 декабря 2017, 15:21:48
Здравствуйте.  :)
Работаю админом, пока правда начинающим и с крупными сетями еще дело не имел. Но руководство поставило задачу, а старший админ в командировке. Я сказал, что справлюсь, но хочу быть уверенным что все рассчитал правильно.
Итак, есть сеть без выхода в инет, работает под управлением server 2003. Поднят домен, ну и соответственно DHCP, DNS. Нужно эту сеть подключить к интернету. Интернет через маршрутизатор(доступ к нему есть). Один порт там занят, на нем уже висит отдельная сетка. IP статический, идет на сервак и тот сам уже раздает инет по своей сети. По идее я могу второй сервак и сеть подключить таким же способом, но не хочу чтоб весь трафик шел через контроллер домена. То есть к маршрутизатору хочу подключить свич, а от свича уже ко всем компам и серваку этой подсети давать инет. Но при этом нужно, чтоб сохранился домен и соответствующие права доступа. Это пока не срочно(где то дней пять есть еще), но у меня будет 1 день, что бы все сделать. День я сам назначу, когда серваки перемещу в другое помещение. Но начальство сказало, чтоб все точно сразу работало.
Я примерно прикинул как буду делать: для примера сеть 192.168.0.0/24
Серваку даю статичный ip 192.168.0.1, маршрутизатору 192.168.0.2, шлюз у сервака 192.168.0.2, шлюз у маршрутизатора ip провайдера. DNS у сервака наверно тоже даю 192.168.0.2. Или нужно ip сервака? Или настраивать пересылку DNS? А куда? DNS провайдера?
С рабочими станциями: Ну адрес даст DHCP сервера, а вот как быть со шлюзом и DNS я в сомнении. По идее шлюз должен быть - ip маршутизатора. Правильно? А вот как быть с DNS?
Кто подскажет, все ли правильно или что то упустил? :pardon:
Название: Подключение домена к интернету
Отправлено: Triangle от 13 декабря 2017, 15:35:28
Не надо на контроллере домена ничего трогать... Надо просто настроить раздачу адресов с выдачей DNS и шлюза. Ну и на сервере пересылку, dns  можно провайдера, можно досыпать остальных но проверенных.
Название: Подключение домена к интернету
Отправлено: Retif от 13 декабря 2017, 15:49:40
Я ничего не понял. Кто из них контроллер, кто сервак, и т.п. Нарисуйте схему.


Updated: 13 December 2017, 15:50:58

С рабочими станциями: Ну адрес даст DHCP сервера, а вот как быть со шлюзом и DNS я в сомнении. По идее шлюз должен быть - ip маршутизатора. Правильно? А вот как быть с DNS?
Клиенту в качестве шлюза должен быть выдан адрес шлюза, в качестве DNS-сервера - адрес контроллера домена. На контроллере домена настроить пересылку на публичные DNS-серверы.
Название: Подключение домена к интернету
Отправлено: Corton от 13 декабря 2017, 15:53:22
Цитировать
Надо просто настроить раздачу адресов с выдачей DNS и шлюза
Спасибо. Ну это сделаю, но шлюз то какой выдавать, Lan маршрутизатора? А DNS ?  ???
Название: Подключение домена к интернету
Отправлено: Corton от 13 декабря 2017, 16:07:34
Цитировать
Я ничего не понял. Кто из них контроллер, кто сервак, и т.п. Нарисуйте схему.
Название: Подключение домена к интернету
Отправлено: Retif от 13 декабря 2017, 16:28:57
Ну и все нормально, на клиенте должно быть:
ip шлюза - 192.168.0.2
ip DNS-сервера - 192.168.0.1

P.S. Бест практикс считается шлюзу давать адрес либо 1, либо 254. В вашем случае 1 уже занято, так что лучше назначить 254, пока не поздно. Если сетка 24-я, конечно.


Updated: 13 December 2017, 16:30:59

ip шлюза - 192.168.0.2
ip DNS-сервера - 192.168.0.1
На контроллере домена (который 192.168.0.1), тоже так же, плюс пересылка.
Название: Подключение домена к интернету
Отправлено: Corton от 13 декабря 2017, 16:57:57
Спасибо, буду пробовать.
Цитировать
Если сетка 24-я, конечно
Пока да...в планах поделить на три 26-х.
Еще такое дело... если контроллер домена раздает инет, а сам подключен к маршрутизатору, как это в плане безопасности? Если правильно настроить маршрутизатор? Вторая сеть у меня именно так подключена, но я в раздумьях, стоит ли делать так же как я эту собираюсь подключить? Начальство не сильно отдупляет ни в плане безопасности ни в принципах сети.
Название: Подключение домена к интернету
Отправлено: Retif от 13 декабря 2017, 17:33:13
в планах поделить на три 26-х.
А три 24-х чем не устраивают?


Updated: 13 December 2017, 17:34:22

если контроллер домена раздает инет
Это уже плохо. Не должен он раздавать интернет, это должен делать отдельный сервер или железка.
Название: Подключение домена к интернету
Отправлено: Corton от 13 декабря 2017, 18:27:40
Я думаю так просто будет проще...хотя...там видно будет.
В общем еще спасибо, буду пробовать.
Название: Подключение домена к интернету
Отправлено: Retif от 13 декабря 2017, 20:35:31
Я думаю так просто будет проще
Так будет хуже, для контроллера домена и с точки зрения безопасности и с точки зрения стабильной работы самого контроллера.


Updated: 13 December 2017, 20:36:42

Почему маршрутизатором нельзя интернет раздавать, что это за железка, наверняка же это умеет?
Название: Подключение домена к интернету
Отправлено: Corton от 14 декабря 2017, 14:10:44
Нет, я не собираюсь раздавать инет через контроллер домена.  :)  Я наоборот и хочу чтоб все шло через роутер, плюс работал работал домен. Домен локальный. Веб-сервер пока только планируется.
Проще, я имел ввиду разделение сети...одну 24-ю на несколько, но под одним КД.
Название: Подключение домена к интернету
Отправлено: Retif от 14 декабря 2017, 14:33:12
одну 24-ю на несколько, но под одним КД.
чтоб все шло через роутер, плюс работал работал домен
Вы путаете разные понятия, сетевую маршрутизацию и совместную работу компьютеров под управлением прикладного ПО - Active Directory. Для компьютеров в домене совершенно все равно, как вы разобьете свою сеть, им нужен прозрачный доступ к контроллеру домена и прочим ресурсам.

я имел ввиду разделение сети...одну 24-ю на несколько
А зачем? Сколько у вас компьютеров?
Название: Подключение домена к интернету
Отправлено: Corton от 14 декабря 2017, 16:58:29
Цитировать
Для компьютеров в домене совершенно все равно, как вы разобьете свою сеть, им нужен прозрачный доступ к контроллеру домена и прочим ресурсам.
Согласен, но...такие требования контролирующий структуры. Мне конечно проще все компы запихнуть в один домен, под управлением одного контроллера (ну еще резервный), но нужно все разделить.
Что бы каждое направление имело отдельную подсеть со своими определенными правами. В своей подсети одни права, в соседней другие. И между собой еще тоже.
Техзадания часто корректируются...в общем ...опа.
Название: Подключение домена к интернету
Отправлено: Retif от 14 декабря 2017, 17:02:55
Что бы каждое направление имело отдельную подсеть со своими определенными правами. В своей подсети одни права, в соседней другие.
Давайте вы напишите, какие именно вам выставили требования, а мы подскажем, как это лучше реализовать? А то мешаете в одну кучу подсети, права, блин какое отношение одно к другому имеет, мне совершенно непонятно.
Название: Подключение домена к интернету
Отправлено: Corton от 19 января 2018, 13:09:21
Всем здравствуйте. ))) Я тут отсутствовал некоторое время, нарисовались другие задачи. По поводу моего вопроса...в общем все изменилось, куплен новый сервак и решено модернизировать сеть. Не сразу, конечно. В общем почти полная замена оборудования. В общем я на новом серваке установил 2016 сервер, поднял домен, DHCP, DNS, выход в инет через роутер, то есть у сервака один сетевой интерфейс. Компы в сети от сервака получают ip, шлюз и DNS. То есть логинятся в домене, интернет получают. Сделал как вы мне обьяснили. В общем все так же как и на рисунке, что я выкладывал выше. Но возник небольшой затык...вернее два затыка: первый это ни сервака ни компов не видно в сетевом окружении. Хотя все пингуются. И второй...мне нужно что бы сеть как бы была поделена на две части, то есть одна группа получала адреса к примеру  с 5 по 120, а другая с 130 до 250. Я на серваке в настройках DHCP я сделал две области, задал в одной пул адресов одного диапазона, во второй другого диапазона. Маска везде 255.255.255.128. Сейчас компы получают ip из первой области. Можно ли сделать так что бы определенные компы получали адрес из первого пула, вторые из другого?

ЗЫ. Сервак пока не в основной сети...пока в тестовом режиме с несколькими компами без пользователей, так что неделю-две могу играться с настройками, потом переустановлю винду.

ЗЗЫ: Не кидайтесь сильно тапками, я еще не все знаю, но пытаюсь. Старший админ ушел на повышение в вышестоящую организацию, а я один все разгребаю.

ЗЗЗЫ: Вопрос по линуху можно тут задать или в соответствующую ветку идти? (вопрос общего характера).
Название: Подключение домена к интернету
Отправлено: Retif от 19 января 2018, 13:18:51
первый это ни сервака ни компов не видно в сетевом окружении
Забудьте про сетевое окружение, это устаревшая и кривая технология. Подключайте ресурсы по UNC-пути или мапьте диски.


Updated: 19 January 2018, 13:21:02

И второй...мне нужно что бы сеть как бы была поделена на две части, то есть одна группа получала адреса к примеру  с 5 по 120, а другая с 130 до 250. Я на серваке в настройках DHCP я сделал две области, задал в одной пул адресов одного диапазона, во второй другого диапазона. Маска везде 255.255.255.128. Сейчас компы получают ip из первой области. Можно ли сделать так что бы определенные компы получали адрес из первого пула, вторые из другого?
В разные VLAN-ы их засунуть. У вас есть сетевое оборудование, которые на вланы делить сеть умеет?

ЗЗЗЫ: Вопрос по линуху можно тут задать или в соответствующую ветку идти? (вопрос общего характера).
В отдельную ветку.
Название: Подключение домена к интернету
Отправлено: Corton от 19 января 2018, 14:09:47
Цитировать
В разные VLAN-ы их засунуть. У вас есть сетевое оборудование, которые на вланы делить сеть умеет?
Рассматривал этот вариант, но...во первых управляемый свич в наличии только один и он в работе (экспериментировать на нем не могу), во вторых ноуты часто подключают в разных местах...это получается каждый раз ему настраивать порт. То есть даже если и заказать управляемый коммутатор, то не совсем будет удобно.

Цитировать
Подключайте ресурсы по UNC-пути или мапьте диски.
С этим пока не знаком. У нас тут сетка старая, больше 10 лет...что ж придется изучить...
Спасибо за ответы.
Название: Подключение домена к интернету
Отправлено: Fray от 19 января 2018, 14:34:59
Рассматривал этот вариант, но...во первых управляемый свич в наличии только один и он в работе (экспериментировать на нем не могу), во вторых ноуты часто подключают в разных местах...это получается каждый раз ему настраивать порт. То есть даже если и заказать управляемый коммутатор, то не совсем будет удобно.
Ну можно сделать резервирование по mac-адресам, но для большого количества девайсов это очень муторно.
Название: Подключение домена к интернету
Отправлено: Retif от 21 января 2018, 14:12:47
Fray, ну есть еще более геморный, использование Class ID ))


Updated: 21 January 2018, 14:15:05

Вот какая-то тема про это: https://social.technet.microsoft.com/Forums/ru-RU/d68aca21-ce14-4578-9a6d-395ee7b7187f/dhcp-ip-?forum=ws2008r2ru
Название: Подключение домена к интернету
Отправлено: Corton от 22 января 2018, 20:46:30
Цитировать
Подключайте ресурсы по UNC-пути или мапьте диски
Более-менее разобрался...   :) Спасибо за наводку. Буду разбираться дальше.