[skytrain]

Цитата cameron:

где »

На корневом DC (windows 2008)

[cameron]

подозреваю, что у вас один КД одной локали, а другой КД другой локали.
например первый (s2) EN, а adprep взяли с локализованного дистриба.
ну или наоборот.
проверьте этот момент (не забывайте про MUI, который может стоять).

[skytrain]

Цитата cameron:

где »

На корневом DC (windows 2008)

Цитата cameron:

не забывайте про MUI, который может стоять »

Ох.... надо смотреть что такое MUI

Цитата cameron:

подозреваю, что у вас один КД одной локали, а другой КД другой локали. »

Я это тоже подозревал. В инетах есть описание этого случая.
Там рекомендуют переименовать каталог в adprep из ru-ru в en-en.... и насладиться жизнью....
Но этот фокус тоже не прошел.

Если я не ослеп, то оба дистра одной локали. (RU)

[skytrain]

Тут появилась идея...
У нас есть еще один вторичный DC в удаленном филиале под samba4 .
И он включен в ЛВС корневого DC по ВПН, бриджом.
И соответственно по запросу имени ИМЯДОМЕНА.СУФИКС я реально получаю 3 айпишника.
Один с интерфейса DC и два с железного и ВПН интерфесов вторичного DC.

Соответственно.... может быть мой новый сервер "стучится" не туда, куда нужно... что косвенно подтверждает tcpdump...

[cameron]

Цитата skytrain:

У нас есть еще один вторичный DC в удаленном филиале под samba4 . »

*рукалицо*

Цитата skytrain:

ИМЯДОМЕНА.СУФИКС я реально получаю 3 айпишника. »

тоже ошибка.
должно быть 2.

[skytrain]

Цитата cameron:

тоже ошибка. должно быть 2. »

Нет... именно 3
2 железных интерфейса с контроллеров и один с ВПН интерфейса контролера филиала.
Я раньше с этим боролся... что-бы машины из одной подсети не ходили за DC в Москву.... Но тут такая ситуация.... что много не навоюешь.
Я уже пробовал сделать....... лучше вам не знать, что из этого вышло

SRV записям, в отличии от A записей можно назначать приоритеты.
Это значит как минимум то, что DC в филиале можно объяснить, что-бы "вперед батьки" не лез.
Но тогда все с филиалов будут ходить на корневой DC

Надо как-то объяснить машинам из подсетей, на какой DC стучаться в первую очередь?

Тема уходит в офтоп.... ну кто-же знал....

По моему есть какой-то механизм, использующий default-first-site-name.

[cameron]

Цитата skytrain:

По моему есть какой-то механизм, использующий default-first-site-name. »

оптимально - делить по сайтам.
дальше клиент сперва будет обращаться к сайтовому КД.

[skytrain]

Цитата cameron:

оптимально - делить по сайтам. дальше клиент сперва будет обращаться к сайтовому КД. »

Для меня это пока что "какой-то механизм"
И пока непонятно. Как привязать сайт к подсети. Если ДНС сервера синхронизированы.

читаю инфу....

Пардон... руками это более проблематично, нежели мастером.

[cameron]

Цитата skytrain:

И пока непонятно. Как привязать сайт к подсети. »

оснастка AD:SS.
указать какие сабнеты (их нужно сделать) входят в какие сайты.
один сайт может содержать несколько сабнетов, но не наоборот.
сабнет может входить только в один сайт.

Цитата skytrain:

Если ДНС сервера синхронизированы. »

это вообще ни при чём.

Цитата skytrain:

Пардон... руками это более проблематично, нежели мастером. »

два клика, какие мастеры?

P.S. настоятельно рекомендую удалить вашу самбу4, преждем чем делать что-то.
последнее, что я видела - не знало что такое сайты, сабнеты, KCC, bridgehead и тд и тп.
впрочем, если хочется красноглазить, то можно.
но тогда вопросы по расширению схемы АД нужно задавать в майлинг листах коммуьнити самбы.

может даже Надежда вам ответит

[skytrain]

Цитата cameron:

впрочем, если хочется красноглазить, то можно. »

Тут вопрос в том, что я лучше воспринимаю то что видел и понял.
Нужно увидеть в "красках" , как это работает.
В ДНС зоне "_sites.ДОМЕН.СУФФИКС" должна быть создана подзона с именем сайта, содержащая в себе SRV записи ссылающиеся на нужный ресурс.
Я такой подход "красноглазием" назвать не могу. Мне просто так понятней.

Цитата cameron:

P.S. настоятельно рекомендую удалить вашу самбу4, преждем чем делать что-то. »

А что плохого в ней.
Плохо было во времена ubuntu 12.04.... Жаль тут нет смайлика с виселицей....
Сейчас все уже вполне юзабельно.

Цитата cameron:

последнее, что я видела - не знало что такое сайты, сабнеты, KCC, bridgehead и тд и тп. »

За это отвечает либо ДНС от samba (от чего я отказался, заточен только под одно дело, а а занимает стандартный порт), либо bind9 с плагином samba_dlz, которому надо кое что "объяснить"

Тут в "топорном" варианте получается что он все это MS-хозяиство реплицирует в себя "как есть"
В основной зоне ДОМЕН.СУФФИКС получается что-то типа....

Код:

$ORIGIN _tcp.default-first-site-name._sites.dc._msdcs.ДОМЕН.СУФФИКС.
_kerberos                         SRV     0 100 88 s2.ДОМЕН.СУФФИКС.
                        SRV     0 100 88 mos-srv.ДОМЕН.СУФФИКС.
$TTL 600        ; 10 minutes
_ldap                   SRV     0 100 389 s2.ДОМЕН.СУФФИКС.
                        SRV     0 100 389 mos-srv.ДОМЕН.СУФФИКС.

Чего для ресолвинга хватает более чем.
Но для обновлений через него - это не подходит. Нужны выделенные зоны _msdcs.ДОМЕН.СУФФИКС, _sites.ДОМЕН.СУФФИКС, _tcp.ДОМЕН.СУФФИКС, _udp.ДОМЕН.СУФФИКС, domainzones.ДОМЕН.СУФФИКС, forestzones.ДОМЕН.СУФФИКС
Что-бы к ним можно было обращаться напрямую...

Но это не самое интересное.
Все через оснастку "Сайты и службы"
Интереснее то, что я создал сайт "moskow-site" для филиала, привязал подсеть, перенес вторичный DC в новый сайт..... и обновлений в ДНС-е (на сервере windows 2008) нет. (ждал целую ночь)
О новом moskow-site нет даже упоминаний.....
Это нормально?