Доброго времени суток!Есть DC w2k 2000 AdvSrv (DHCP, DNS, Active Directory), есть FreeBSD 4.7 (squid, postfix, Bind9).
Ситуация:
для того чтобы иметь инет указываю в настройках DHCP на DC - маршрутизатор: FreeBSD, DNS-сервер: FreeBSD.
Инет работает, но: при администрировании локальной сети следующая проблема: из-за того что bind9 понятия не имеет о расположении DC (SRV записи) происходит прекращение обработки груповой политики на NT клиентах отсюда таймауты при работе в сети и сетевых служб вообще (в логах: Не удалось определить имя пользователя или компьютера. Возвращенное значение (1722). ).Пробовал следующее: в bind9 настроил slave-зону DC, все стало прекрасно, но из-за того что зона DC называется идентично домену второго уровня (нашего www-сайта), который крутится не у нас из локалки не могу зайти на корпоратиный сайт, отправить почту - все пересылается на DC, который понятия об этом не имеет. Вот.
Меня это в тупик поставило, что делать - не знаю ...
Советовали в качестве DNS-сервера указывать w2k а на нем пересылку DNS-запросов на FreeBSD, но w2k - основной контроллер домена, на нем пересылку не включишь ...
>Доброго времени суток!
>
>Есть DC w2k 2000 AdvSrv (DHCP, DNS, Active Directory), есть FreeBSD 4.7
>(squid, postfix, Bind9).
>Ситуация:
>для того чтобы иметь инет указываю в настройках DHCP на DC -
>маршрутизатор: FreeBSD, DNS-сервер: FreeBSD.
>Инет работает, но: при администрировании локальной сети следующая проблема: из-за того что
>bind9 понятия не имеет о расположении DC (SRV записи) происходит прекращение
>обработки груповой политики на NT клиентах отсюда таймауты при работе в
>сети и сетевых служб вообще (в логах: Не удалось определить имя
>пользователя или компьютера. Возвращенное значение (1722). ).не согласен, у меня не было своего DNS на DC вообще и всё работало прекрасно (dns был линукс), скорее всего у тебя глючил мастер-браузер
>зона DC называется идентично домену второго уровня (нашего www-сайта),а вот это очень плохо, думать нужно что делаешь !
>который крутится не у нас из локалки не могу зайти на
>корпоратиный сайт, отправить почту - все пересылается на DC, который понятия
>об этом не имеет. Вот.
>
>Меня это в тупик поставило, что делать - не знаю ...
>Советовали в качестве DNS-сервера указывать w2k а на нем пересылку DNS-запросов на
>FreeBSD, но w2k - основной контроллер домена, на нем пересылку не
>включишь ...всё включишь ! на w2k подними dns сервер, укажи ему слушать на локальном интерфейсе, там же разреши пересылку зон и в качестве ip укажи свою фрюху
на фрюхе создай slave зону. на w2k создай прямую и обратную зоны, можешь интегрировать их в AD , не забудь жмакнуть после создания зон ipconfig /registerdns
на самом локальном интерфейсе в w2k укажи, что DNS сервер он же
на раб станциях укажи в качесвте DNS это локальный ip сервака , вроде всё
>всё включишь ! на w2k подними dns сервер,дословно на вкладке "пересылка" на DC:
"Невозможно включить пересылку, поскольку это корневой сервер".
вот така с именами домена и www получилось так: сначала создали DC, потом, через ~ годик создали и зарегистрировали www домен второго уровня, блин, да сам понимаю что оч плохо сделали
>>всё включишь ! на w2k подними dns сервер,
>
>дословно на вкладке "пересылка" на DC:
>"Невозможно включить пересылку, поскольку это корневой сервер".
>вот так
>
>а с именами домена и www получилось так: сначала создали DC, потом,
>через ~ годик создали и зарегистрировали www домен второго уровня, блин,
>да сам понимаю что оч плохо сделаликакую ты вкладку смотришь и где ? у меня нет никакого "пересылка" на DC:
просто Пересылка, птица - Разрешить пересылку и ip адрес моего линукса
всё это в DNS сервере в св-вах имени компа
чтобы стало возможным сделать пересылку - удали зону "." на DNS на DC.
спасибо за совет, при удобном случае попробую
Кто ж имя домена делает как имя инетовского сайта блин.
что-то типа domainname.local и domainname.ru нужно было делать. Пока все осмыслить времени нет, если что позже поговорим.
я понял, ты уже про передачу зоны говоришь! там тоже самое - ip фрюхи твоей вколоти
>всё это в DNS сервере в св-вах имени компавот именно на этой самой вкладке не доступно вообще ничего, и та самая надпись: "Невозможно включить пересылку, поскольку это корневой сервер",
акурат над CheckBox'ом.
Так что Пересылка отпадает.
ну хоть чего-нибудь посоветуйте, плиз...может мне в DNS локального домена указать CNAME на реальный www? а как с почтой быть?
>ну хоть чего-нибудь посоветуйте, плиз...
>
>может мне в DNS локального домена указать CNAME на реальный www? а
>как с почтой быть?c почтой проще , в файле зоны cоздай MX запись и укажи примерно так
IN NS ns.zsavs.ru.
IN NS ns.cpi.ru.
IN MX 10 zsavs.ru.
IN A 217.196.98.241
=========
то бишь твой почтарь будет иметь короткое доменное имя zsavs.ru
для вэба тоже попробуй указать
www IN A ip_адрес в этой же зонеили попробуй на w2k в файле C:\WINNT\system32\drivers\etc>hosts
прописать
ip_адрес www.твойдомен.ru
вобщем, в субботу, когда почти никого нет попробую так:
заново включу в bind9 slave-зону с контроллера домена w2k
и в DNS w2k пропишу CNAME на реальный www и укажу, что у контроллера домена почтарь не свой а реальный (который там же где и реальный www)
Что получится - раскажу ...а то меня уже достало все: к другим компам подсоединиться не могу (через "управление"), у пользователей тоже гоны постоянно всякие разные: то на сетевой принтер не могут печатать, то доступ к шарам не получают: "нет сервера, способного обработать запрос"
net stop netlogon
net start netlogon
помогает не надолго, но нервирует %-))
>вобщем, в субботу, когда почти никого нет попробую так:
>заново включу в bind9 slave-зону с контроллера домена w2k
>и в DNS w2k пропишу CNAME на реальный www и укажу, что
>у контроллера домена почтарь не свой а реальный (который там же
>где и реальный www)
>Что получится - раскажу ...
>
>а то меня уже достало все: к другим компам подсоединиться не могу
>(через "управление"), у пользователей тоже гоны постоянно всякие разные: то на
>сетевой принтер не могут печатать, то доступ к шарам не получают:
>"нет сервера, способного обработать запрос"
>net stop netlogon
>net start netlogon
>помогает не надолго, но нервирует %-))все-таки имхо стоит собраться с духом и переделать всё как положено!
со временем конечно все переделаю, на ошибках и учатся, но пока некогда...извините за ламерский вопрос: как расшифровывается "имно" вроде это как от ангийского сокращения, но кого спрошу, никто точно не знает ...
>со временем конечно все переделаю, на ошибках и учатся, но пока некогда...
>
>
>извините за ламерский вопрос: как расшифровывается "имно" вроде это как от ангийского
>сокращения, но кого спрошу, никто точно не знает ...я знаю ! :)
имхо - IMHO - In My Home Opinion, то бишь по-моему собственному мнению !
как и обещал, расказываю:сделал следующее: в DNS w2k сделал следующее:
добавил запись MX на реальный почтовый сервер:MX [10] real.mail.server
добавил запись А на реальный IP www-сервера:
www A 1.1.1.1
в bind9 на freeBSD настроил как slave-зону зону контроллера домена Active Directory.
Итого: почта работает, www - тоже; в домене тоже все наладилось - компы с w2k грузятся быстрее - нет таймаутов лишних, а насчет невозможности печати на сетевые принтеры, пока сказать не могу - первый рабочий день после настройки ...
если вместо записи A добавить запись CNAME на nameserver, где крутится настоящий сайт - то корпоративный сайт грузится, но раза в 4 медленее ...всем спасибо!!!
черт, а вот щас вылезла фигня:почти ни одна 98 нормально в домен войти не может: пароль не верный или сервер не доступен. В логах на PDC кроме выборов в сети ничего нету, на w2k pro userenv тоже ругается иногда на всякую фигню про недоступность основного обозревателя, но у этих людей dns - w2k srv, к ним bind9 вообще не имеет отношения ...
я думаю что тут с master bowser что-то: на pdc в реестре прописал что это он master browser, на клиентах отключаю по-немногу, но толку пока мало ...
>черт, а вот щас вылезла фигня:
>
>почти ни одна 98 нормально в домен войти не может: пароль не
>верный или сервер не доступен. В логах на PDC кроме выборов
>в сети ничего нету, на w2k pro userenv тоже ругается иногда
>на всякую фигню про недоступность основного обозревателя, но у этих людей
>dns - w2k srv, к ним bind9 вообще не имеет отношения
>...
>я думаю что тут с master bowser что-то: на pdc в реестре
>прописал что это он master browser, на клиентах отключаю по-немногу,
>но толку пока мало ...протоколы одинаковые ? может netbeui стоит на серваке, а на w98 не стоит?
и серваки не стоит гасить, а то выборы могут идти длительное время, осбенно если сеть большая
>протоколы одинаковые ? может netbeui стоит на серваке, а на w98 не
>стоит?протокол - только TCP/IP, netbios через tcp/ip включен, dhcp раздает всем адрес WINS сервера, h-node. Сервак не отключаем, только ночью перезагружаем, в сети 98 компов.
выборы начались примерно неделю назад, по разу в день, но со вчера - часть 98-ых (прочем одни и теже, почти, и люди за ними самые вредные...) не хотят входить в домен - только с 4-5 раза
сегодня утром выборы объявила самая тормозная машина, я ей запретил быть броузером, завтра посмотрим что будет, а сейчас сижу и читаю мелкомягкий "апендикс" про Browsing и в TechNet копаюсь...
Для WIN98 нужен сервер WINS, для W2K достаточно DNS на контроллере домена, по сему на контроллере домена должен быть WINS-сервер, DNS-сервер можно отконфигурить таким образом: удалить зону с точкой, перезапустить его из оснастки службы, после чего можно ему указать форвардеры. Для уменьшения числа перевыборов браузеров в сети надо отредактировать доменнную политику на всех машинах отстановить службу обозревателя сети, а котроллерах домена через политику для котроллеров доменов эту службу поставить в автоматический запуск. Это позволит уменьшить число перевыборов в сети.
>
>>протоколы одинаковые ? может netbeui стоит на серваке, а на w98 не
>>стоит?
>
>протокол - только TCP/IP, netbios через tcp/ip включен, dhcp раздает всем адрес
>WINS сервера, h-node. Сервак не отключаем, только ночью перезагружаем, в сети
>98 компов.
>выборы начались примерно неделю назад, по разу в день, но со вчера
>- часть 98-ых (прочем одни и теже, почти, и люди за
>ними самые вредные...) не хотят входить в домен - только с
>4-5 раза
>сегодня утром выборы объявила самая тормозная машина, я ей запретил быть броузером,
>завтра посмотрим что будет, а сейчас сижу и читаю мелкомягкий "апендикс"
>про Browsing и в TechNet копаюсь...по докам на каждые 32 тачки должен быть мастербоаузер , вот отсюда и думай
одного сервака явно не достаточно назначить матербраузером.
>по докам на каждые 32 тачки должен быть мастербоаузер , вот отсюда
>и думай
>одного сервака явно не достаточно назначить матербраузером.вернее дополнительный BackupDomain браузер
а мастер - всегда один
кажись понятно из-за чего все это:
я на выходных на серваке включал еще одну сетевуху, дал ей адрес 10.20.1.4, у сервака основная 10.20.1.1 (т.е. у сервака было включено одновременно две серетых и два ip адреса(, потом вырубил ее. Так вот: в netbios именах осело что адрес сервака 10.20.1.4, у домена тоже - естественно они его поэтому адресу найти не могут, а согласно h-node по таймаутам и резолвят имена broadcast'ами.
Как грохнуть таблицу netbios имен и "реплицировать" это на всю сеть, т.е. грохнуть на всех компах сети, пусть они помучаются, но составят "правильную" таблицу?а тему наверное надо переименовать в "NetBIOS-имена - так делать нельзя."
>кажись понятно из-за чего все этоДа ни хрена ты не понял.
Тебе еще mega4el сказал, что надо априори удалить зону "точка", а ты только ухмыльнулся и продолжаешь наворачивать проблемы в сетке.
И настройку пересылки тебе сказали.
И про недопустимость имени домена тебе сказали.ТЫ САМ продолжаешь наворачивать проблемы в сетке.
Вот "потом, как нибудь при случае" сетка у тебя и заработает.
Что еще тебе говорить, чтобы ты этого не сделал?
Смотри не удаляй зону "." в ДНС ДК?
Смотри не меняй домен на office.company.ru?
Быстрее снеси все свои ДНС нафиг и пропиши провайдерские?Вот все и замолчали, что ты "сам с усами".
>Что еще тебе говорить, чтобы ты этого не сделал?конечно легко сказать сделай то, сделай сё: а когда у ~ 40 человек в сети конец года - им нужна работающая "Галактика", т.е. "доступный" сервер, еще стольким же нужны доступные ASP и SQL сервера для занесения производственной информации, начальник требует VPN соединения с удаленным офисом, а ген.директору нужно 12 брошюр: отсканировать материал, сверстать, напечатать. А должен "убить" Active Directory и DNS??? Т.е. похерить работу конторы из 100 человек?
Проблему пересылки я ВРЕМЕННО уже решил - как? писал раньше - пусть не так как советовали, не так как надо и правильно, но работает, закроем год - будем менять - выходных будет дофига.
Проблема ?2: в сети "осел" неправильный ip сервера - вчера вечером провел мероприятия - к обеду будет видно - но пока ни одного звонка ...Спасибо конечно за критику, Vlady, Вы наверное опытный админ со стажем, но я с трудом верю, что когда Вы только начинали на этом поприще, у Вас все получалось с первого раза... Прошу прощения, если мои слова показались Вам обидными.
>>Что еще тебе говорить, чтобы ты этого не сделал?>Прошу прощения, если мои слова показались Вам обидными.
Ладно, не дуйся... и меня прости за резкость.
1. В MS DNS на DC спокойно можно убить зону "точка". Корневых серверов в Инете всего 13 штук, так не считаешь же ты свой сервер четырнадцатым?!
Если бы у тебя не было выхода в Инет - "точка" была бы нужна.2. При этом у тебя появится возможность наладить пересылку на BIND.
Эти два пункта ты можешь сделать в любой момент. Потребуется лишь перезагрузить сервер.
А вот переименовать (переставить с нуля) домен тебе придется.
Этим удобно будет заняться на январских каникулах.Теоретически и практически, конечно, возможно оставить и прежнее имя firma.ru, но тогда понадобится гораздо больше манипуляций не только по настройке, но и (самое противное) организационных, включая переговоры с твоим хостером и с тем ISP, который предоставляет тебе доступ в Инет. И совсем не факт, что оба эти прова пойдут тебе навстречу.
Геморрой и ответственность в этом случае просто несопоставимы с переустановкой собственного домена на office.firma.ru.
Да и знаний тебе пока не хватит.Не серчай, ежели чо...
>Эти два пункта ты можешь сделать в любой момент. Потребуется лишь перезагрузить
>сервер.
>спасибо за совет.
>А вот переименовать (переставить с нуля) домен тебе придется.
>Этим удобно будет заняться на январских каникулах.мы будем переходить на новую версию Галактики (10 баз), так что думаю до февральских прийдется отложить, хотя когда я не смог зайти на наш сайт - практически сразу осознал неизбежность переустановки домена. Кстати, домен ставил не я, я бы по другому наверное назвал
>оба эти прова пойдут тебе навстречу.
с хостером проблем нет (хороший знакомый) а вот с ISP труба - они у нас позакрывали все друг от друга с одного ISP на сайты другого не попадешь ...
>Да и знаний тебе пока не хватит.
дорогу осилит идущий - ведь еще в марте во freeBSD был ноль полный, но смогже поднять и bind и postfix и squid ...
я когда был на MS'овских курсах слушал все, что инструктор говорит, например, что сначала надо поставить DNS, DHCP а уж потом Active Directory - это приводит к ошибкам в настройке DNS и т.д. и .т.п. - мне было стыдно, что все ошибки, которые он называл, "реализованы" в нашей сети ...
а вот с VPN погорячился, каюсь>Не серчай, ежели чо...
когда дописал послание - уже успокоился %-)
а с bowsing вроде разобрался - я уже писал что в WINS осел левый ip сервера - вчера вечером, когда в сети никого небыло, тормознул WINS, грохнул все его файлы и запустил его заново, вроде сработало, все зашли в сеть как надо
>дорогу осилит идущийВот тебе маленький посох:
http://admin.vlady.ru/