Проблемы: внутренний и внешний домен на одном сервере
 

Добрый вечер!
В наследство досталась сеть с такими настройками: сервер с 2003 р2, с двумя сетевушками. Одна сетевушка имеет постоянный провайдерский адрес, и подключена к инету. Вторая имеет адрес локальной сети. На сервере крутится внешний сайт (условно - company.ru), адрес соответсвенно зарегистрирован на ник.ру, и будет продляться и далее. Так же этот сервер - контроллер домена company.ru - нашего внутреннего домена. Кроме него есть и вторичный КД.

С такой организацией: КД + внешний домен при совпадении их имен не сталкивался ни разу.
В связи с этим всплывают проблемы: при пинговании внутри локалки company.ru пингует то внутренний адрес, то внешний. Проблемы с обновлением политик: по команде gpupdate /force - ругается, + бывают ошибки в системном журнале (подроднее напишу чуть позднее).
Отваливается аутентификация: при попытке зайти на сервер, на расшаренные папки или просит ввести имя-пароль, или пишет, что нет доступа. При этом 1С в это же самое время успешно работает с БД, лежащей на этом же сервере у того же пользователя(1С-ка эскуэльная).
В оснастке ДНС ругается, что первичная зона хранится в разных разделах АД, и они не идентичны между собой (могу уточнить завтра) - насколько я понял, было изменение в свойствах репликации зоны...

Подскажите, плиз, в какую сторону копать?

На будущее планируется - миграция с 2003 КД на 2012, под это дело будет выделен сервер. Т.е. поднят новый сервер под 2012, поднятие роли до КД, передача ролей ФСМО с 2003 на 2012, и снятие ролей с 2003. Поможет ли в таком виде миграция решить вышеуказанные проблемы? Основной КД будет находится на другом сервере, не имеющем прямого выхода в интернет.

Заранее благодарен!

Как настроены адреса DNS-серверов на клиентах?
Только локальный сервер или локальный и провайдера?
Что возвращает команда nslookup ИМЯ_ДОМЕНА ?

Правильно - только локальные DNS-сервера, которые содержат только локальные IP.
Для определения адресов сети интернет нужно настроить на локальном сервере DNS перенаправление запросов на DNS провайдера.

Клиенты получают адреса ДНС-серверов через ДХЦП: первичного КД, вторичного КД, и какой-то левый интернет-адрес. По словам прежнего админа, это надо для каких-то целей (есть самописный корпоративный софт, и чтобы прошла успешная генерация лицензионного ключа необходимо, чтобы успешно прошла связь со внешним сервером)... как-то так. Почему все именно в таком виде - разбираемся.

При пинговании company.ru выдает отклик то от внутренней сетевушки КД, то от внешней сетевушки КД. Пардон, если ответил не то, что спрашивали :-).

Насчет nslookup ИМЯ_ДОМЕНА - тут вообще все интересно...
Если зайти в оснастку ДНС, открыть узел Зоны прямого просмотра, там будет стандартная _msdcs.company.ru, и сама зона company.ru. Внутри зоны company.ru, насколько я понял создан домен: сначала папка ru а в ней вложена папка company. Внутри этой папки только 3 записи, у всех - тип узел (А), при этом одна называется "как папка верхнего уровня), другая mail, третья www, и у всех трех - один и тот же внешний айпишник (87.xxx.xxx.xxx).
Причем этот айпишник не совпадает с внешним адресом этого сервера.
Да, забыл написать, на этом же сервере крутится еще и почтовый сервер.
Что там делают эти записи и на что указывают - непонятно.
С днс серверами провайдера (которые тоже прописаны на внешней сетевушки сервера они тоже не совпадают).
Так вот, по команде nslookup ИМЯ_ДОМЕНА идет такой ответ:

C:\Windows\System32>nslookup company.ru
╤хЁтхЁ: UnKnown
Address: 10.0.0.1

╚ь*: company.ru.company.ru
Address: 87.xxx.xxx.xxx (тот левый адрес из домена, созданного в нашей зоне).

На самом КД, в ДНС-е настроен форвардинг на два провайдерских ДНС сервера.

И до кучи: почему-то на вторичном кд (тоже 2003 р2) не установлен днс-сервер. Вроде бы должен быть... резве нет? Смотрю в Администрировании - нет ярлычка ДНС. Смотрю установка и удаление программ - установка компонентов виндоус - сетевые службы - нет галочки на ДНС.
На виртуалках поднял вторичный КД (правда там все на 2008) - там есть ДНС.


Да, в интернет выходим через отдельный шлюз, не через КД.

"левый адрес" DNS-сервера убрать - скорее всего он и выдаёт IP внешней сетевой карты, используя информацию из DNS интернета.

Совсем замечательно. Судя по всему, изначально собирались делать сайт и почтовик на каком-то другом сервере, подключенном через другой канал связи (или вообще территориально находящемся в совсем другом месте)
Или может быть используется для работы "самописного корпоративного софта".

В таком случае нужно
1) удалить эти левые записи для обеспечения нормальной работы сети (хотя бы запись
2) переписать "самописный софт" или попытаться добавить "костыли", которые не будут нарушать нормальную работу сети.

Слава Ктулху! :)
Вообще-то странно, что внешний сайт работал на контроллере домена.
По-хорошему, для сайта, почты и т.д. нужно выделить отдельный сервер (можно виртуальный, можно на Linux).
А на шлюзе настроить перенаправление портов HTTP/HTTPS на данный сервер.


И вообще использование одинакового имени для внутреннего домена и для внешнего сайта крайне не рекомендуется (см. http://forum.oszone.net/thread-192024.html )
В идеале, нужно переименовать внутренний домен, указав ему адрес вида company.local (или company.work)

Поскольку у вас планируется ввод нового сервера... Если у вас не очень много компьютеров, лучше будет создать с нуля новый домен, зарегистрировать в нём пользователей и перенести в него все компьютеры.

Спасибо за советы!
Компов около 200 (вместе с серверами), часть из них - виртуальные на Хайпер-В.

Еще такое уточнение - на основном КД (тот, который с двумя сетевушками и прямым выходом в интернет):
крутится SQL-база данных (доступная из интернета)
внешний сайт
почтовик
внутренний сайт.
Порты открыты только эти: 8080, 25, 80, 110, 143, 443, 1433.
Вопрос вот в чем - если я передам ФСМО роли другому серверу, а этот понижу до обычного сервера, нужна ли будет ему роль ДНС-сервера?

Доступ ко внутреннему сайту такой: в браузере набираем имя сервера и указываем порт (ну или все это в ярлычке) http://myserver:4500. Тут вроде бы ДНС не нужен?

Доступ ко внешнему сайту: на nic.ru и у другого подобного регистратора прописаны служебные записи cname, mx и прочие, что домен, он же внешний сайт крутится на этом серевере (прописан адрес внешней сетевой карты). Тут вроде внутренний ДНС-сервер тоже не нужен...

Доступ к почте: в почтовике-клиенте прописан сервер по его имени: myserver, с указанием портов поп и смтп.


Кроме этого почему-то пропала половина рут-хинтов в оснастке ДНС. Часть есть: и имена и адреса, а другая - только имена, а вместо адресов написано - толи неопределено, толи неизвестно... как-то так.

Появилась новая проблема: в системном журнале большое число ошибок с кодом 18456 "пользователю SA не удалось войти в систему" - проблема с SQL-ем, похоже на то, что подбирают пароль к БД. Нафига нужен SQL для доступа из интернета - пока неизвестно, но такое требование было. В логах есть адреса с которых шла атака, один из США другой из Китая, хотя это наверное прокси-сервера.
На скорую руку закрыл эскуэльный порт брандмауэром - пока выходные. Но с началом рабочей недели, функционирование надо будет вернуть, как защищить базу от взлома?
Есть вариант переназначить на другой порт, но узнать его - дело 2-х минут - если злоумышленники выбрали цель осмысленно, продолжать атаковать, то любой вновб появившейся порт будет эскуэльным - тут понятно сразу.
Есть вариант переименовать встроенные учетные записи SQL, и поставить блокировку после 3-х неверных паролей. Это сделать можно в принципе?
Что еще можно сделать для защиты?

Ну и такой вопрос: понимаю, что надо переносить КД на внутренний сервер, чем срочнее тем лучше, а нового сервера пока не предвидится.
Есть на примете офисный компьютер с Core i5 + 8 гб памяти, вроде бы на мамке есть встроенный рейд-контроллер. Как такая конфигурация, потянет 200 компов? Насколько страшно, если у КД не серверная память (я имею ввиду что без ECC), и десктопный встроенный рейд? Скорее всего на этот комп кроме КД придется перенести и ДХЦП-сервер.

Локальные клиентские компьютеры будут использовать основной локальный сервер DNS

Внешние клиентские компьютеры будут использовать DNS регистратора.

Однако вы можете оставить данному серверу роль DNS-сервера и использовать для хранения вторичных зон DNS (копий первичных зон с контроллеров домена) и кэша рекурсивных запросов имён внешних сайтов, чтобы сохранить полную работоспособность сервера при остановке/перезагрузке основных DNS-серверов сети.

Для Linux есть служба Fail2ban, которая блокирует данный IP-адрес при превышении числа ошибок ввода паролей для популярных сетевых служб.
Есть ли аналогичная служба для Windows, не знаю.

DHCP-сервер нагрузки не налагает.
Что касается остального, то сам по себе контроллер домена опять же высокой нагрузки не требует - это просто небольшая база данных, содержащая список пользователей/компьютеров, и набор маленьких файлов с групповыми политиками.
Однако сетевые папки с профилями пользователей и другие "тяжёлые" файлы пока лучше оставить на старом сервере.
Лучше конечно, чтобы у вас использовалось DFS - в этом случае вы сможете оперативно переносить нужные сетевые папки с одного сервера на другой без изменения параметров пользователей.

ECC - технология исправления сбоев в отдельных битах оперативной памяти.
Особой необходимости по её использованию нет. По крайней мере, для "временных" решений.

То же самое - несерьёзно, но при отсутствии "тяжёлых" задач (большие базы данных) сойдёт.

Но лучше всё же оставить все системы на данном сервере. Просто отключите его от интернета, а какой-нибудь компьютер задействуйте в роли шлюза. А ещё лучше, купите хороший аппаратный маршрутизатор.
А чтобы сайт, почта и прочие службы были доступны для внешних пользователей, настройте на данном маршрутизаторе проброс соответствующих портов на внутренний сервер.

Ок, еще раз благодарю!
Перемещаемы профили не используем, больше боялся за назначение адресов через ДХЦП и ДНС-распознавание внутренних ресурсов... Вроде бы по старым книгам от Майкрософт (там правда про 2000 сервер было) говорилось, что для какой-то из этих задач требуется быстрая дисковая подсистема... чтобы сервер успевал обрабатывать обращения клиентов... если не путаю..

Отписываюсь:

1. в оснастке ДНС, внутри нашей зоны удалил левый домен
2. через ADSIedit удалил устаревшую зону, которая хранилась в разделе леса (ошибка 4515) + удалил еще и зоны InProgress...

Полет нормальный: оба КД перезагружал, вход в сеть у юзеров нормальный, шары не отвалились, введение-выведение из домена раб станции проходит успешно.

Первая часть марлезонского балета прошла - ОК :)

El Scorpio, теперь команда nslookup company.ru возвращает айпишники первичного, вторичного КД и белый айпишник внешней карты КД.

Внешний IP - не нужно.
Хотя бы потому, что компьютеры очень часто обращаются к контроллерам домена просто по имени домена.
А поскольку у вас файрволл на внешнем интерфейсе блокирует порты доменных служб (надеюсь, что заблокирует :) ), то треть обращений завершится ошибкой.

El Scorpio,
Вроде бы все наладилось: через ДХЦП я установил новую очередность ДНС-серверов, в которой КД с выходом в инет - последний.
ФСМО роли передал на новый КД (на 2008 Р2), с проблемного КД снял галку Глобальный каталог.
Теперь авторизация, как я понял вся идет через новый КД, да и в ДНС-ах он первый. Нслукапы и пинги вроде проходят как надо (внешние адреса через нслукап больше не показываются).

Теперь очередь за понижением проблемного КД до рядового сервера.
Напомню, что на нем крутится IIS + внешний и внутренний сайты, Hmail - почтовый сервер (работает и в локалке и со внешним миром), ДХЦП.
При выполнении команды dcpromo ругнулся на то, что на сервере развернуты службы сертификации, и сначало надо удалить их.
Нельзя ли вкраце рассказать - что за зверь такой? Раньше с ним не работал. Какие сервисы могут использовать сертификацию, и как это точно узнать? Может у них своя оснастка есть, на что там смотреть?
Я конечно поспрашиваю у бывалых, может и вспомнит кто зачем они там установлены (там пол-завода админили - все понемногу, каждый в свое время. Прямо картина маслом: шарик, матроскин и дядя федор пишут письмо родителям. Каждый что захотел, то и написал наадминил.)

В сетке используем серверы виртуализации (хайпер-в 2012 + виртуальные машины) и сервер терминалов - постепенно отказываемся от него в пользу виртуализации. Вроде бы сертификация может использоваться в паре с терминалами - как это проверить?
Еще есть ВПН.
И спец форма на сайте, которая позволяет клиенту ввести имя-пароль и получить доступ на закачку нового софта.
Могут ли эти сервисы использовать сертификацию?

Можно ли как нибудь временно остановить службу сертификации, чтобы посмотреть - повлияет это или нет? Может службу подняли, а сертификаты так и не настроили...

Как всегда, благодарен за помощь!

ЗЫ: могу дополнить, что для подключения по ВПН на свой домашний комп специально никакой сертификат не устанавливаем, все работает и так. На компы в локалке тоже сертификаты специально не ставим - все стандартно: ОС, проги, драйвера...
Что еще... к личным почтовым ящикам вроде бы тоже специально сертификаты не прикручиваем - если только они автоматам назначаются (если такое возможно). Может быть, конечно сертификаты в целом ко всем почтовым сообщениям прицепляются (опять-же автоматом, если такое возможно в принципе) - тут уже не знаю...
В общем, вопрос в том же - как и где посмотреть какие были созданы, выданы, или используются сертификаты, и их сроки.

Когда поднимал новый КД на 2008 Р2 ни про какие сертификаты не спрашивало, все поднялось, роли передались...

Это служба, которая использует корневой сертификат ЭЦП домена для создания доверенных сертификатов доменных и других служб, использующих протокол SSL: сам КД (для репликаций), сайт, почта, базы данных и т.д. Также сертификаты ЭЦП пользователей и компьютеров используются для автоматической авторизации на серверах.

Без него каждая служба будет использовать самоподписанный сертификат, который придётся добавлять в список "доверенных" на каждом компьютере / профиле пользователя. В маленькой сетке ещё прокатывает, а в большой - никак (over9000 сертификатов на over9000 пользователей :) ).

Сервер терминалов также использует защищённый канал SSL. Разумеется, лучше использовать тот сертификат, который был выдан центром сертификации домена.

В папке "Администрирование" есть оснастка "Центр сертификации"

А это роль сервера, которая никакого отношения к ролям FSMO не имеет.
Запустить центр сертификации на новом сервере просто - "управление сервером" -> "Добавить роль".
В принципе, если вы просто остановите старый центр сертификатов, то ранее выданные сертификаты продолжат своё действие. До тех пор, пока вы не отзовёте старый корневой сертификат.
Однако просто перенести закрытый ключ старого сертификата на новый сервер нельзя, потому что данный сертификат использует сетевое имя сервера.
Так что создавайте на новом сервере новый корневой сертификат домена. Затем постепенно переводите все службы на новые сертификаты. Для контроля можно по мере перевода "отзывать" (блокировать) старые сертификаты.

Хм... ну а если создаем домен с нуля, на те же 200 компов, разве не будет достаточно установить следующие роли: АД+ДНС и ДХЦП (по желанию). Потом просто завести компы в домен - и все. Службы сертификации по умолчанию, вместе с АД не ставяться.
В такой конфигурации разве не будет работать?
Да, и до кучи можно сервер терминалов установить - тоже без сертификатов, все должно подключаться.
Какие будут сложности?
Во всяком случае, в тестовой среде при таких настройках все работало, службы сертификации специально не устанавливал, и на раб станции и сервера ничего не добавлял.

Сейчас посмотрел на виртуалках - действительно, центр сертификации не установлен (2008 Р2), там 2 КД, репликация проходит, все ок.
В списках сертификатов (смотрел через ММС - добавить оснастку Сертификаты) есть какие-то в Доверенных корневых центрах сертификации, но там Майкрософт, Class 3, Thawte Timestamping.

На работе, на своем компе в той же оснастке действительно фигурируют несколько ключей, два из них - по имени домена.
На КД - центре сертификации тоже есть ключи, истекают в 2014-2015 гг. По их истечении какие-то сервисы отваляться?

Потому что они для работы самого домена (на самом простом уровне работы) не нужны.


Не совсем.
Пользовательские программы при подключении к локальному серверу, почтовику и другим службам будут выводит стандартное предупреждение "Срок действия сертификата истёк. Вы уверены? Да/нет".
А вот системные программы вполне могут перестать работать с данными сервисами.

Повторяю, если у вас в сети есть службы, использующие SSL, то гораздо лучше организовать свой центр сертификации и выдавать доверенные ключи, заверенные корневым сертификатом домена, чем вручную добавлять все самоподписанные сертификаты всех служб на всех компьютерах.
Кстати да, чтобы распространять через групповые политики списки доверенных сертификатов внешних служб (сайты закупок и т.д.), данные списки также должны быть заверены сертификатом администратора домена. Разумеется, данный сертификат администратора также должен считаться доверенным - лучше всего, заверенным корневым сертификатом домена.

Что-то трудно мне даются сертификаты, уж извиняйте :-)
Зашел на основной сервер терминалов, там в Конфигурации узла сеансов, в Свойствах РДП опции по умолчанию: Уровень безопасности "Согласование", Уровень шифрования "Совместимый с клиентом".
Чуть ниже, в разделе сертификаты, при щелчке на кнопке "Выбрать" пишет - "На этом узле сеансов удаленных рабочих столов не установлены сертификаты".
Похоже, что сертификаты при подключении по РДП и правда не задействованы.

Есть еще один сервер, тоже терминальный, но на нем настроены удаленные приложения. В той же оснастке, по кнопке "Выбрать" выдает 3 сертификата (во всех них фигурирует имя этого сервера). Правда все равно в настройках - "Согласование" и "Совместимый с клиентом".

Если зайти в корневой центр сертификации, который на КД, и щелкнуть на сертификатах правой кнопкой, выпадает меню - Все задачи - Экспорт... Там будет несколько вариантов действий что именно экспортировать: двоичные данные, двоичный сертификат и что-то в таком же духе.

Имеет ли смысл экспортировать эти сертификаты и затем импортировать уже на новом центре сертификации?

Где лучше создать такой центр сертификации - на новом КД (но прямо скажу - как-то не хочется), или можно просто на другом сервере?

Ну и еще - что именно надо отключить (может службу какую-то), чтобы временно смоделировать ситуацию, как будто срок действия сертификатов истек, или центр сертификации просто удалили.
Хотелось бы все-таки посмотреть - что при этом отвалится, если отвалится вообще.

Мэни фенкс.

Чтобы смоделировать ситуацию истечения срока действия сертификата установите на компьютере соответствующую дату. Так то! :)

Что касается моделирования ситуации с удалением центра сертификации...
Нужно отключить службу центра сертификации на старом сервере
Также в параметрах сертификата указывается адрес списка отзывов. Многие программы при установлении защищённого соединения просматривают данный список для проверки текущего статуса используемого сертификата. Обычно используются адреса HTTP или SMB (сетевые папки)
Попробуйте удалить (переместить) этот файл или папку.


Значит существует возможность перехвата данного соединения. Теоретическая.

А каким компьютером выданы эти сертификаты? Самим сервером терминалов (самоподписанные) или же старым контроллером домена (центром сертификации)?

По поводу трех сертификатов: два выданы самим сервером удаленного ПО, один - похоже от сервера - КД.
При этом, на сервере приложений тоже есть центр сертификации, но если зайти в оснастку, там все папки пустые.
Есть еще интересный момент: два работника используют EFS-шифрование, причем один - стал использовать буквально на днях. Его сертификат отображается в Центре сертификации (вернее, оба сертификата для шифрования). Они туда автоматически попадают, или требуется какое-то действие со стороны работника - зайти в центр сертификации, создать сертификат?

Да, на старом КД, который настоящий сервер сертификатов, в Сайтах и службах, в разделе Службы - AIA присутствует два сертификата - Mycompany и mycompany-serverAPP (как раз этот - один из тех трех сертификатов на сервере приложений).
После удаления центра сертификации, в Сайтах и службах надо будет тоже вручную удалять?

Хотелось бы еще уточнить: по какому принципу рабочая станция выбирает, кто у нее будет логон-сервером?
Сейчас открылось, что иногда на раб станциях фигурирует старый КД. На нем есть АД, ДНС, но он не держатель ролей ФСМО, и не глобальный каталог. Кроме этого, его адрес не выдается рабочим станциям как ДНС. В роли ДНС выдаются адреса двух новых КД, на 2008 сервере.

Еще появился интересный момент: если на старом КД (роль АД и ДНС я с него уже деинсталировал), заменить пароль встроенного администратора, этот же пароль автоматически реплицируется на новые КД. И еще - этот старый КД присутствует в Сайтах и службах в виде папки, т.е. внутри нее Ntds settings нет. Непонятно - почему идет репликация пароля...