Грамотное разделение ролей сервера!!!
 

Опишу проблему: есть две сети: 192.168.0.0 255.255.255.0 (внутренняя) и 87.Х.Х.48 255.255.255.248(внешка с реальными IP) Ситстема проста, на границе сетей стоит АД , он же Proxy UserGate2.8, он же файл-сервер, он же DNS. Одна нога его во внутренней, другая во внешке. С внутренней всё понятно, а вот во внешней немного интересней, с этого сервака идёт кабель на гигабитный свич, со свича уже расходится на модем 87.Х.Х.49 и на оракловый сервак 87.х.х.52. Для чего сделанно именно так: Даже когда нет инета, внутренняя сетка посредствам NAT имеет доступ к ораклу. А теперь внимание вопрос: КАК БЫ ВЫ отделили роль прокси от сервера с АД!? )))

Элементарно. Поставить маршрутизатор (или отдельный компьютер в его роли).

Нее, это понятно хотелось бы детально услышать всё видение ситуации со стороны профессионалов, комп будет обязательно, вот кстати думаю ISA на него ставитьили обойтись сторонним ПО

Это уж как Вам больше понравится.
Не знаю, профессионал ли я, но на контроллер домена шлюз не ставят.

monkkey, и я с вами полностью согласен!!! но то что достаётся в наследство от предыдущих "поколений" выбирать не приходится , а приходится разруливать... Меня кстати, больше интересует вот что. Стоит ли связывать в случае установки ISA c AD и будет ли он работать в случае падения последнего... Всё это затеяно ещё и с целью организации резервной линии интернета от второго провайдера... плюс из-за глючного сервера АД , т.к. переустановить его нельзя потому что на него завязана огромая папка с разделёнными правами, короче жуть... ладно, что бы было нагляднее прикреплю рисунок с образной схемкой топологии...

я бы сказал наоборот: на шлюз ДК не ставят. т.к. сначало появляется сеть, а помто уже её в доменную преобразовывают. так примечание.
если деньги есть - ставтье ISA, если хотите съэкономить и при этом иметь надёжгную защиту - *nix и iptables или ipwf вам поможет.
но главное правило не забывате: делайте бекапы, перед тем как что-то менять.

exo, А конкретно предложения по схеме будут?

схема стандартная: интернет - шлюз - локальная сеть.
если хотите считать трафик пользователей в отдельности + пазграничение прав на использование интерента по пользователям - тогда ISA вам нужна или другие виндовые прокси. Если нет такой нужды - осваивайте *nix. Также на *nix есть тоже прокси.

exo, а как быть с подсеткой реальных айпишников , 87.х? просто вот сейчас сижу рисую на бумажке несколько вариантов... мне главное обеспечить бесперебойный доступ к ораклу как из внутренней 192й так и из внешки, собственно для этого резервная адсл линия протягивается.ЗЫ обращение к ораклу идёт через 87.х.х.52 так что из внутренней натится а из внешки проходит напрямую...

Да, и ещё вопрос, чисто может и делитантский, если логически разные подсети слить в одну физическую доступ по айпишнеку же будет? вернее я уверен что будет, вот только когда я так делал, почему то не у всех клиентов 192й получалось достучатся до 87.х.х.52....

вы покажите что есть - подумаем вместе.
хорошобы тоже нарисовать. со слов не так понятно...

Ну например: хотя мне не очень нравится(( ибо если что то не так с проксиком внешка не достучится до Оракла...

а так?

1) одинаковые рисунки
2) а почему у вас адсл с прокси по pppoe общается ? обычно адсл так с внешним миром общается, а с прокси уже по Ethernet.
3) Оракл стоит у вас рядом с внешним адресом или далеко от вас. не понятно от кого он получил внешний адрес.

Для начала мне не понятно, что на первой что на второй, предложенных схемах. Зачем свитч перед оракловым сервером? Локальное пространство компов подключается и к прокси и к свичу котоорый ведет на оракл так еще и на АД. Подозреваю что все это с помощью хаба в локальной сети осуществляется. Не проще ли чтоб локальные машины были включены в общий свич, в который также подключена прокся, АД и оракловый сервер?!

Ещё один вариант:

очень хорошо.
так же можно в оракл добавить ещё сеьтевую карту и воткнуть в неё внутренюю сеть.

Кажется это будет лишним. Оптимально когда оракл за прокси с помощью ната. он доступен из внешки спокойно и с помощью ната локально.

DDoS на нат. - что будете делать ? это к примеру.
или это рекомендации разработчиков оракла ?

аналогично если DDOS на прокси! оракл из вне доступен не будет.

нет, это не рекомендации. Мое сугубо личное мнение. Данное его расположение упрощает обращение с разных сетей с минимальным количеством настроек

Согласен, 3 я схема, мне тоже кажется наиболее оптимальной!а теперь вопрос, как лучше, натить или проксить запросы к 87.х.х.52(оракл).
Глук браузера и меня)))
это образно - схематично, просто один модем одного провайдера выходит через PPPoE а другой через PPPoA
Оракл рядом, я его не обслуживаю, адрес прописан ручками, если помните, то в начале я говорил огруппе реальных IP его адрес один из них
Можно но геморно, я согласен с вами что добавить бы и всё тут, но клиенты обращаются по 87.x.x.52 , резона мало
И ещё вопрос, какой лучше прокси ставить, если рекомендуете ISA, то завязывать ли её с AD?

в нашем случае прокси и есть нат. так что не повторяйтесь, пожалуйста.
если он не будет доступен из вне, при Ддосе на прокси\нат - то как к нему будут доступаться внутренние пользователи?

OKI84, я бы на вашем месте Оракл вообще убрал из внешней сети, поставил бы во внутренюю и опубликовал через прокси сервер ISA.

и ещё, если у вас сейчас так работает Оракл на внешнем адресе, надеюсь на сегодняшнем шлюзе прописан к нему прописан статический маршрут? у меня давно в похожей ситуации были проблемы с доступом к серверу.
конечно. ибо тогда ручками в ISA будите пользоввталей добавлять. есть и другие прокси, которые интегрируются с АД.
нат - это лишь преобразование адресов.
прокси - авторизация пользоватлей + нат. возможно бывает без ната, но не встречал.
ISA выполняет три функции - кеш, прокси, фаервол.

ну если внутренних много-много, то тогда перевод на внутренний будет геморным. но думаю можно автоматизировать.

я бы убрал всё во внутренюю сеть и пробросил бы порты для внешних клиентов.
если не хотите - то отсавляйте как есть, прсото уберите АД за прокси.

Солидарен! И всё же как вы смотрите на то если рухнет АД, каковы последсвия для доступности Oracl'a

Я и не повторяюсь, просто при текущей настройке натит винда, а проксит Юзергейт старый!
Вопрос уместный, согласен, вот поэтому я и думаю что будет если прокся усрётся....
УЧТУ , спасибо за совет!

рекомендации майкрасофта - два ДК.
это я не вам. я имел ввиду, что это на одной машине с одним реальным адресом. поэтому =

Как говорится в данном случае, роль прокси это Usergate2.80. он выполняет роль связи с инетом. как известно НАТА в нем нет. Поэтому ретрансляцию адресов выполняет НАТ винды!

тут, я согласен с exo полностью. От падения одного АД спасет только второй АД. Однако, одна проблема может устраниться, а новые могут появиться!

Всем СПАСИБО!!! По советуexo, добавлена в оракл сетевуха в локалку. плюс схема 3

не второй ад, а второй контроллер домена. Т.к. АД только один, а обслуживать его могут сколько угодно ДК.
я имел ввиду: нат и прокси - одна машина. если её будут досить, то и нат и прокси в пустую работать будут.

Цитата:

Цитата Hromius Однако, одна проблема может устраниться, а новые могут появиться »

согласен...