[Raistlin]

Цитата:

Так ты вообще зон в DNS на PDC не оставил?

Как же, оставил -- "domain.server.ru", как ты и советовал.

Цитата:

Вторичный DC думаю удалось поднять благодаря изменениям в DNS

Неа! Не зря я написал, что заработало не сразу -- и после сноса зоны "." не хотел он подниматься. Я уже было собрался тебе сюда пожаловаться на нехороший DNS, но решил покопаться ещё в Базе знаний MS. Во время копаний и экспериментов случайно наткнулся в настройках сети на модемное соединение, оставшееся от старых экспериментов с NAT на PDC. Думаю -- зачем оно тут, всё равно уже работает по другой схеме. И удалил. Эффект был потрясающий -- сервер повис намертво. Все пользователи были безумно счастливы. После перезагрузки выяснилось, что PDC теперь почему-то вместо родного адреса 192.168.0.254 имеет 192.168.0.1, конфликтуя с машиной с WinRoute (я менял IP-адреса PDC во время экспериментов с NAT, но не перезагрузился после последнего изменения -- видимо, это всё-таки стоит делать). Я подумал и изменил адрес машины с WinRoute, а адрес PDC так и оставил 192.168.0.1. После чего исправил его настройки в части первичного сервера DNS и основного шлюза. Случайно (!) попробовал после этого поднять вторичный DC -- надо же, получилось! Вот такие дела.

Цитата:

Как понимаю работа теперь строится т.о.

Абсолютно согласен! Интересное наблюдение: если на PDC в качестве шлюза по умолчанию указать его самого, то при попытке выйти в Интернет разрешение имён происходит (видно, как IE пытается соединиться с таким-то узлом), а сами пакеты не идут. В общем-то, причина понятна.

Цитата:

возможно ли как-то изощрится и сменить имя домена, не удаляя AD

Ф. Зубанов в книге "Active Directory. Подход профессионала" однозначно отвечает на этот вопрос -- нет. Думаю, ему как консультанту из Microsoft Consulting Services можно верить.

Цитата:

мне в такой конфигурации что немного не нравится: все что в инет идет через PDC

Ну в общем-то ты прав, конечно. С другой стороны, разгружается (по-моему) сеть. А может, стоит DNS-сервер перенести на вновь поднятый SDC и его Интернет-сервером вообще сделать, как считаешь? Или не очень это хорошо -- в смысле безопасности?

Добавлено:

Кстати, у Зубанова ещё прочёл, что очень желательно разрешить динамическое обновление зоны прямого просмотра (в её свойствах) -- мастер настройки AD этого не делает. Может, и это свою лепту внесло в то, что SDC я всё-таки поднял.


[s]Исправлено: Raistlin, 23:27 19-05-2003[/s]

[Animal]

Цитата:

С другой стороны, разгружается (по-моему) сеть.

Нет, наоборот. Вместо того чтобы идти сразу на WinRoute-машину, пакет идет на PDC, а с него на WinRoute-машину - 2 пересылки внутри сети вместо одной. К тому же канал к PDQ и так больше прогружен по сравнению с каналом к WinRoute-машине. А ты его еще и инетовским исходящим трафиком нагружаешь, правда он не велик. Но не переживай - это все формальная логика, на самом деле реальной разницы при твоей и моей (если бы ты ее реализовал) настройками сети вы не почувствуете. Если новых проблем возникать не будет, я бы на твоем месте оставил все как есть.

[Raistlin]

А мои соображения по поводу того, сколько сетевых операций требуется для разрешения имени в IP-адрес (см. выше), -- они неверны? Или это никак положительно не влияет ни на скорость разрешения имён, ни на величину трафика?

[Animal]

Соображения верны. Но выигрыш будет только в том случае, если PDC будет кешировать (в чем я сильно сомневаюсь) dns c WinRoute-машины. Если нет - то тоже самое.
Даже если есть выигрыш, то он имхо ничтожен. DNS ведь клиенту нужно один раз разрешить. Главное - это обмен данными в инете. А вот здесь см. предыдущий пост.
Повторюсь: думать по поводу такой мелкой оптимизации вряд ли стоит, ты все настроил очень даже хорошо.

[Raistlin]

Цитата:

выигрыш будет только в том случае, если PDC будет кешировать

Ну это понятно. Я, честно говоря, надеялся, что он будет этим заниматься . А как можно проверить, кэширует он или нет?

Цитата:

ты все настроил очень даже хорошо

Спасибо! Без твоей помощи не получилось бы. Я всё-таки на досуге попробую альтернативый путь -- со вторичным DNS-сервером.

[Animal]

В хелпе по W2000SERV есть по поводу интересного параметра "ВКлючить безоп. кеш":

Цитата:

Определяет, предпринимает ли сервер попытки очистить ответы, чтобы избежать засорения кэша. DNS-серверы Windows 2000 по умолчанию используют параметр безопасных ответов, исключающий добавление в кэш посторонних записей ресурсов из ссылочных ответов. В большинстве случаев любые имена в ссылочных ответах кэшируются и используются для ускорения сопоставления имен в следующих запросах DNS. Однако данное средство позволяет серверу определить, что ссылочные имена потенциально засоряют кэш или являются небезопасными, и отбросить их. Сервер определяет, следует ли кэшировать имя, предлагаемое в ссылках, на основании того, является ли оно частью дерева доменов DNS, к которому относится исходное запрашиваемое имя. Например, если выполнялся запрос имени «example.microsoft.com», а в ссылочном ответе представлена запись для имени вне дерева доменов «microsoft.com», например, msn.com, то это имя не будет кэшировано при включении данного параметра.

Если открыть хелп по серверу, там про DNS много и сложно написано.

Ответа на вопрос о проверки я не знаю.
Можно попытаться так проверить: с нескольких клиентов пинговать какой-нить инет адрес. А потом отключить кабель от машины с WinRoute и пинговать тот же адрес. Адрес ясное дело не пропингуется, но если закешировался, то IP покажет. Перед этим нужно проверить для чистоты эксперимента, не кеширует ли раб. станция (ну это вряд ли), отключив от нее кабель. Но это все вилами по воде на самом деле.
Может в ResKit'е есть какие утилиты для просмотра кеша таблиц dns.

Даже если кеширует, не будет ощущаться на практике никакого прироста в скорости разрешения по сравнению с вариантом, где не кеширует, т.к. канал между PDC и WinRoute-машиной очень-очень быстрый (применительно к запросам DNS).

[Raistlin]

Попытался -- имя в адрес при отключении WinRoute-машины от сети разрешается (если отключить самого клиента, то нет). Получается, DNS-сервер на PDC их кэширует. Ну что ж, тему проработали хорошо, можно в MS Knowledge Base публиковаться .
Ещё раз спасибо за помощь, Animal!

Подскажите, как удалить домен и активдиректори не удаляя самих win2000?