[El Scorpio]

Цитата mcmurphy:

при пинговании внутри локалки company.ru пингует то внутренний адрес, то внешний. »

Как настроены адреса DNS-серверов на клиентах?
Только локальный сервер или локальный и провайдера?
Что возвращает команда nslookup ИМЯ_ДОМЕНА ?

Правильно - только локальные DNS-сервера, которые содержат только локальные IP.
Для определения адресов сети интернет нужно настроить на локальном сервере DNS перенаправление запросов на DNS провайдера.

[mcmurphy]

Клиенты получают адреса ДНС-серверов через ДХЦП: первичного КД, вторичного КД, и какой-то левый интернет-адрес. По словам прежнего админа, это надо для каких-то целей (есть самописный корпоративный софт, и чтобы прошла успешная генерация лицензионного ключа необходимо, чтобы успешно прошла связь со внешним сервером)... как-то так. Почему все именно в таком виде - разбираемся.

При пинговании company.ru выдает отклик то от внутренней сетевушки КД, то от внешней сетевушки КД. Пардон, если ответил не то, что спрашивали :-).

Насчет nslookup ИМЯ_ДОМЕНА - тут вообще все интересно...
Если зайти в оснастку ДНС, открыть узел Зоны прямого просмотра, там будет стандартная _msdcs.company.ru, и сама зона company.ru. Внутри зоны company.ru, насколько я понял создан домен: сначала папка ru а в ней вложена папка company. Внутри этой папки только 3 записи, у всех - тип узел (А), при этом одна называется "как папка верхнего уровня), другая mail, третья www, и у всех трех - один и тот же внешний айпишник (87.xxx.xxx.xxx).
Причем этот айпишник не совпадает с внешним адресом этого сервера.
Да, забыл написать, на этом же сервере крутится еще и почтовый сервер.
Что там делают эти записи и на что указывают - непонятно.
С днс серверами провайдера (которые тоже прописаны на внешней сетевушки сервера они тоже не совпадают).
Так вот, по команде nslookup ИМЯ_ДОМЕНА идет такой ответ:

C:\Windows\System32>nslookup company.ru
╤хЁтхЁ: UnKnown
Address: 10.0.0.1

╚ь*: company.ru.company.ru
Address: 87.xxx.xxx.xxx (тот левый адрес из домена, созданного в нашей зоне).

На самом КД, в ДНС-е настроен форвардинг на два провайдерских ДНС сервера.

И до кучи: почему-то на вторичном кд (тоже 2003 р2) не установлен днс-сервер. Вроде бы должен быть... резве нет? Смотрю в Администрировании - нет ярлычка ДНС. Смотрю установка и удаление программ - установка компонентов виндоус - сетевые службы - нет галочки на ДНС.
На виртуалках поднял вторичный КД (правда там все на 2008) - там есть ДНС.


Да, в интернет выходим через отдельный шлюз, не через КД.

[El Scorpio]

Цитата mcmurphy:

Клиенты получают адреса ДНС-серверов через ДХЦП: первичного КД, вторичного КД, и какой-то левый интернет-адрес. »

Цитата mcmurphy:

При пинговании company.ru выдает отклик то от внутренней сетевушки КД, то от внешней сетевушки КД. »

"левый адрес" DNS-сервера убрать - скорее всего он и выдаёт IP внешней сетевой карты, используя информацию из DNS интернета.

Цитата mcmurphy:

Если зайти в оснастку ДНС, открыть узел Зоны прямого просмотра, там будет стандартная _msdcs.company.ru, и сама зона company.ru. Внутри зоны company.ru, насколько я понял создан домен: сначала папка ru а в ней вложена папка company. Внутри этой папки только 3 записи, у всех - тип узел (А), при этом одна называется "как папка верхнего уровня), другая mail, третья www, и у всех трех - один и тот же внешний айпишник (87.xxx.xxx.xxx). Причем этот айпишник не совпадает с внешним адресом этого сервера. »

Совсем замечательно. Судя по всему, изначально собирались делать сайт и почтовик на каком-то другом сервере, подключенном через другой канал связи (или вообще территориально находящемся в совсем другом месте)
Или может быть используется для работы "самописного корпоративного софта".

В таком случае нужно
1) удалить эти левые записи для обеспечения нормальной работы сети (хотя бы запись
2) переписать "самописный софт" или попытаться добавить "костыли", которые не будут нарушать нормальную работу сети.

Цитата mcmurphy:

Да, в интернет выходим через отдельный шлюз, не через КД. »

Слава Ктулху!
Вообще-то странно, что внешний сайт работал на контроллере домена.
По-хорошему, для сайта, почты и т.д. нужно выделить отдельный сервер (можно виртуальный, можно на Linux).
А на шлюзе настроить перенаправление портов HTTP/HTTPS на данный сервер.


И вообще использование одинакового имени для внутреннего домена и для внешнего сайта крайне не рекомендуется (см. http://forum.oszone.net/thread-192024.html )
В идеале, нужно переименовать внутренний домен, указав ему адрес вида company.local (или company.work)

Поскольку у вас планируется ввод нового сервера... Если у вас не очень много компьютеров, лучше будет создать с нуля новый домен, зарегистрировать в нём пользователей и перенести в него все компьютеры.

[mcmurphy]

Спасибо за советы!
Компов около 200 (вместе с серверами), часть из них - виртуальные на Хайпер-В.

Еще такое уточнение - на основном КД (тот, который с двумя сетевушками и прямым выходом в интернет):
крутится SQL-база данных (доступная из интернета)
внешний сайт
почтовик
внутренний сайт.
Порты открыты только эти: 8080, 25, 80, 110, 143, 443, 1433.
Вопрос вот в чем - если я передам ФСМО роли другому серверу, а этот понижу до обычного сервера, нужна ли будет ему роль ДНС-сервера?

Доступ ко внутреннему сайту такой: в браузере набираем имя сервера и указываем порт (ну или все это в ярлычке) http://myserver:4500. Тут вроде бы ДНС не нужен?

Доступ ко внешнему сайту: на nic.ru и у другого подобного регистратора прописаны служебные записи cname, mx и прочие, что домен, он же внешний сайт крутится на этом серевере (прописан адрес внешней сетевой карты). Тут вроде внутренний ДНС-сервер тоже не нужен...

Доступ к почте: в почтовике-клиенте прописан сервер по его имени: myserver, с указанием портов поп и смтп.


Кроме этого почему-то пропала половина рут-хинтов в оснастке ДНС. Часть есть: и имена и адреса, а другая - только имена, а вместо адресов написано - толи неопределено, толи неизвестно... как-то так.

Появилась новая проблема: в системном журнале большое число ошибок с кодом 18456 "пользователю SA не удалось войти в систему" - проблема с SQL-ем, похоже на то, что подбирают пароль к БД. Нафига нужен SQL для доступа из интернета - пока неизвестно, но такое требование было. В логах есть адреса с которых шла атака, один из США другой из Китая, хотя это наверное прокси-сервера.
На скорую руку закрыл эскуэльный порт брандмауэром - пока выходные. Но с началом рабочей недели, функционирование надо будет вернуть, как защищить базу от взлома?
Есть вариант переназначить на другой порт, но узнать его - дело 2-х минут - если злоумышленники выбрали цель осмысленно, продолжать атаковать, то любой вновб появившейся порт будет эскуэльным - тут понятно сразу.
Есть вариант переименовать встроенные учетные записи SQL, и поставить блокировку после 3-х неверных паролей. Это сделать можно в принципе?
Что еще можно сделать для защиты?

Ну и такой вопрос: понимаю, что надо переносить КД на внутренний сервер, чем срочнее тем лучше, а нового сервера пока не предвидится.
Есть на примете офисный компьютер с Core i5 + 8 гб памяти, вроде бы на мамке есть встроенный рейд-контроллер. Как такая конфигурация, потянет 200 компов? Насколько страшно, если у КД не серверная память (я имею ввиду что без ECC), и десктопный встроенный рейд? Скорее всего на этот комп кроме КД придется перенести и ДХЦП-сервер.

[El Scorpio]

Цитата mcmurphy:

Доступ ко внутреннему сайту такой: в браузере набираем имя сервера и указываем порт (ну или все это в ярлычке) http://myserver:4500. Тут вроде бы ДНС не нужен? »

Цитата mcmurphy:

Доступ к почте: в почтовике-клиенте прописан сервер по его имени: myserver, с указанием портов поп и смтп. »

Локальные клиентские компьютеры будут использовать основной локальный сервер DNS

Цитата mcmurphy:

Доступ ко внешнему сайту: на nic.ru и у другого подобного регистратора прописаны служебные записи cname, mx и прочие, что домен, он же внешний сайт крутится на этом серевере (прописан адрес внешней сетевой карты). Тут вроде внутренний ДНС-сервер тоже не нужен... »

Внешние клиентские компьютеры будут использовать DNS регистратора.

Однако вы можете оставить данному серверу роль DNS-сервера и использовать для хранения вторичных зон DNS (копий первичных зон с контроллеров домена) и кэша рекурсивных запросов имён внешних сайтов, чтобы сохранить полную работоспособность сервера при остановке/перезагрузке основных DNS-серверов сети.

Цитата mcmurphy:

Есть вариант переименовать встроенные учетные записи SQL, и поставить блокировку после 3-х неверных паролей. Это сделать можно в принципе? »

Для Linux есть служба Fail2ban, которая блокирует данный IP-адрес при превышении числа ошибок ввода паролей для популярных сетевых служб.
Есть ли аналогичная служба для Windows, не знаю.

Цитата mcmurphy:

Есть на примете офисный компьютер с Core i5 + 8 гб памяти, вроде бы на мамке есть встроенный рейд-контроллер. Как такая конфигурация, потянет 200 компов?»

DHCP-сервер нагрузки не налагает.
Что касается остального, то сам по себе контроллер домена опять же высокой нагрузки не требует - это просто небольшая база данных, содержащая список пользователей/компьютеров, и набор маленьких файлов с групповыми политиками.
Однако сетевые папки с профилями пользователей и другие "тяжёлые" файлы пока лучше оставить на старом сервере.
Лучше конечно, чтобы у вас использовалось DFS - в этом случае вы сможете оперативно переносить нужные сетевые папки с одного сервера на другой без изменения параметров пользователей.

Цитата mcmurphy:

Насколько страшно, если у КД не серверная память (я имею ввиду что без ECC) »

ECC - технология исправления сбоев в отдельных битах оперативной памяти.
Особой необходимости по её использованию нет. По крайней мере, для "временных" решений.

Цитата mcmurphy:

десктопный встроенный рейд »

То же самое - несерьёзно, но при отсутствии "тяжёлых" задач (большие базы данных) сойдёт.

Но лучше всё же оставить все системы на данном сервере. Просто отключите его от интернета, а какой-нибудь компьютер задействуйте в роли шлюза. А ещё лучше, купите хороший аппаратный маршрутизатор.
А чтобы сайт, почта и прочие службы были доступны для внешних пользователей, настройте на данном маршрутизаторе проброс соответствующих портов на внутренний сервер.

[mcmurphy]

Ок, еще раз благодарю!
Перемещаемы профили не используем, больше боялся за назначение адресов через ДХЦП и ДНС-распознавание внутренних ресурсов... Вроде бы по старым книгам от Майкрософт (там правда про 2000 сервер было) говорилось, что для какой-то из этих задач требуется быстрая дисковая подсистема... чтобы сервер успевал обрабатывать обращения клиентов... если не путаю..

[mcmurphy]

Отписываюсь:

1. в оснастке ДНС, внутри нашей зоны удалил левый домен
2. через ADSIedit удалил устаревшую зону, которая хранилась в разделе леса (ошибка 4515) + удалил еще и зоны InProgress...

Полет нормальный: оба КД перезагружал, вход в сеть у юзеров нормальный, шары не отвалились, введение-выведение из домена раб станции проходит успешно.

Первая часть марлезонского балета прошла - ОК

El Scorpio, теперь команда nslookup company.ru возвращает айпишники первичного, вторичного КД и белый айпишник внешней карты КД.

[El Scorpio]

Цитата mcmurphy:

El Scorpio, теперь команда nslookup company.ru возвращает айпишники первичного, вторичного КД и белый айпишник внешней карты КД. »

Внешний IP - не нужно.
Хотя бы потому, что компьютеры очень часто обращаются к контроллерам домена просто по имени домена.
А поскольку у вас файрволл на внешнем интерфейсе блокирует порты доменных служб (надеюсь, что заблокирует ), то треть обращений завершится ошибкой.

[mcmurphy]

El Scorpio,
Вроде бы все наладилось: через ДХЦП я установил новую очередность ДНС-серверов, в которой КД с выходом в инет - последний.
ФСМО роли передал на новый КД (на 2008 Р2), с проблемного КД снял галку Глобальный каталог.
Теперь авторизация, как я понял вся идет через новый КД, да и в ДНС-ах он первый. Нслукапы и пинги вроде проходят как надо (внешние адреса через нслукап больше не показываются).

Теперь очередь за понижением проблемного КД до рядового сервера.
Напомню, что на нем крутится IIS + внешний и внутренний сайты, Hmail - почтовый сервер (работает и в локалке и со внешним миром), ДХЦП.
При выполнении команды dcpromo ругнулся на то, что на сервере развернуты службы сертификации, и сначало надо удалить их.
Нельзя ли вкраце рассказать - что за зверь такой? Раньше с ним не работал. Какие сервисы могут использовать сертификацию, и как это точно узнать? Может у них своя оснастка есть, на что там смотреть?
Я конечно поспрашиваю у бывалых, может и вспомнит кто зачем они там установлены (там пол-завода админили - все понемногу, каждый в свое время. Прямо картина маслом: шарик, матроскин и дядя федор пишут письмо родителям. Каждый что захотел, то и написал наадминил.)

В сетке используем серверы виртуализации (хайпер-в 2012 + виртуальные машины) и сервер терминалов - постепенно отказываемся от него в пользу виртуализации. Вроде бы сертификация может использоваться в паре с терминалами - как это проверить?
Еще есть ВПН.
И спец форма на сайте, которая позволяет клиенту ввести имя-пароль и получить доступ на закачку нового софта.
Могут ли эти сервисы использовать сертификацию?

Можно ли как нибудь временно остановить службу сертификации, чтобы посмотреть - повлияет это или нет? Может службу подняли, а сертификаты так и не настроили...

Как всегда, благодарен за помощь!

ЗЫ: могу дополнить, что для подключения по ВПН на свой домашний комп специально никакой сертификат не устанавливаем, все работает и так. На компы в локалке тоже сертификаты специально не ставим - все стандартно: ОС, проги, драйвера...
Что еще... к личным почтовым ящикам вроде бы тоже специально сертификаты не прикручиваем - если только они автоматам назначаются (если такое возможно). Может быть, конечно сертификаты в целом ко всем почтовым сообщениям прицепляются (опять-же автоматом, если такое возможно в принципе) - тут уже не знаю...
В общем, вопрос в том же - как и где посмотреть какие были созданы, выданы, или используются сертификаты, и их сроки.

Когда поднимал новый КД на 2008 Р2 ни про какие сертификаты не спрашивало, все поднялось, роли передались...