Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   Домен в лесу подключен к глоб.каталогу через VPN (http://forum.oszone.net/showthread.php?t=287687)

Kaityz 09-09-2014 08:55 2400290
Домен в лесу подключен к глоб.каталогу через VPN
 
Здравствуйте.

Возникла проблема данного характера. Имеются два сервера SRV1 и SRV2 они соединены VPN соединением. У одного внутренний адрес 192.168.2.0 255.255.255.128 у другого внутренний адрес 192.168.2.128 255.255.255.128. Изначально два сервера были соединены локально, работали без проблем, доступ к глобальному каталогу присутствовал, можно было создавать пользователей и так далее.

После того как сервера были перенесены удаленно друг от друга, глобальный каталог потерялся, хотя присутствует активное VPN соединение. Если я не ошибаюсь VPN соединение для компьютера является аналогией проводной связи(локальной). Оба сервера отлично пингуются, и могут друг к другу удаленно заходить.

Так же на каждом сервере свой DNS сервер, и видимо в нем то и заключается проблема.

По умолчанию добавлена роль DNS сервера у обоих, настройка кастомная у обоих днс серверов, тоесть свои зоны я не добавлял. Возможно ли как-то связать два днс сервера что-бы они с друг-другом "общались"?

cameron 09-09-2014 16:29 2400449
подозреваю, что вам нужно правильно разнести серверы, сайты и сабнеты в оснастке AD Sites and Services.
описание скудновато, чтобы понять большее.
Цитата:
Цитата Kaityz
настройка кастомная у обоих днс серверов, тоесть свои зоны я не добавлял »
так кастомная, или "отсебятины" нет?

Kaityz 10-09-2014 09:18 2400664
Спасибо за ответ cameron!

Скажу честно, опыта имею мало, касаемо соединение через VPN, и чаще всего работал с серверами подключенными локально. Поэтому хотелось бы узнать, что вы подразумеваете под "правильно разнести".

Вчера посмотрев настройки, увидел одну интересную вещь. В зоне прямого просмотра присутствует домен, который находится в лесу у контроллера естественно. Но он имеет по умолчанию совершенно другой IP адрес. При попытке смены IP адреса консоль виснет, по всей видимости это указывает на коллизию, где именно - для меня большой вопрос. dcdiag на контроллере выдает ошибку "сбой привязки ldap 8341", на домене в лесу выдает ошибку "сбой привязки ldap 1326". Сейчас копаюсь пытаюсь найти решения данных проблем.

Касаемо кастомной настройки. Я устанавливал DNS сервера и не добавлял никаких левых зон, все исключительно по умолчанию, как стояло так и стоит. Никаких изменений я не вносил.

НО: Вчера увидев домен в лесу с левым IP у контроллера. Удалил и создал копию этого же домена, в зоне прямого просмотра, но с уже правильными данными.

В этой области работаю не так давно, стараюсь много читать и узнавать нового, поэтому прошу извинить меня за мою "техническую" безграмотность и объяснения.

User001 10-09-2014 11:42 2400710
Цитата:
Цитата Kaityz
После того как сервера были перенесены удаленно друг от друга, глобальный каталог потерялся »
Пишите кокретнее, где, что не работает? Скриншоты, ошибки и т.д.
Цитата:
Цитата Kaityz
По умолчанию добавлена роль DNS сервера у обоих, настройка кастомная у обоих днс серверов, тоесть свои зоны я не добавлял. »
Цитата:
Цитата Kaityz
Возможно ли как-то связать два днс сервера что-бы они с друг-другом "общались"? »
Правой кнопкой по зоне - там тип - интегрированная в AD или нет? Ниже - репликация - кто там выбран. Если интегрированная и все DNS, то у них должны быть одинаковые записи в зонах.
Цитата:
Цитата Kaityz
192.168.2.128 255.255.255.128 »
Цитата:
Цитата Kaityz
внутренний адрес 192.168.2.0 255.255.255.128 »
:o Адреса подсети не рекомендуется использовать в качестве адреса интерфейса хоста.
Цитата:
Цитата Kaityz
Но он имеет по умолчанию совершенно другой IP адрес. »
Цитата:
Цитата Kaityz
НО: Вчера увидев домен в лесу с левым IP у контроллера. Удалил и создал копию этого же домена, в зоне прямого просмотра, но с уже правильными данными. »
Вы, там, случаем, у контроллеров домена адреса не меняете? Какой домен вы удалили? Какую копию создали?

Kaityz 10-09-2014 12:06 2400726
Спасибо за ответ User001!

Скриншоты и ошибки наверное будут только завтра, пока нет возможности попасть к серверу, я не главный админ а лишь замещающий его на время, вот и пытаюсь разобраться теперь во всем сам.

Нет у контроллеров домена я адреса точно не меняю. Суть в том что есть сервер предположим: Server.domain.new у него адрес 192.168.2.77, в прямой зоне стоял же адрес 192.168.123.123, суть примерно эта.

при dcdiag помню лишь что он пишет "вход в систему не произведен имя пользователя и пароль неопознаны" - это у домена в лесу.

Второй же сервер, который является контроллером жалуется на то, что ему роль FSMO не нужна, Предупреждениями в логах.

Конкретнее со скриншотами все отпишу обязательно сюда, просто не было возможности попасть к серверу, как появится - сразу опишу все.
Пока я писал лишь в надежде на то, что может быть проблема тривиальна, а я чайник.

В целом так оно и есть, но пытаюсь все же разобраться.

Kaityz 10-09-2014 12:24 2400742
Так же у контроллера домена шло обращение к адресу 127.0.53.53 при dcdiag. Это поовещение о совпадении имен. Но проблема заключается в том, что совпадения имен быть не может, так как эти два сервера работали буквально неделю назад от локальной сети, т.е провода. И с этого момента ничего по сути не менялось.

Kaityz 10-09-2014 14:03 2400795
читать дальше »
Настройка протокола IP для Windows


Адаптер PPP Удал. маршрутизатор:

DNS-суффикс подключения . . . . . :
IPv4-адрес. . . . . . . . . . . . : 192.168.101.5
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз. . . . . . . . . :

Адаптер PPP RAS (Dial In) Interface:

DNS-суффикс подключения . . . . . :
IPv4-адрес. . . . . . . . . . . . : 192.168.102.1
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз. . . . . . . . . :

Ethernet adapter Подключение по локальной сети 3:

DNS-суффикс подключения . . . . . :
Локальный IPv6-адрес канала . . . : fe80::d012:7bb3:4ae:8e03%1
IPv4-адрес. . . . . . . . . . . . : 95.170.145.19
Маска подсети . . . . . . . . . . : 255.255.255.248
Основной шлюз. . . . . . . . . : 95.170.145.17

Ethernet adapter Подключение по локальной сети 2:

DNS-суффикс подключения . . . . . :
Локальный IPv6-адрес канала . . . : fe80::99c8:ff70:2c3b:b9a5%
IPv4-адрес. . . . . . . . . . . . : 192.168.100.177
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :

Туннельный адаптер isatap.{BB998E4C-4591-4057-B09A-BC0E2D2F8296}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :

Туннельный адаптер isatap.{3CC0067D-066D-4A2B-90E7-7F762DE6F5CF}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :

Туннельный адаптер isatap.{1E410A42-7032-4374-B2A7-E99BF04347C4}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :

Туннельный адаптер 6TO4 Adapter:

DNS-суффикс подключения . . . . . :
IPv6-адрес. . . . . . . . . . . . : 2002:5faa:9113::5faa:9113
Основной шлюз. . . . . . . . . : 2002:c058:6301::c058:6301

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :

читать дальше »

C:\Users\Администратор>dcdiag

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = MAINSERVER
* Идентифицирован лес AD.
[NEWSERVER] Сбой привязки LDAP с ошибкой 1326,
Вход в систему не произведен: имя пользователя или пароль не опознаны..
Получена ошибка при проверке использования контроллером домена FRS или DFSR.
Ошибка.
Вход в систему не произведен: имя пользователя или пароль не опознаны.Из-за
этой ошибки могли не быть выполнены проверки VerifyReferences, FrsEvent и
DfsrEvent.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-Name\MAINSERVER
Запуск проверки: Connectivity
Хотя DNS-имя на основе GUID
(9aff1ece-e070-4dc0-80cf-16d77a86ce87._msdcs.domain.new) разрешено в
IP-адрес (127.0.53.53), для проверки связи недоступный, имя сервера
(MAINSERVER.domainssa.domain.new) разрешено в IP-адрес
(fe80::d012:7bb3:4ae:8e03%15), доступный для проверки связи.
Убедитесь, что IP-адрес на DNS-сервере зарегистрирован правильно.
Получена ошибка при проверке подключения LDAP и RPC. Проверьте
параметры брандмауэра.
......................... MAINSERVER - не пройдена проверка
Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site-Name\MAINSERVER
Пропуск всех проверок, поскольку сервер MAINSERVER не отвечает на запросы
службы каталога.


Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
......................... DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... DomainDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: domainssa
Запуск проверки: CheckSDRefDom
......................... domainssa - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... domainssa - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
......................... ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... ForestDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
......................... Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Schema - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
......................... Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Configuration - пройдена проверка
CrossRefValidation

Выполнение проверок предприятия на: domain.new
Запуск проверки: LocatorCheck

читать дальше »

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : NEWSERVER
Основной DNS-суффикс . . . . . . : domain.new
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Да
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : domain.new

Ethernet adapter Подключение по локальной сети 2:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller #2
Физический адрес. . . . . . . . . : AC-22-0B-C5-B2-79
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::4906:c5d9:dbf7:7cc%13(Основной)
IPv4-адрес. . . . . . . . . . . . : 109.202.12.60(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.192
Основной шлюз. . . . . . . . . : 109.202.12.62
IAID DHCPv6 . . . . . . . . . . . : 313270795
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-1B-7E-CA-25-E8-DE-27-01-9E-F

DNS-серверы. . . . . . . . . . . : 93.91.168.2
195.49.168.2
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Физический адрес. . . . . . . . . : E8-DE-27-01-9E-F7
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::408:f5d3:b8f8:3db8%11(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.100.77(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.128
Основной шлюз. . . . . . . . . :
IAID DHCPv6 . . . . . . . . . . . : 250142247
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-1B-7E-CA-25-E8-DE-27-01-9E-F

DNS-серверы. . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBios через TCP/IP. . . . . . . . : Включен

Адаптер PPP RAS (Dial In) Interface:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : RAS (Dial In) Interface
Физический адрес. . . . . . . . . :
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.101.4(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз. . . . . . . . . :
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{98F58A40-5936-4B9C-AB02-8C308E24DC63}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{6E06F030-7526-11D2-BAF4-00600815A4BD}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер 6TO4 Adapter:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft 6to4
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv6-адрес. . . . . . . . . . . . : 2002:6dca:c3c::6dca:c3c(Основной)
Основной шлюз. . . . . . . . . : 2002:c058:6301::c058:6301
DNS-серверы. . . . . . . . . . . : 93.91.168.2
195.49.168.2
NetBios через TCP/IP. . . . . . . . : Отключен

Туннельный адаптер isatap.{6C1DE0FF-5760-4372-ADE2-64223322C7D7}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #3
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

читать дальше »

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = NEWSERVER
* Идентифицирован лес AD.
[MAINSERVER] Сбой привязки LDAP с ошибкой 8341,
Произошла ошибка службы каталогов..
Получена ошибка при проверке использования контроллером домена FRS или DFSR.
Ошибка. Произошла ошибка службы каталогов.Из-за этой ошибки могли не быть
выполнены проверки VerifyReferences, FrsEvent и DfsrEvent.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-Name\NEWSERVER
Запуск проверки: Connectivity
Хотя DNS-имя на основе GUID
(2c73758b-7ed3-43fb-81d7-f20578862910._msdcs.domain.new) разрешено в
IP-адрес (127.0.53.53), для проверки связи недоступный, имя сервера
(NEWSERVER.domain.new) разрешено в IP-адрес
(fe80::4906:c5d9:dbf7:7cc%13), доступный для проверки связи.
Убедитесь, что IP-адрес на DNS-сервере зарегистрирован правильно.
Получена ошибка при проверке подключения LDAP и RPC. Проверьте
параметры брандмауэра.
......................... NEWSERVER - не пройдена проверка
Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site-Name\NEWSERVER
Пропуск всех проверок, поскольку сервер NEWSERVER не отвечает на запросы
службы каталога.


Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
......................... ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... ForestDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
......................... DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... DomainDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
......................... Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Schema - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
......................... Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Configuration - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: domain
Запуск проверки: CheckSDRefDom
......................... domain - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... domain - пройдена проверка
CrossRefValidation

Выполнение проверок предприятия на: domain.new
Запуск проверки: LocatorCheck
......................... domain.new - пройдена проверка LocatorCheck
Запуск проверки: Intersite
......................... domain.new - пройдена проверка Intersite


Немного информации, но все же достал сколько было. Первые два - домен в лесу. Третий и четвертый - контроллер.

Kaityz 11-09-2014 12:51 2401275
Не заслуживающий доверия ответ:
╚ь*: domain.new.domainssa.domain.new
Address: 127.0.53.53

Может кто подсказать с чем данная коллизия связана? В этом по всей видимости и ошибка.

User001 11-09-2014 13:26 2401301
Цитата:
Цитата Kaityz
Первые два - домен в лесу. Третий и четвертый - контроллер. »
Это контроллер домена в первом, а потом во втором филиале?
Цитата:
Цитата Kaityz
SRV1 и SRV2 »
Цитата:
Цитата Kaityz
У одного внутренний адрес 192.168.2.0 255.255.255.128 у другого внутренний адрес 192.168.2.128 255.255.255.128. »
Цитата:
Цитата Kaityz
IPv4-адрес. . . . . . . . . . . . : 192.168.100.177 »
Вы уж определитесь с адресами и названиями - или давайте сразу нормальные или не давайте вообще. А еще лучше нарисуйте схему.
Цитата:
Цитата Kaityz
Address: 127.0.53.53
Может кто подсказать с чем данная коллизия связана? В этом по всей видимости и ошибка. »
Вероятно, у вас в DNS сервере прописан данный адрес для имени 2c73758b-7ed3-43fb-81d7-f20578862910._msdcs.domain.new.
Цитата:
Цитата Kaityz
DNS-серверы. . . . . . . . . . . : 93.91.168.2
195.49.168.2 »
У первого - выложите нормальный IPCONFIG. У второго - на нем DNS стоит или нет? Если это КД и на нем DNS, тогда читаем про сервера пересылки.

Kaityz 11-09-2014 13:37 2401308
не знаю как вы разобрались в той ахинее, что я писал User001, но вы мне очень помогли, дело было в сервере пересылки, там стояли левые адреса абсолютно. Спасибо!

Kaityz 11-09-2014 14:05 2401325
Но все таки хотелось бы узнать почему домен дублируется

Делая nslookup Домена domain.new к примеру nslookup дает нам ответ domain.new.domain.new. В чем заключается прикол этого дубликата?

cameron 11-09-2014 14:38 2401348
возможно что-то накрутили в суффиксах DNS.
у вас вообще интересные КД, с внешней сеткой и PPP интерфейсами.
это, при недостаточности знаний, черевато реальными проблемами.
купите маршрутизаторы, которые будут вам раздавать интернет, и поднимать туннели между филиалами.
dlink/mikrotik если нет денег.


Время: 20:59.

Время: 20:59.
© OSzone.net 2001-