По недомыслию при поднятии PDC дал домену имя не domain.local, а domain.server.ru (ну MS же так советует… :(). Server.ru в Интернете существует, а domain.server.ru -- естественно, нет. Из-за нелокальности домена (как полагаю) столкнулся с целым рядом проблем:

1. Невозможно настроить переадресацию в свойствах сервера (оснастка DNS) -- "… т. к. является корневым сервером". Т. е., похоже, он считает себя отвечающим даже не за зону "domain.server.ru", а за зону ".".
2. Не работает NAT -- настраивается без вопросов, но клиентам в сети Интернет недоступен. Пробовал как встроенный NAT, так и WinRoute. Специально установил W2KAS на другую машину, сделал её PDC, дал домену имя test-domain, поставил WinRoute -- всё работает отлично.
3. В связи с п. 2 для доступа в Интернет приходится использовать другую машину в сети. Соответственно, на клиентах она прописана основным шлюзом и первичным DNS-сервером. Но DNS-сервер-то у меня стоит на PDC, а та машина -- просто W98-клиент с модемом. В результате все 2K/XP-клиенты либо сидят без Интернета (когда первичным DNS-сервером для них является PDC), либо теряют связь с сетью примерно через полчаса после входа в сеанс (когда первичным DNS-сервером для них является машина с модемом). Да и то во втором случае просмотр сети осуществляется гораздо медленнее, чем с W98-клиентов.
4. Не получается поднять вторичный контроллер домена: при установке AD получаем сообщение "Невозможно подключиться к домену".

Вопросы:

1. Как можно всё это исправить, нужно ли для этого сносить AD и как это сделать?
2. Есть ли возможность при сносе AD сохранить информацию о пользователях и паролях, временных лицензиях для клиентов терминалов?
3. Можно ли сделать моего W98-клиента с модемом DNS-сервером для сети и убрать DNS-сервер с PDC?
4. Пробовал на той машине, которую сделал PDC для test-domain, поднять встроенный NAT. Не получилось: при его настройке в списке сетевых соединений, которые можно использовать для подключения к Интернету, присутствовала только сетевая карта, модемное соединение отсутствовало. Это так и должно быть или опять какой-то глюк?

Буду очень признателен также за любые комментарии по поводу возможных иных причин указанных проблем.
Только что проверил -- на тестовом PDC тоже невозможно переадресацию настроить. Может, потому, что имя домену дал без точки?..

[s]Исправлено: Raistlin, 13:53 16-05-2003[/s]

Похоже так оно и есть.
Т.е. у тебя в DNS на DC 2 зоны прямой видимости. Можно попробовать сделать следующее: удалить зону "." (я так и делаю), а во второй оставшейся указать основной сервер  [Имя сервера].domain.server.ru - похоже у тебя так будет. (у меня MainServer.kfinkursk.ru, а зона соответственно kfinkursk.ru)

Пусть на клиентах первичным DNS-сервером будет указан DC, а вторичным - сервер для доступа в инет WinRoute и NAT. (у меня так) Шлюз на клиентах прописан разумеется правильно - на машину с NAT: все пакеты, адресованные в др. подсеть (в инет) пойдут на машину с WinRoute'ом.

По идее в инете не будут видны адреса, совпадающие с Вашими, т.е. .....server.ru, ну и ладно.

У меня все в домене kfinkursk.ru пашет отлично. Правда совпадения в инете нет, но я думаю (уверен на 90%), что твоя проблема не в этом, а в настройке dns. Поэтому кстати и вторичный DC не удается поднять.

Удачи!

ЭТО ЛУЧШЕ В ВЫХОДНОЙ КРУТИТЬ.
ПРЕЖДЕ ЧЕМ ЧТО-ТО МЕНЯТЬ, ИМИДЖ СЕРВЕРА СДЕЛАЙ.

Ну да, у меня там в ветке "Зоны прямого просмотра" две подветви: ". | ru | server | domain" (| -- это в смысле тоже подветви) и собственно "domain.server.ru". И в ".", и в "domain.server.ru" прописан внутренний адрес PDC (сам прописался). Мне, собственно, уже советовали "." снести, но интересно, какого хрена она там появилась вообще.

Если б было всё так просто… Пробовал я это -- хрен, не работает! IE сразу заявляет: "Сервер не найден".

А мне советовали прописать PDC и как шлюз тоже. И туннелирование настроить.

Само собой. Хотя и жалко.

Тут, блин, другие сложности. Я сначала зачем-то разбил винчестеры на два раздела, затем, уже после поднятия AD, сообразил, что погорячился, захотел объединить. PartitionMagic на себя такую ответственность брать отказался, и тут подоспел добрый совет: преобразовать диск в динамический, тогда, мол, можно будет менять размеры как хочешь, даже перезагружаться не потребуется. Ага, преобразовал. Только вот размеры, оказывается, можно менять только на тех дисках, что от рождения динамические. В результате сижу я теперь с этим неизменяемым динамическим диском. Ghost, боюсь, такой имидж не потянет.
Впрочем, у меня RAID -- по идее, наверное, можно просто отменить зеркалирование, сделать всё на одном диске, затем, если всё будет шито-крыто, включить зеркалирование. Ну а если что не так -- поменять диски местами, включить зеркалирование и заиметь status quo.

Ещё два вопроса:

1. Убийство зоны "." может мне что-нибудь порушить?
2. Можно ли сделать полноценным DNS-сервером машину под W98 (в свете того, что фокус с указанием двух DNS-серверов у меня не проходит)? Если можно, но сторонними программами, будут очень благодарен за ссылки.

Впрочем, буду благодарен в любом случае. Уже благодарен! Thanks, Animal! :)

1. Убийство зоны "." должно привести к тому, что DNS-сервер не сможет отвечать на запросы клиентов придоставить IP адрес по dns-адресу, отличному от dns-адреса вида [имя станции].domain.server.ru. Но зону domain.server.ru правильно настроить нужно разумеется.

2. В принципе не важно, на какой ОС реализован dns-сервер W2000, W9x или *nix, главное чтобы все было правильно настроено на нем и на клиентах. В WinRoute есть свой dns-сервер, так что думаю можно, хотя не советую.

Ты проверь ping и tracert - ping www.yandex.ru. Должен ip яндекса показать.
А у меня все работает. Настройка на клиентах: 1-ый dns-сервер PDC, 2-ый dns-сервер - машина с WinRoute и 2-мя сетевыми адаптерами, один смотрит в локалку, другой-в инет.
Теоретическое обоснование: клиент запрашивает IP-адрес по DNS-адресу www.yandex.ru сперва у первичного dns-сервера, т.е. у PDC, тот ему отвечает - "Я не могу разрешить это dns -адарес в IP-адрес, короче не могу тебе ответить". Тогда клиент спрашивает тоже самое у вторичного dns-сервера, т.е. машину с WinRoute. Тот ему разумеется успешно отвечает. Если же клиент просит разрешить скажем имя др. рабочей станции в IP-адрес, то PDC справляется с этой задачей и снова все OK.

Кстати, используешь ли ты DHCP? И если да, то правильно ли настроены клиенты. Проверь ipconfig'ом. Если есть сомнения, то перерой мои темы (их не много), там про DHCP есть. Хотя это не важно. Вначале добейся, чтобы все заработало на машине со статическим IP и ручными настройками.

Добавлено:

Продолжаем разговор (С)

Узнав IP-адрес www.yandex.ru клиент понимает, что адрес то не из нашей сети. Поэтому все пакеты он будет посылать на шлюз по умолчанию (а это как раз адрес машины с WinRoute, точнее адрес того адаптера машины с WinRoute, который смотрит в локалку). И если настроен NAT, точнее если правильно настроен NAT, то эти пакеты успешно попадут в инет, но с подменой адреса отправителя. Пакеты из инета тоже вернутся на станцию. Этим всем уже WinRoute занимается.

Но лучше (безопаснее!!) пользователям NAT обрубить, а оставить доступ ТОЛЬКО через proxy. В этом случае вообще можно и шлюз не прописывать и вторичный dns-сервер на клиентах. А NAT только себе и еще парочке людей (ну программерам там допустим, короче людям с головой)

Добавлено:

Такая конфа возможна, но тебе настроить ее будет однозначно сложнее. И работать мне кажется будет медленнее.


Лучше настраивай как у меня:
На клиентах: 1-ый DNS-сервер - PDC, 2-ый - машина с WinRoute (карта, что смотрит с локалку). Шлюз - машина с WinRoute (карта, что смотрит с локалку).

dns на PDC - отвечает за разрешение ТОЛЬКО dns-адресов вида  [имя станции].domain.server.ru в IP-адреса

dns-сервер средствами W2000 на машине с WinRoute ставить НЕ НАДО!!! А в WinRoute включить ОБЯЗАТЕЛЬНО ретрансляцию dns на известные dns-сервера. В настройках карты, смотрящей в инет, будет dns-сервер провайдера, на который WinRoute и будет перенаправлять запросы клиентов, но для клиентов - он сам будет считаться DNS-сервером (хотя реально он будет запросы прову пересылать, но насколько я понимаю WinRoute умеет кешировать dns-адреса, т.е. его можно назвать кеширующим dns-сервером).

Похоже полноценным dns-сервером WinRoute быть не может, т.е. выше я наврал немного... Но это и не важно, если повторишь мою настройку сети.

Если где еще наврал, пусть меня поправят, буду только рад.

Спасибо за такой обстоятельный ответ! Прямо понедельника не дождусь, чтобы попробовать! :) Хотя… какие-то сомнения гложут, ибо многое пробовал из этого. Основные надежды возлагаю на убийство зоны ".". А что ты имеешь в виду под
Что значит -- правильно? Я, в общем-то, вообще её не настраивал -- она сама создалась при установке DNS-сервера.
Естественно, нет :). При раздаче динамических IP-адресов все клиенты у меня заодно получали PDC в качестве основного шлюза и первичного DNS-сервера, в результате чего сидели без Интернета.
Безопаснее -- не знаю… В WinRoute фильтры надо настроить, тогда IMHO будет и с NAT безопасно. Всё руки не дойдут. Через proxy всё работает на ура, но я не знаю, как настроить (и можно ли) работу The Bat через него. IE-то ладно, меня, собственно, больше почта интересует.
А мы простых путей не ищем :). Насчёт медленнее опять-таки не уверен -- в чём причина? Если следовать твоей конфигурации, у запроса на разрешение внешнего имени будет такой путь:

1. Идём к первичному DNS-серверу, получаем ответ: "Это не ко мне".
2. Идём ко вторичному DNS-серверу, тот смотрит в кэш, затем (при необходимости) обращается к DNS-серверу у ISP и возвращает адрес клиенту.

Таким образом, на обработку внешнего запроса требуется всегда 4 операции пересылки по сети. А если указать всем клиентам PDC как единственный DNS-сервер, а ему уже указать в качестве адреса пересылки адрес машины с WinRoute, то запрос на разрешение пойдёт на PDC (первичный DNS-сервер), тот посмотрит в кэш, при необходимости обратится к машине с WinRoute, получит от неё ответ и перешлёт его клиенту. В худшем случае будет опять-таки 4 операции пересылки, а в лучшем -- всего 2. Выходит, должно быть даже быстрее. Или я неправ тут в чём-то? Кстати, ещё одно преимущество такого решения: можно свободно менять IP-адрес машины с WinRoute -- достаточно будет изменить параметры пересылки (или туннелирования?) на PDC.
Вот только хотелось бы получить консультацию насчёт туннелирования и пересылки. Это одно и то же? Если нет, что именно мне в данном случае требуется?

Добавлено:

Animal
И вот ещё что меня беспокоит: в DNS, в зонах прямого доступа, у меня ведь прописана не просто зона ".", а "." с подзоной "ru", та -- с подзоной "server", а та -- с подзоной "domain". Ну и собственно зона "domain.server.ru", расположенная на том же уровне, что и ".". Не опишешь ли, что именно описано там у тебя?

Raistlin
По поводу настройки dns.
Моя практика такова (а практика как известно - критерий истины ):): Если я делаю домен например mydomen.ru, то когда визардом устанавливаю AD, dns настраивается автоматически и там 2 зоны. dns-адреса в локалке не распознаются: например на раб. станции набираешь ping [имя др. раб. станции].mydomen.ru и нифига. Я убиваю зону с точкой, а в оставшейся зоне mydomen.ru руками прописываю на вкладке "Начальная запись зоны" в поле "Основной сервер" свой DC в виде [имя DC].mydomen.ru. (там автоматически др. значение) Все после этого начинает работать. На всякий случай проверь еще вкладку "Сервер имен", там тоже должен быть прописан [имя DC].mydomen.ru и его IP-адрес.

DHCP зря не используешь - очень удобно. Ну для себя оставь возможность менять IP, а клиентам лучше сделать. Там же кроме IP все можно автоматом сконфигурировать: dns-имя домена, шлю, dns-сервера, wins-сервера, тип узла (все, что реально нужно!).

По поводу туннелирования. Я в эту тему не вникал. Одно могу сказать по поводу пересылки: как-то в настройках dns-сервера на DC поставил во складке "Пересылка" флаг "разрешить пересылку" и указал IP машины для инета с WinRoute - чтобы на раб. станциях, использующим NAT, не нужно было прописывать вторичный dns-сервер. Т.е. если первичный dns-сервер не может разрешить dns-имя в адрес, он САМ попросит это сделать др. сервер, получит ответ и перешлет клиенту (в теории так, по крайней мере я это так понимаю). Возможно я еще что-то недонастроил, возможно требовалась перезагрузка (в тот момент я не сделал), но dns-адреса пониматься в сетке перестали и я все вернул как было. Необходимости нет, а сломать людям работу стремно, в выходные сейчас у меня много дел дома. Поэтому на изучение этой темы я откровенно забил. Но была-бы необходимость - думаю разобрался бы. По туннелированию ничего не могу сказать, боюсь сказать неправду, а я и так наименее квалифицированный из 3-х модеров в этом разделе.

Описал уже выше на примере mydomen.ru. Ну если интересно из чистого любопытства - то везде вместо mydomen.ru у меня kfinkursk.ru. Поэкспериментируй: попробуй создать одну зону с длинным именем domain.server.ru, а в ней сервер имен сделать [имя DC].domain.server.ru. Я бы начал с этого и думаю получится. Но возможно предется все же разбираться с подзонами.

То есть, я так понимаю, зона с точкой создаётся всегда. Хм. Интересно, зачем.
А у меня почему-то как раз то значение, которое и должно быть: "server1.domain.server.ru." А вот на вкладке "Серверы имён" -- две записи: "server1.domain.server.ru." (с правильным IP-адресом) и просто "server1." (в поле "IP-адрес" стоит "Нет данных").
В общем, буду пробовать, ещё раз большое спасибо. О результатах напишу -- вдруг ещё кому пригодится.

Ур-ра! Заработало! С пересылкой! Даже сервер не пришлось перегружать. Что я сделал:

1. Удалил из зон прямого просмотра зону "." вместе с подзонами.
2. Закрыл оснастку DNS.
3. Открыл оснастку DNS снова, настроил пересылку на машину с WinRoute (до перезапуска оснастки соответствующая опция была по-прежнему недоступна).
4. На PDC в качестве первичного DNS-сервера указал его самого, а в качестве основного шлюза -- машину с WinRoute.
5. На клиенте назначил PDC первичным (и единственным) DNS-сервером и основным шлюзом.

После этого клиент получил долгожданный доступ в Интернет. Я, конечно, плююсь через плечо пока (обмывать будем через денёк-другой бесперебойной работы :)), но, думаю, всё работает как надо.
Вторичный DC тоже удалось поднять. Перед этим я поменял адрес PDC со 192.168.0.254 на 192.168.0.1, но, может быть, это здесь и не при чём. Как бы то ни было, собака была зарыта или в IP-адресе, или в том, что на PDC у меня раньше первичным DNS-сервером была прописана машина с WinRoute.
Кстати, я заодно узнал, как удалить AD -- запускаем из командной строки DCPROMO и "следуем указаниям мастера". А я-то думал, это сложнейшая хирургическая операция… :)

Raistlin
Так ты вообще зон в DNS на PDC не оставил?
Вторичный DC думаю удалось поднять благодаря изменениям в DNS.

Я спешил уходить и не досказал.

Как понимаю работа теперь строится т.о.:
Разрешение инетовского адреса для клиента происходит, как я описал в предыдущем посте. (почему-то у меня не заработало): PDC пересылает сам запрос на WinRoute-машину, получает ответ и возвращает его клиенту.
Отсылка пакета в инет происходит т.о.: клиент понимая, что адрес не в его подсети, отсылает его по адресу шлюза по умолчанию, т.е. на PDC. PDC также видя, что адрес не в его подсети, отправляет его на свой шлюз по умолчанию, т.е. на WinRoute-машину. А там уже WinRoute работает, используя при отправки пакета в инет технологию NAT.

:gigi: А вот было бы интересно другое: возможно ли как-то изощрится и сменить имя домена, не удаляя AD.

Добавлено:

И еще: мне в такой конфигурации что немного не нравится: все что в инет идет через PDC. А нафиг лишний раз канал прогружать. При моей же схеме выход в инет осуществляется без участия PDC (его можно даже выключить, инет не пропадет). Короче при реализованной тобой схеме работы лишняя нагрузка на PDC, лишняя нагрузка на канал к PDC. Но вообще-то это уже нюансы.

Как же, оставил -- "domain.server.ru", как ты и советовал.
Неа! Не зря я написал, что заработало не сразу -- и после сноса зоны "." не хотел он подниматься. Я уже было собрался тебе сюда пожаловаться на нехороший DNS, но решил покопаться ещё в Базе знаний MS. Во время копаний и экспериментов случайно наткнулся в настройках сети на модемное соединение, оставшееся от старых экспериментов с NAT на PDC. Думаю -- зачем оно тут, всё равно уже работает по другой схеме. И удалил. Эффект был потрясающий -- сервер повис намертво. Все пользователи были безумно счастливы. После перезагрузки выяснилось, что PDC теперь почему-то вместо родного адреса 192.168.0.254 имеет 192.168.0.1, конфликтуя с машиной с WinRoute (я менял IP-адреса PDC во время экспериментов с NAT, но не перезагрузился после последнего изменения -- видимо, это всё-таки стоит делать). Я подумал и изменил адрес машины с WinRoute, а адрес PDC так и оставил 192.168.0.1. После чего исправил его настройки в части первичного сервера DNS и основного шлюза. Случайно (!) попробовал после этого поднять вторичный DC -- надо же, получилось! :super: Вот такие дела.
Абсолютно согласен! :up: Интересное наблюдение: если на PDC в качестве шлюза по умолчанию указать его самого, то при попытке выйти в Интернет разрешение имён происходит (видно, как IE пытается соединиться с таким-то узлом), а сами пакеты не идут. В общем-то, причина понятна.
Ф. Зубанов в книге "Active Directory. Подход профессионала" однозначно отвечает на этот вопрос -- нет. Думаю, ему как консультанту из Microsoft Consulting Services можно верить.
Ну в общем-то ты прав, конечно. С другой стороны, разгружается (по-моему) сеть. А может, стоит DNS-сервер перенести на вновь поднятый SDC и его Интернет-сервером вообще сделать, как считаешь? Или не очень это хорошо -- в смысле безопасности?

Добавлено:

Кстати, у Зубанова ещё прочёл, что очень желательно разрешить динамическое обновление зоны прямого просмотра (в её свойствах) -- мастер настройки AD этого не делает. Может, и это свою лепту внесло в то, что SDC я всё-таки поднял.


[s]Исправлено: Raistlin, 23:27 19-05-2003[/s]

Нет, наоборот. Вместо того чтобы идти сразу на WinRoute-машину, пакет идет на PDC, а с него на WinRoute-машину - 2 пересылки внутри сети вместо одной. К тому же канал к PDQ и так больше прогружен по сравнению с каналом к WinRoute-машине. А ты его еще и инетовским исходящим трафиком нагружаешь, правда он не велик. Но не переживай - это все формальная логика, на самом деле реальной разницы при твоей и моей (если бы ты ее реализовал) настройками сети вы не почувствуете. Если новых проблем возникать не будет, я бы на твоем месте оставил все как есть.

А мои соображения по поводу того, сколько сетевых операций требуется для разрешения имени в IP-адрес (см. выше), -- они неверны? Или это никак положительно не влияет ни на скорость разрешения имён, ни на величину трафика?

Соображения верны. Но выигрыш будет только в том случае, если PDC будет кешировать (в чем я сильно сомневаюсь) dns c WinRoute-машины. Если нет - то тоже самое.
Даже если есть выигрыш, то он имхо ничтожен. DNS ведь клиенту нужно один раз разрешить. Главное - это обмен данными в инете. А вот здесь см. предыдущий пост.
Повторюсь: думать по поводу такой мелкой оптимизации вряд ли стоит, ты все настроил очень даже хорошо.

Ну это понятно. Я, честно говоря, надеялся, что он будет этим заниматься :). А как можно проверить, кэширует он или нет?
Спасибо! Без твоей помощи не получилось бы. Я всё-таки на досуге попробую альтернативый путь -- со вторичным DNS-сервером.

В хелпе по W2000SERV есть по поводу интересного параметра "ВКлючить безоп. кеш":
Если открыть хелп по серверу, там про DNS много и сложно написано.

Ответа на вопрос о проверки я не знаю.
Можно попытаться так проверить: с нескольких клиентов пинговать какой-нить инет адрес. А потом отключить кабель от машины с WinRoute и пинговать тот же адрес. Адрес ясное дело не пропингуется, но если закешировался, то IP покажет. Перед этим нужно проверить для чистоты эксперимента, не кеширует ли раб. станция (ну это вряд ли), отключив от нее кабель. Но это все вилами по воде на самом деле.
Может в ResKit'е есть какие утилиты для просмотра кеша таблиц dns.

Даже если кеширует, не будет ощущаться на практике никакого прироста в скорости разрешения по сравнению с вариантом, где не кеширует, т.к. канал между PDC и WinRoute-машиной очень-очень быстрый (применительно к запросам DNS).

Попытался -- имя в адрес при отключении WinRoute-машины от сети разрешается (если отключить самого клиента, то нет). Получается, DNS-сервер на PDC их кэширует. Ну что ж, тему проработали хорошо, можно в MS Knowledge Base публиковаться :).
Ещё раз спасибо за помощь, Animal!

Подскажите, как удалить домен и активдиректори не удаляя самих win2000?