Настройка домена сети и DNS Win2003 standard
 

Добрый день!

Обращаюсь за помощью в настройке Win2003 std и сетевого аппаратного обеспечения к знатокам.
Заранее прошу не давать советы типа «выкинуть весь этот хлам и купить …», так как фирма только организовалась и денег на обновление аппаратуры сейчас нет, поэтому что есть из железа, то и надо настроить.

Описание того, что есть сейчас:

Оператор -> Модем ADSL (№1) -> маршрутизатор Belkin 2000 (№2) -> маршрутизатор D-link DIR-300 (№3)

Узлы сети WinXP и сервер Win2003 std (обычный ПК) сидят на LAN и Wifi с настройками от DHCP маршрутизатора №2.

№1 – просто пробрасывает все через себя.

№2 – реализует DHCP, NAT, Wifi, LAN для узлов одноранговой сети.
Настройки WAN порта:
Type: static
IP: 10.21.125.2
Gate:10.21.125.1
DNS:217.119.16.67, 217.119.16.75
DHCP: 192.168.2.10 – 192.168.2.25

Настройки LAN порта:
Получено по DHCP.
IP: 192.168.2.Х
Gate: 192.168.2.1
DNS: 217.119.16.67, 217.119.16.75

№3 – реализует функцию обычного коммутатора для узлов одноранговой сети (DHCP, NAT, Wifi - отключены).

Сеть работает, интернет раздается, имена DNS разрешаются, сетевой принтер доступен.

Поставлены задачи:
1.Установить на сервер операционную систему Win2003 std (изначально стояла WinXP), сделать его недоступным для пользователя (убрать с него монитор, клавиатуру, мышь), сделать контролером домена.
2.Включить в домен все узлы сети.
3.Настроить DHCP, DNS, электронную почту на сервере.
4.Перейти на другого оператора интернет (со статическим белым IP).
5.Поднять на сервере сайт (сайт не моя задача).

Задачу №1 выполнил: установил сетевую карту №2; сетевая карта №1 сервера Win2003 std получает настройки по DHCP, №2 – не подключена.
Сеть работает, интернет раздается, имена DNS разрешаются, сетевой принтер доступен. Все пингуется, локальные расшаренные сетевые папки доступны, ultraVNC и TeamViewer работают корректно.
Домен назвал DOMEN.NET
Возникла первая проблема – узлы сети при попытке подключения домен не видят. Добавление компьютера и учетной записи пользователя в Active Directory вручную ничего не изменило.
В чем может быть проблема?

Далее я переподключил сеть по схеме:
Оператор -> Модем ADSL (№1) -> сервер Win2003 std (4) -> маршрутизатор Belkin 2000 (№2) -> маршрутизатор D-link DIR-300 (№3)

№3 – реализует функцию обычного коммутатора для узлов одноранговой сети (DHCP, NAT, Wifi - отключены).

№4 – настроил DHCP, DNS. Подключил сетевую карту №2 к роутеру Belkin (№2).
DHCP сервер: 192.168.50.10 – 192.168.50.25

OUT-LAN (к ADSL):
IP: 10.21.125.2
Gate: 10.21.125.1
DNS: 217.119.16.67, 217.119.16.75

Routing and remote access: NAT с 192.168.50.1 на 10.21.125.2

IN-LAN (к WAN-порту Belkin):
IP: 192.168.50.1
Gate: 10.21.125.2
DNS: 10.21.125.1, 217.119.16.67, 217.119.16.75

№2 – реализует DHCP, NAT, Wifi, LAN для узлов одноранговой сети.
Настройки WAN порта:
Type: dynamic (DHCP резервация 192.168.50.2 от сервера Win2003 std)
IP: 192.168.50.2
Gate: 192.168.50.1
DNS: 10.21.125.2, 217.119.16.67, 217.119.16.75
DHCP+NAT 192.168.50.10 – 192.168.50.25

Настройки LAN порта:
Получено по DHCP.
IP: 192.168.50.Х
Gate: 192.168.50.1
DNS: 10.21.125.2, 217.119.16.67, 217.119.16.75

Что получилось: пинги с проводных и беспроводных узлов идут на все кроме 217.119.16.67, 217.119.16.75, имена не разрешаются - соответственно интернета нет…
В оснастке службы DNS сервера Win2003 std имею:
Simple test – PASS
Recursive test – FAIL

В общем я запутался, проблема где-то в локальном ДНС. Очень надеюсь на Вашу помощь.

Заранее благодарю всех.

ipconfig /all с сервера и с клиента. подозреваю, что у клиента в качестве ДНС стоит IP не контроллера домена, а должен.

Зачем на контроллер домена ставить вторую сетевую карту?

В высшей степени, ерунда, DC вешать адрес по DHCP.

Мусью знает толк в извращениях...
Всё остальное также выглядит, мягко говоря, бредом.
Опишите конкретно, что чем должно работать и что от чего должно получать Интернет.

Изначально сервер был просто рабочей станцией. Поставлена задача - сделать из него шлюз, собственный хостинг под сайт и домен. Соответственно вторая сетевая смотрит во внутреннюю ЛВС (конкретно в роутер Белкин).

Здесь снова речь про рабочую станцию (на время настройки серверного ПО). После настройки естественно будет переход на статические. В перспективе как я писал - на реальный белый IP.

Я в начале сообщения просил не издеваться - это не от хорошей жизни.
Нужно:
1. Интернет с модема завести на сетевую карту 1 сервера (он - контроллер домена, DNS, DHCP).
2. Со второй сетевой карты интернет передать на роутер 1 (предполагаю на WAN порт).
3. С роутера 1 передать интернет на роутер 2 (LAN - LAN).
При этом на сервере должен быть свой DHCP, DNS, сетевые папки и в перспективе сайт и почта.

Заранее спасибо.

Не вызывает возражений.

Зачем, если сервер уже роутер? Зачем вам двойной NAT?

интернет шлюз и контроллер домена в одном - крайне НЕ безопасная практика.
это уже отговорки. если поменять ИП с динамики на статику, то рабочая станция не изменится на северную и наоборот.

Я был бы весьма признателен если бы Вы написали конкретные настройки. Я полагаю, что проблема в неверной настройке мною DNS.

Настройки чего? Интернета? Это провайдер выдаст. Вашей внутренней сети? Любые, соответствующие диапазону локальных сетей. Компьютеров? Они автоматически получат настройки от DHCP-сервера, который работает на Win2003.

Я полагаю, о них нужно рассказать, чтоб и мы тоже могли что-то полагать. Или нам гадать?

Angry Demon, есть на форуме ГИГАНТСКИЙ шрифт, что бы автор его заметил?

Цитата:

Цитата aka13 Я в начале сообщения просил не издеваться - это не от хорошей жизни. »

на эмоциях лучше запомните...

Цитата:

Цитата exo есть на форуме ГИГАНТСКИЙ шрифт, что бы автор его заметил?

Есть, только он обычно незаметен авторам вопросов. :laugh:

DHCP сервера естественно. Я полагаю, что неверно настроил шлюх и ДНС не разрешается. Слов написано много - дела мало...
Хотелось получить ответ типа:
В DHCP сервер записать:
1. IP ....
2. Gate ....
3. DNS ....
И все заработает.
Вы издеваетесь? Я расписал в первом сообщение все до моделей роутеров. Куда уже подробнее???

Ваше сообщение я видел. Сеть находится в другом месте и возможности сделать это сейчас нет. Кроме того все расписано в первом сообщении...

не всё. про клиента ни слова... я имею ввиду какие настройки он получил, а не какие ему "хочет дать DHCP сервер"...

Цитата:

Цитата aka13 Я полагаю, что неверно настроил шлюх

:o
А какой у них интерфейс? :laugh:

Вы настроили пересылку запросов DNS на DNS-серверы провайдера (в диспетчере DNS на закладке "Пересылка")? Пинги по IP-адресам в мир идут?

Вот информация, которую просили сообщить:
Windows IP Configuration

Host Name . . . . . . . . . . . . : server
Primary Dns Suffix . . . . . . . : terno.net
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : Yes
WINS Proxy Enabled. . . . . . . . : Yes
DNS Suffix Search List. . . . . . : terno.net

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Realtek RTL8102E Family PCI-E Fast Ethern
et NIC
Physical Address. . . . . . . . . : 00-19-66-77-9E-3B
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 10.21.125.2
Subnet Mask . . . . . . . . . . . : 255.0.0.0
Default Gateway . . . . . . . . . : 10.21.125.1
DNS Servers . . . . . . . . . . . : 217.119.16.67
217.119.16.75

Ethernet adapter Local Area Connection 3:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : 3Com EtherLink XL 10/100 PCI For Complete
PC Management NIC (3C905C-TX)
Physical Address. . . . . . . . . : 00-03-99-55-50-41
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.50.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . : 217.119.16.67
217.119.16.75

ДНС тесты (в "мониторинге" оснастки) проходят оба успешно.
Проблему немного локализовал до сервера: если активирован "внешний" интерфейс, то доступ к интернету (локально) есть:

C:\Documents and Settings\Administrator>ping 10.21.125.1

Pinging 10.21.125.1 with 32 bytes of data:

Reply from 10.21.125.1: bytes=32 time=5ms TTL=64
Reply from 10.21.125.1: bytes=32 time=5ms TTL=64

Ping statistics for 10.21.125.1:
Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 5ms, Maximum = 5ms, Average = 5ms
Control-C
^C

C:\Documents and Settings\Administrator>ping 217.119.16.67

Pinging 217.119.16.67 with 32 bytes of data:

Reply from 217.119.16.67: bytes=32 time=7ms TTL=63
Reply from 217.119.16.67: bytes=32 time=5ms TTL=63
Reply from 217.119.16.67: bytes=32 time=7ms TTL=63
Reply from 217.119.16.67: bytes=32 time=6ms TTL=63

Ping statistics for 217.119.16.67:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 5ms, Maximum = 7ms, Average = 6ms

Если запустить "внутренний" интерфейс, то инет пропадает:

C:\Documents and Settings\Administrator>ping 192.168.50.1

Pinging 192.168.50.1 with 32 bytes of data:

Reply from 192.168.50.1: bytes=32 time<1ms TTL=128
Reply from 192.168.50.1: bytes=32 time<1ms TTL=128
Reply from 192.168.50.1: bytes=32 time<1ms TTL=128

Ping statistics for 192.168.50.1:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Control-C
^C
C:\Documents and Settings\Administrator>ping 10.21.125.2

Pinging 10.21.125.2 with 32 bytes of data:

Reply from 10.21.125.2: bytes=32 time<1ms TTL=128
Reply from 10.21.125.2: bytes=32 time<1ms TTL=128
Reply from 10.21.125.2: bytes=32 time<1ms TTL=128

Ping statistics for 10.21.125.2:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Control-C
^C
C:\Documents and Settings\Administrator>ping 217.119.16.67

Pinging 217.119.16.67 with 32 bytes of data:

Request timed out.

Ping statistics for 217.119.16.67:
Packets: Sent = 1, Received = 0, Lost = 1 (100% loss),
Control-C
^C

Что посоветуете теперь?

служба RRAS настроена?

вы всё ещё хотите сделать шлюз из сервера? а почему не использовать один из роутеров?
почему на внутреннем интерфейсе внешний ДНС ?

настройки клиентов, которые не видят сервер, когда вы пытаетесь его в домен ввести?
tracert 217.119.16.67 покажите в обоих случаях, а ещё route print

Там сверху было что-то про извращения...

Сделайте проще:
1. Узнайте у старого провайдера, может ли он Вам выдать белый айпи. Если нет, то ищите другого. Если да, то:
2. Организовывайте сеть так:
Инет - Модем (типа бридж) - Белкин (роутер с вай-фаем, дхцп, проброс портов.) - Внутренняя сеть. - ДИР-300 в один из четырех LAN(!) портов (а лучше возьмите простой свитч) (смотрите рисунок)
3. На Вин2003 поставьте статический айпи (192.168.ХХХ.УУУ), маску, шлюз(Белкин), ДНС - себя, т.е. 192.168.ХХХ.УУУ (а не 127,1,0,0) и поднимайте на нем домен.
4. При настройке ДНСа укажите форвардинг имен на айпи роутера (Белкина)
5. Определитесь на чем будет сайт, если на APM, то у Вас 2 пути: искать как это все поднять на этом же сервере или взять собрать что-то маломощное, установить Дебиан (или другой дистриб) минимально и установить там(имхо на КД сайт вешать не гут)
6. На роутере пробросить порты 80,8080(если будет https) и те которые еще нужны на тот айпи, на котором будет крутиться сайт.
7. На клиентах шлюзом указываем Белкина, ДНСом - КД
8. С электронной почтой - вариантов море: платные, бесплатные, виндовские, юниксовые. простые, с заморочками. Сейчас популярности набирает гуглопочта. У меня был случай, когда у фирмы почта на укр.нет, а адресса - имя_фирма@ukr.net. Тандерберды настроенны и все довольны.

Если руками указывать:
то какой смысл в этом
Честнее поднять DHCP-сервер на Windows 2003.

Собрал сеть как рекомендовал James Marsh.
DHCP сервер настроил на сервере, он же контроллер домена.
Инет клиентам раздается, DNS имена разрешаются, но в домен узлы так подключить и не могу... При этом тесты DNS по-прежнему оба успешны.

сервер:
Windows IP Configuration

Host Name . . . . . . . . . . . . : server
Primary Dns Suffix . . . . . . . : akson.net
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : akson.net

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Realtek RTL8102E Family PCI-E Fast
et NIC
Physical Address. . . . . . . . . : 00-19-66-96-9E-3B
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.5.2
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.5.1
DNS Servers . . . . . . . . . . . : 192.168.5.1
217.119.16.67
217.119.16.75

узел:
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : secretar
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : akson.net

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . : akson.net
Описание . . . . . . . . . . . . : Realtek RTL8139/810x Family
ernet NIC
Физический адрес. . . . . . . . . : 00-E0-51-74-06-D4
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 192.168.5.100
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.5.1
DHCP-сервер . . . . . . . . . . . : 192.168.5.2
DNS-серверы . . . . . . . . . . . : 192.168.5.2
Аренда получена . . . . . . . . . : 27 ноября 2010 г. 18:31:31
Аренда истекает . . . . . . . . . : 5 декабря 2010 г. 18:31:31


сервер:

Tracing route to ns1.smartspb.net [217.119.16.67]
over a maximum of 30 hops:

1 * * * Request timed out.
2 10 ms 9 ms 10 ms ns1.smartspb.net [217.119.16.67]

Trace complete.


узел:
Трассировка маршрута к ns1.smartspb.net [217.119.16.67]
с максимальным числом прыжков 30:

1 * * * Превышен интервал ожидания для запроса.
2 10 ms 8 ms 9 ms ns1.smartspb.net [217.119.16.67]

Трассировка завершена.


сервер:

IPv4 Route Table
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 ff 7a 04 ab 5e ...... TeamViewer VPN Adapter
0x10004 ...00 19 66 96 9e 3b ...... Realtek RTL8102E Family PCI-E Fast Ethernet
NIC
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.5.1 192.168.5.2 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
169.254.0.0 255.255.0.0 169.254.200.117 169.254.200.117 30
169.254.200.117 255.255.255.255 127.0.0.1 127.0.0.1 30
169.254.255.255 255.255.255.255 169.254.200.117 169.254.200.117 30
192.168.5.0 255.255.255.0 192.168.5.2 192.168.5.2 20
192.168.5.2 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.5.255 255.255.255.255 192.168.5.2 192.168.5.2 20
224.0.0.0 240.0.0.0 169.254.200.117 169.254.200.117 30
224.0.0.0 240.0.0.0 192.168.5.2 192.168.5.2 20
255.255.255.255 255.255.255.255 169.254.200.117 169.254.200.117 1
255.255.255.255 255.255.255.255 192.168.5.2 192.168.5.2 1
Default Gateway: 192.168.5.1
===========================================================================
Persistent Routes:
None


узел:
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x3 ...00 ff 2a 6c a4 b8 ...... TeamViewer VPN Adapter - ¦шэшяюЁЄ яырэшЁют•шър
ръхЄют
0x20002 ...00 e0 51 74 06 d4 ...... Realtek RTL8139/810x Family Fast Ethernet N
C - ¦шэшяюЁЄ яырэшЁют•шър яръхЄют
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.5.1 192.168.5.100 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.5.0 255.255.255.0 192.168.5.100 192.168.5.100 20
192.168.5.100 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.5.255 255.255.255.255 192.168.5.100 192.168.5.100 20
224.0.0.0 240.0.0.0 192.168.5.100 192.168.5.100 20
255.255.255.255 255.255.255.255 192.168.5.100 192.168.5.100 1
255.255.255.255 255.255.255.255 192.168.5.100 3 1
Основной шлюз: 192.168.5.1
===========================================================================
Постоянные маршруты:
Отсутствует

Надеюсь опыт присутствующих, так как уже хожу по кругу, а узлов в домене как не было, так и нет.

как добавляете (все шаги)? какая ошибка возвращается?

Цитата:

Цитата aka13 Собрал сеть как рекомендовал James Marsh. »

хоть здесь то теперь порядок...

У Вас ошибка. Выделенно жирным. В настройках сетевой карты корнтроллера домена указываете его самого. Т.е. 192.168.5.2. И все, больше никаких других адрессов в ДНС на сетевуху не писать! А в роле ДНС указываете форвардинг на 192.168.5.1 или сразу на ДНСы провайдера.

На узле: свойства "Мой компьютер" - закладка "Имя компьютера" - изменить - член домена akson.net

Ошибка:
Замечание: эта информация предназначена для сетевого администратора. Пожалуйста, сообщите эту информацию вашему сетевому администратору. Для удобства, она уже сохранена в файле "C:\WINDOWS\debug\dcdiag.txt".

При запросе DNS записи ресурса размещения службы (SRV), используемой для выяснения размещения контроллера домена для домена "akson.net" произошла ошибка:

Произошла ошибка: "Для данного запроса записей в DNS не найдено."
(код ошибки: 0x0000251D DNS_INFO_NO_RECORDS)

Опрос проводился для SRV-записи для _ldap._tcp.dc._msdcs.akson.net

Для получения подробной информации щелкните кнопку "Справка".

Поправил, но проблема осталась...

видимо реально касяк с ДНС. Как его устанавливали? вспомните?

проверьте DNS -> Forward Lookup Zones -> akson.ne -> _msdcs - > dc -> _tcp наличие SRV записей _ldap.
Если нету - создайте там запись с типом SRV названием _ldap указывающий на ваш контроллер домена.

Устанавливал через менеджер ролей. Создал зону прямого преобразования, обратную делать не стал. Создавал с помощью мастера.
У меня есть прямая зона forward-zone. Там Start of authority, name server и host. На закладке свойств "мониторинг" оба теста проходят успешно.
Хочу попросить Вас расписать данный момент подробнее - я не так виртуозно владею настройкой ДНС... Понимаю, что моя ошибка где-то здесь, но никак не найду ее.

aka13, есть возможность домен снести и заново установить?
ну и зря...

Как самый крайний случай можно, но придется перенастроить сеть на DHCP и DNS от маршрутизатора, переустанавливать кучу софта...

зачем ????????
имеется ввиду не форматирование сервера, а удаление роли AD и DNS.

А потом просто устанавливаете роль AD и вместе с ней DNS, везде тыкаете NEXT, кое-где заполняя информацию.

п.с. прошу уберите в первом посте настройки в тег hide - скрыть

Спасибо за совет - сделал все заново, проверяя каждую запятую и переименовав домен в domain.local, и все заработало! Проверил на одном узле - в домен заходит.

Возник новый вопрос к опытным форумчанам: после добавления ПК и пользователя в Active Directory, подключении и авторизации, при обращении к программному обеспечению начинается его установка (например, MS Office). Посоветуйте, пожалуйста, как сделать так, чтоб использовался уже установленный локально софт.

он и так локальный. только он установлен изначально на "первого" пользователя.
А доменным пользователям только доустанавливаются модули...
это не страшно, одни раз же и всё.

exo, толково все разжевал))

Поясните, пожалуйста, на примере MS Word: ворд есть в "пуск" - "программы", но при его запуске начинается установка. При этом происходит распаковка архива и вылазит ошибка, что не найден файл install11.msi, расположенный в .../Temp/wrar Такого файла там действительно нет.
При этом если нажать отмену, то сразу ворд запускается и работает, но при следующем запуске опять начинается установка...
Кроме того, некоторые программы под "вторым пользователем" просто отсутствуют, а некоторые (из автозапуска) выдают, что недостаточно прав... Не понимаю почему это происходит, так как группа "опытные пользователи" имеет права на установку ПО.
Как с минимумом усилий решить эту задачу?

сколько компьютеров?

десять. но все абсолютно разные (установить на одном и раскатать на остальные не получится...)

руками. 10 - это очень мало... я бы на вашем месте, вообще компы форматнул, перед заведением в домен.

А еще почитайте тут на сайте(не на форуме), как сделать административную точку установки 2003го офиса. Залейте ее на КД и оттуда ставьте его.

И еще совет. Как полностью настроите компьютер в домен, то сделайте образ системного диска тем же акронисом с хайренса и запишите на болванку/винт для бэкапов, дабы потом в случае "атомной войны" Вы могли за 10-20 минут вернуть компьютер "в строй".