[Animal]

Цитата:

Невозможно настроить переадресацию в свойствах сервера (оснастка DNS) -- "… т. к. является корневым сервером". Т. е., похоже, он считает себя отвечающим даже не за зону "domain.server.ru", а за зону "."

Похоже так оно и есть.
Т.е. у тебя в DNS на DC 2 зоны прямой видимости. Можно попробовать сделать следующее: удалить зону "." (я так и делаю), а во второй оставшейся указать основной сервер  [Имя сервера].domain.server.ru - похоже у тебя так будет. (у меня MainServer.kfinkursk.ru, а зона соответственно kfinkursk.ru)

Пусть на клиентах первичным DNS-сервером будет указан DC, а вторичным - сервер для доступа в инет WinRoute и NAT. (у меня так) Шлюз на клиентах прописан разумеется правильно - на машину с NAT: все пакеты, адресованные в др. подсеть (в инет) пойдут на машину с WinRoute'ом.

По идее в инете не будут видны адреса, совпадающие с Вашими, т.е. .....server.ru, ну и ладно.

У меня все в домене kfinkursk.ru пашет отлично. Правда совпадения в инете нет, но я думаю (уверен на 90%), что твоя проблема не в этом, а в настройке dns. Поэтому кстати и вторичный DC не удается поднять.

Удачи!

ЭТО ЛУЧШЕ В ВЫХОДНОЙ КРУТИТЬ.
ПРЕЖДЕ ЧЕМ ЧТО-ТО МЕНЯТЬ, ИМИДЖ СЕРВЕРА СДЕЛАЙ.

[Raistlin]

Цитата:

Т.е. у тебя в DNS на DC 2 зоны прямой видимости

Ну да, у меня там в ветке "Зоны прямого просмотра" две подветви: ". | ru | server | domain" (| -- это в смысле тоже подветви) и собственно "domain.server.ru". И в ".", и в "domain.server.ru" прописан внутренний адрес PDC (сам прописался). Мне, собственно, уже советовали "." снести, но интересно, какого хрена она там появилась вообще.

Цитата:

Пусть на клиентах первичным DNS-сервером будет указан DC, а вторичным - сервер для доступа в инет WinRoute

Если б было всё так просто… Пробовал я это -- хрен, не работает! IE сразу заявляет: "Сервер не найден".

Цитата:

Шлюз на клиентах прописан разумеется правильно

А мне советовали прописать PDC и как шлюз тоже. И туннелирование настроить.

Цитата:

ЭТО ЛУЧШЕ В ВЫХОДНОЙ КРУТИТЬ.

Само собой. Хотя и жалко.

Цитата:

ПРЕЖДЕ ЧЕМ ЧТО-ТО МЕНЯТЬ, ИМИДЖ СЕРВЕРА СДЕЛАЙ.

Тут, блин, другие сложности. Я сначала зачем-то разбил винчестеры на два раздела, затем, уже после поднятия AD, сообразил, что погорячился, захотел объединить. PartitionMagic на себя такую ответственность брать отказался, и тут подоспел добрый совет: преобразовать диск в динамический, тогда, мол, можно будет менять размеры как хочешь, даже перезагружаться не потребуется. Ага, преобразовал. Только вот размеры, оказывается, можно менять только на тех дисках, что от рождения динамические. В результате сижу я теперь с этим неизменяемым динамическим диском. Ghost, боюсь, такой имидж не потянет.
Впрочем, у меня RAID -- по идее, наверное, можно просто отменить зеркалирование, сделать всё на одном диске, затем, если всё будет шито-крыто, включить зеркалирование. Ну а если что не так -- поменять диски местами, включить зеркалирование и заиметь status quo.

Ещё два вопроса:

1. Убийство зоны "." может мне что-нибудь порушить?
2. Можно ли сделать полноценным DNS-сервером машину под W98 (в свете того, что фокус с указанием двух DNS-серверов у меня не проходит)? Если можно, но сторонними программами, будут очень благодарен за ссылки.

Впрочем, буду благодарен в любом случае. Уже благодарен! Thanks, Animal!

[Animal]

1. Убийство зоны "." должно привести к тому, что DNS-сервер не сможет отвечать на запросы клиентов придоставить IP адрес по dns-адресу, отличному от dns-адреса вида [имя станции].domain.server.ru. Но зону domain.server.ru правильно настроить нужно разумеется.

2. В принципе не важно, на какой ОС реализован dns-сервер W2000, W9x или *nix, главное чтобы все было правильно настроено на нем и на клиентах. В WinRoute есть свой dns-сервер, так что думаю можно, хотя не советую.

Цитата:

IE сразу заявляет: "Сервер не найден"

Ты проверь ping и tracert - ping www.yandex.ru. Должен ip яндекса показать.
А у меня все работает. Настройка на клиентах: 1-ый dns-сервер PDC, 2-ый dns-сервер - машина с WinRoute и 2-мя сетевыми адаптерами, один смотрит в локалку, другой-в инет.
Теоретическое обоснование: клиент запрашивает IP-адрес по DNS-адресу www.yandex.ru сперва у первичного dns-сервера, т.е. у PDC, тот ему отвечает - "Я не могу разрешить это dns -адарес в IP-адрес, короче не могу тебе ответить". Тогда клиент спрашивает тоже самое у вторичного dns-сервера, т.е. машину с WinRoute. Тот ему разумеется успешно отвечает. Если же клиент просит разрешить скажем имя др. рабочей станции в IP-адрес, то PDC справляется с этой задачей и снова все OK.

Кстати, используешь ли ты DHCP? И если да, то правильно ли настроены клиенты. Проверь ipconfig'ом. Если есть сомнения, то перерой мои темы (их не много), там про DHCP есть. Хотя это не важно. Вначале добейся, чтобы все заработало на машине со статическим IP и ручными настройками.

Добавлено:

Продолжаем разговор (С)

Узнав IP-адрес www.yandex.ru клиент понимает, что адрес то не из нашей сети. Поэтому все пакеты он будет посылать на шлюз по умолчанию (а это как раз адрес машины с WinRoute, точнее адрес того адаптера машины с WinRoute, который смотрит в локалку). И если настроен NAT, точнее если правильно настроен NAT, то эти пакеты успешно попадут в инет, но с подменой адреса отправителя. Пакеты из инета тоже вернутся на станцию. Этим всем уже WinRoute занимается.

Но лучше (безопаснее!!) пользователям NAT обрубить, а оставить доступ ТОЛЬКО через proxy. В этом случае вообще можно и шлюз не прописывать и вторичный dns-сервер на клиентах. А NAT только себе и еще парочке людей (ну программерам там допустим, короче людям с головой)

Добавлено:

Цитата:

А мне советовали прописать PDC и как шлюз тоже. И туннелирование настроить.

Такая конфа возможна, но тебе настроить ее будет однозначно сложнее. И работать мне кажется будет медленнее.


Лучше настраивай как у меня:
На клиентах: 1-ый DNS-сервер - PDC, 2-ый - машина с WinRoute (карта, что смотрит с локалку). Шлюз - машина с WinRoute (карта, что смотрит с локалку).

dns на PDC - отвечает за разрешение ТОЛЬКО dns-адресов вида  [имя станции].domain.server.ru в IP-адреса

dns-сервер средствами W2000 на машине с WinRoute ставить НЕ НАДО!!! А в WinRoute включить ОБЯЗАТЕЛЬНО ретрансляцию dns на известные dns-сервера. В настройках карты, смотрящей в инет, будет dns-сервер провайдера, на который WinRoute и будет перенаправлять запросы клиентов, но для клиентов - он сам будет считаться DNS-сервером (хотя реально он будет запросы прову пересылать, но насколько я понимаю WinRoute умеет кешировать dns-адреса, т.е. его можно назвать кеширующим dns-сервером).

Похоже полноценным dns-сервером WinRoute быть не может, т.е. выше я наврал немного... Но это и не важно, если повторишь мою настройку сети.

Если где еще наврал, пусть меня поправят, буду только рад.

[Raistlin]

Спасибо за такой обстоятельный ответ! Прямо понедельника не дождусь, чтобы попробовать! Хотя… какие-то сомнения гложут, ибо многое пробовал из этого. Основные надежды возлагаю на убийство зоны ".". А что ты имеешь в виду под

Цитата:

зону domain.server.ru правильно настроить нужно

Что значит -- правильно? Я, в общем-то, вообще её не настраивал -- она сама создалась при установке DNS-сервера.

Цитата:

используешь ли ты DHCP

Естественно, нет . При раздаче динамических IP-адресов все клиенты у меня заодно получали PDC в качестве основного шлюза и первичного DNS-сервера, в результате чего сидели без Интернета.

Цитата:

Но лучше (безопаснее!!) пользователям NAT обрубить

Безопаснее -- не знаю… В WinRoute фильтры надо настроить, тогда IMHO будет и с NAT безопасно. Всё руки не дойдут. Через proxy всё работает на ура, но я не знаю, как настроить (и можно ли) работу The Bat через него. IE-то ладно, меня, собственно, больше почта интересует.

Цитата:

Такая конфа возможна, но тебе настроить ее будет однозначно сложнее. И работать мне кажется будет медленнее

А мы простых путей не ищем . Насчёт медленнее опять-таки не уверен -- в чём причина? Если следовать твоей конфигурации, у запроса на разрешение внешнего имени будет такой путь:

1. Идём к первичному DNS-серверу, получаем ответ: "Это не ко мне".
2. Идём ко вторичному DNS-серверу, тот смотрит в кэш, затем (при необходимости) обращается к DNS-серверу у ISP и возвращает адрес клиенту.

Таким образом, на обработку внешнего запроса требуется всегда 4 операции пересылки по сети. А если указать всем клиентам PDC как единственный DNS-сервер, а ему уже указать в качестве адреса пересылки адрес машины с WinRoute, то запрос на разрешение пойдёт на PDC (первичный DNS-сервер), тот посмотрит в кэш, при необходимости обратится к машине с WinRoute, получит от неё ответ и перешлёт его клиенту. В худшем случае будет опять-таки 4 операции пересылки, а в лучшем -- всего 2. Выходит, должно быть даже быстрее. Или я неправ тут в чём-то? Кстати, ещё одно преимущество такого решения: можно свободно менять IP-адрес машины с WinRoute -- достаточно будет изменить параметры пересылки (или туннелирования?) на PDC.
Вот только хотелось бы получить консультацию насчёт туннелирования и пересылки. Это одно и то же? Если нет, что именно мне в данном случае требуется?

Добавлено:

Animal
И вот ещё что меня беспокоит: в DNS, в зонах прямого доступа, у меня ведь прописана не просто зона ".", а "." с подзоной "ru", та -- с подзоной "server", а та -- с подзоной "domain". Ну и собственно зона "domain.server.ru", расположенная на том же уровне, что и ".". Не опишешь ли, что именно описано там у тебя?

[Animal]

Raistlin
По поводу настройки dns.
Моя практика такова (а практика как известно - критерий истины ): Если я делаю домен например mydomen.ru, то когда визардом устанавливаю AD, dns настраивается автоматически и там 2 зоны. dns-адреса в локалке не распознаются: например на раб. станции набираешь ping [имя др. раб. станции].mydomen.ru и нифига. Я убиваю зону с точкой, а в оставшейся зоне mydomen.ru руками прописываю на вкладке "Начальная запись зоны" в поле "Основной сервер" свой DC в виде [имя DC].mydomen.ru. (там автоматически др. значение) Все после этого начинает работать. На всякий случай проверь еще вкладку "Сервер имен", там тоже должен быть прописан [имя DC].mydomen.ru и его IP-адрес.

DHCP зря не используешь - очень удобно. Ну для себя оставь возможность менять IP, а клиентам лучше сделать. Там же кроме IP все можно автоматом сконфигурировать: dns-имя домена, шлю, dns-сервера, wins-сервера, тип узла (все, что реально нужно!).

По поводу туннелирования. Я в эту тему не вникал. Одно могу сказать по поводу пересылки: как-то в настройках dns-сервера на DC поставил во складке "Пересылка" флаг "разрешить пересылку" и указал IP машины для инета с WinRoute - чтобы на раб. станциях, использующим NAT, не нужно было прописывать вторичный dns-сервер. Т.е. если первичный dns-сервер не может разрешить dns-имя в адрес, он САМ попросит это сделать др. сервер, получит ответ и перешлет клиенту (в теории так, по крайней мере я это так понимаю). Возможно я еще что-то недонастроил, возможно требовалась перезагрузка (в тот момент я не сделал), но dns-адреса пониматься в сетке перестали и я все вернул как было. Необходимости нет, а сломать людям работу стремно, в выходные сейчас у меня много дел дома. Поэтому на изучение этой темы я откровенно забил. Но была-бы необходимость - думаю разобрался бы. По туннелированию ничего не могу сказать, боюсь сказать неправду, а я и так наименее квалифицированный из 3-х модеров в этом разделе.

Цитата:

И вот ещё что меня беспокоит: в DNS, в зонах прямого доступа, у меня ведь прописана не просто зона ".", а "." с подзоной "ru", та -- с подзоной "server", а та -- с подзоной "domain". Ну и собственно зона "domain.server.ru", расположенная на том же уровне, что и ".". Не опишешь ли, что именно описано там у тебя?

Описал уже выше на примере mydomen.ru. Ну если интересно из чистого любопытства - то везде вместо mydomen.ru у меня kfinkursk.ru. Поэкспериментируй: попробуй создать одну зону с длинным именем domain.server.ru, а в ней сервер имен сделать [имя DC].domain.server.ru. Я бы начал с этого и думаю получится. Но возможно предется все же разбираться с подзонами.

[Raistlin]

Цитата:

Я убиваю зону с точкой

То есть, я так понимаю, зона с точкой создаётся всегда. Хм. Интересно, зачем.

Цитата:

в оставшейся зоне mydomen.ru руками прописываю на вкладке "Начальная запись зоны" в поле "Основной сервер" свой DC в виде [имя DC].mydomen.ru. (там автоматически др. значение)

А у меня почему-то как раз то значение, которое и должно быть: "server1.domain.server.ru." А вот на вкладке "Серверы имён" -- две записи: "server1.domain.server.ru." (с правильным IP-адресом) и просто "server1." (в поле "IP-адрес" стоит "Нет данных".
В общем, буду пробовать, ещё раз большое спасибо. О результатах напишу -- вдруг ещё кому пригодится.

[Raistlin]

Ур-ра! Заработало! С пересылкой! Даже сервер не пришлось перегружать. Что я сделал:

1. Удалил из зон прямого просмотра зону "." вместе с подзонами.
2. Закрыл оснастку DNS.
3. Открыл оснастку DNS снова, настроил пересылку на машину с WinRoute (до перезапуска оснастки соответствующая опция была по-прежнему недоступна).
4. На PDC в качестве первичного DNS-сервера указал его самого, а в качестве основного шлюза -- машину с WinRoute.
5. На клиенте назначил PDC первичным (и единственным) DNS-сервером и основным шлюзом.

После этого клиент получил долгожданный доступ в Интернет. Я, конечно, плююсь через плечо пока (обмывать будем через денёк-другой бесперебойной работы ), но, думаю, всё работает как надо.
Вторичный DC тоже удалось поднять. Перед этим я поменял адрес PDC со 192.168.0.254 на 192.168.0.1, но, может быть, это здесь и не при чём. Как бы то ни было, собака была зарыта или в IP-адресе, или в том, что на PDC у меня раньше первичным DNS-сервером была прописана машина с WinRoute.
Кстати, я заодно узнал, как удалить AD -- запускаем из командной строки DCPROMO и "следуем указаниям мастера". А я-то думал, это сложнейшая хирургическая операция…

[Animal]

Raistlin
Так ты вообще зон в DNS на PDC не оставил?
Вторичный DC думаю удалось поднять благодаря изменениям в DNS.

[Animal]

Я спешил уходить и не досказал.

Как понимаю работа теперь строится т.о.:
Разрешение инетовского адреса для клиента происходит, как я описал в предыдущем посте. (почему-то у меня не заработало): PDC пересылает сам запрос на WinRoute-машину, получает ответ и возвращает его клиенту.
Отсылка пакета в инет происходит т.о.: клиент понимая, что адрес не в его подсети, отсылает его по адресу шлюза по умолчанию, т.е. на PDC. PDC также видя, что адрес не в его подсети, отправляет его на свой шлюз по умолчанию, т.е. на WinRoute-машину. А там уже WinRoute работает, используя при отправки пакета в инет технологию NAT.

Цитата:

Кстати, я заодно узнал, как удалить AD -- запускаем из командной строки DCPROMO и "следуем указаниям мастера". А я-то думал, это сложнейшая хирургическая операция…

А вот было бы интересно другое: возможно ли как-то изощрится и сменить имя домена, не удаляя AD.

Добавлено:

И еще: мне в такой конфигурации что немного не нравится: все что в инет идет через PDC. А нафиг лишний раз канал прогружать. При моей же схеме выход в инет осуществляется без участия PDC (его можно даже выключить, инет не пропадет). Короче при реализованной тобой схеме работы лишняя нагрузка на PDC, лишняя нагрузка на канал к PDC. Но вообще-то это уже нюансы.