AD+DNS с одним сетевым контроллером
 

Здравствуйте, друзья.
Нигде не нашел, решил спросить, возможно ли поднятие и корректная работа AD на сервере с одной сетевой платой. Инфраструктура следующая:
имеем AD+DNS (192.168.0.2)
имеем роутер с DHCP и инетом (192.168.0.1)
соответственно, роутер раздает адреса и интернет, AD обслуживает групповые политики и вход юзеров на клиентские машины.
Поясню, почему такая задумка: работа конторы в первую очередь зависит от наличия интернета, штатного админа нет, работа сервера нестабильна: случаются перебои с электричеством, и ИБП не всегда спасает, кроме этого в месте его нахождения бывает несведущий народ (телефонисты, завхозы и т.д.), выдергивают провода, выключают питание, дикари-с.

Что бы хотелось сделать: роутер как инет-шлюз-то гораздо надежней 2008r2, он будет раздавать инет и адреса, а DC - раздавать политики и логинить юзеров, если он приляжет ненадолго, пользователи будут заходить "по старой памяти" клиентских машин.

И из первого вопроса подспудно вытекает второй:
если нельзя сделать AD с одним сетевым интерфейсом, как настроить их оба, если раздача dhcp и интернета происходит с роутера:
что назначать сетевым контроллерам?

Saveliy_0, Совершенно стандартная ситуация для небольших контор - все работает без каких либо костылей и особенностей.
Главное надо помнить - DC обязан иметь статический IP-адрес (192.168.0.2 в твоей ситуации) настроенный ВРУЧНУЮ. Соответственно на роутере либо исключи этот адрес из диапазона DHCP или свяжи его с MAC-адресом сетевого адаптера сервера.

соответственно, на роутере в dhcp привязываю ip серва по маку, тут ясно
если вы знаете такую конфигурацию, подскажите, что писать в настройках ipv4 на серве? шлюз и dns какой? если я прописываю в шлюзе IP роутера, то это противоречит правилам настройки AD, если оставлю пустым - он, наверное, сеть не увидит, если укажу самого себя.. то вообще не знаю:) после установки роли AD в dns будет стоять петля 127.0.0.1, ее там и оставить?
что сделать со второй сетевой? просто отключить или отключить через биос? не будет ли она мешать?

это вы где такие правила нашли?

не будет

точно не скажу, но видел такое, и не раз

Saveliy_0, значит надо развидеть это ровно столько раз сколько видел.
Шлюз - для всех машин(в том числе и для сервера) = IP роутера, потому как именно он является маршрутом в интернет.
В настройке сервера DNS в серверах пересылки укажешь внешние DNS-ы.
На сервере в настройках сетевой DNS-ы: IP сервера и локальный на 127...

есть вариант - если сетевухи поддерживают балансировочный транк(зависимый или независимый от роутера) можно его поднять - широкий канал до сервака это всегда в плюс.

понятно, спасибо, а если не настраивать сервера пересылки, а указать в настройках dhcp на роутере раздавать 1й днс серва, а второй внешний, 8.8.8.8 например, будет работать?

да там клиентских машин-то едва десяток наберется, нет смысла, но все равно спасибо за совет.

Вообще то, это стандартная конфигурация, а через две сетевые (использовать маршрутизацию Windows) - это изврат! Что конкретно у тебя не получается?

Например:
сервер:
ip 192.168.0.2
маска 255.255.255.0
шлюз 192.168.0.1
dns 192.168.0.2

роутер:
задаешь интервал dhcp от 192.168.0.11 до 192.168.0.100, dns 192.168.0.2, а шлюз автоматом будет 192.168.0.1 и все.

на клиенте будет (dhcp):
ip 192.168.0.11-100
маска 255.255.255.0
шлюз 192.168.0.1
dns 192.168.0.2

я думал, стандартная конфигурация это AD с dhcp, двумя сетевыми, поднятой RRAS.. меня попросил родственник сделать это по принципу "тыж программист", я не великий спец в сетях, особенно на винде, поэтому и интересуюсь у знающих людей.. лирика
А практика такая, что пару лет назад нечто подобное делал и уперся в "не найден сетевой путь" с клиентских машин и очень долго ковырялся, в итоге не заработало до тех пор, пока не поднял на серве dhcp и rras

Saveliy_0, нет - будет большая проблема с нахождением домена и, как следствие, вводом машин в домен.
Чтобы машина легко и непринужденно вводилась в домен у нее первым DNS-ом всегда должен стоять доменный DNS, а чтобы он резолвил внешние адреса должны быть указаны сервера пересылки.

Данную конфигурацию использовали для экономии бабла, т.е. жадный работодатель не хотел покупать железку, компьютер, ос; трафик был лимитный, поэтому как правило была установлена программа для анализа трафика и для нее нужен был отдельный компьютер с двумя lan + ос, а денег на это не давали. Вот и делали все в одном: ad+прога для анализа трафика+rras+dhcp+...
можно использовать корневые ссылки (т.е. вообще ничего не настраивать в ДНС), должно все работать без проблем.

Saveliy_0, только без обид, но мне кажется у тебя не достаточно знаний, не лучше ли пригласить какого нибудь знакомого специалиста, который все настроит и объяснит как все работает, что-бы в дальнейшем не возникло проблем.

Я же сразу это обозначил, никаких обид, но виндосервы сами про себя пишут, что все ставится визардами, настройка доступна ламерам за 5 минут и т.д. и т.п. Если бы речь шла о unix-серве, я бы прислушался к вашему совету, но настроить виндовз человеку, 15 лет занимающемуся функциональным программированием, не должно составить труда, здесь я просто хотел уточнить некоторые детали, опираясь на предыдущий не совсем удачный опыт. Простите, что отнимаю ваше время.

Я бы так не был категоричен, многие на этом форуме достаточно хорошо знакомы с nix системами, но кто-то использует их, а кто-то нет. Я уже пару лет как не делаю ничего в консоле, т.к. глаза сильно устают, а потом болят от черно-белого экрана при работе с ssh, поэтому предпочитаю винду. :) А ставится все за те же 5 минут.
Чем по твоему отличаются настройки ip адресов от Windows? Все тоже самое, если поднять samba 4, а на нем ad (встроенный dns вполне нормально реализован), то ничем это отличатся не будет. Если есть опыт установки nix систем, тогда ставь домен для винды на нем (gpo тоже самое, только управляется с ПК на винде с помощью админпака), а на железке раздай dhcp и интернет, не вижу сложностей.

там винсервер лицуха, зря чтоль люди покупали? А так-то да, больших сложностей быть не должно
Большое спасибо всем, кто ответил, исчерпывающе, завтра пойду настраивать.

Saveliy_0, тогда установи его, настрой ip как я написал, задай корректное имя серверу, введи в командной строке dcpromo, а дальше, как ты сам написал:
т.е. название домена, например test.local, а потом далее, далее,... и все.
Пользователей, что бы они не потеряли свои профили загони в домен этой прогой.

интересная вещь, но юзать не буду, тамошний командир наоборот хочет пересоздание всех юзверей, потому что его сотрудники сидят под учетками людей, которые давно не работают, пароли висят на стене на бумажке, обыкновенный бардак, когда некому этим заниматься, вот недельку буду приводить все в порядок :)

Повесить амбарный замок на дверь. На оборудование повесить большие листы с надписью "НЕ ВЛЕЗАЙ! УБЬЮ!!!"

В свойствах сетевой карты нужно создать объединение обоих карт в один канал и соединить двумя кабелями с коммутатором. В Windows это называется teaming.
В этом случае получите двойную надёжность (при отключении одного кабеля связь будет работать по второму) и увеличение скорости передачи данных (в зависимости от режима объединения).
В свойствах сети появится третий сетевой интерфейс (team), в свойствах которого вы пропишете один IP-адрес (у физических сетевых карт, участвующих в объединении, IP-адресов не будет). Адрес шлюза - маршрутизатор (серверу тоже интернет нужен). Адрес DNS не указываете (будет автоматически использован 127.0.0.1).

Лучше использовать адреса DNS Яндекса или от вашего провайдера. Адреса DNS интернета указываете в свойствах службы DNS на сервере.


Разумеется, раздавать интернет будет роутер. Однако раздавать адреса по DHCP всё равно должен сервер.

В раздаваемых адресах шлюзом будет маршрутизатор, DNS1 - сервер, DNS2 - маршрутизатор.
Если маршрутизатор поддерживает указание дополнительных адресов - указать DNS сервера для зоны .LOCAL для корректной обработки внутренних адресов.

друзья, расскажу с натуры
бэкапнул сервак в первобытное состояние, отрубил вторую сетевую (на всякий), поставил роль AD, dcpromo, dns-server поставился следом, в днс нарисовал только зону обратного просмотра, на роутере в dhcp указал шлюзом роутер, в днс - 1й днс серва, второй и третий внешние (на случай, если серв ляжет) проверил на машинках с 7 и 10 виндой, входят, выходят и снова входят в домен, политики применяются.
сервера пересылки не стал трогать, не совсем понимаю, зачем их добавлять в такой конфигурации

к сожалению, там стоит атс на 100500 офисов, телефонисты там живут просто

мысль не ясна, почему должен? раздает адреса сервер dhcp

поставил вторым и третьим днс провайдера, так работает вроде...

не надо таких примеров
зона .local поднимается автоматически автоконфигураторами сетей

Чтобы не было сюрпризов и проблем лучше использовать свой реальный домен. Например, если сайт организации example.com, то виндовый домен сделать office.example.com

Капитан Очевидность говорит, что over9000 организаций не имеют своего сайта.
Так то!


Не надо "всяких". Надо было сразу объединять интерфейсы в один канал.

А основная зона DNS?
Как у вас вообще домен работает?

Повторяю: службу DHCP надо поднимать на основном сервере сети.
Иначе могут быть проблемы с записями локальной зоны DNS сервера

после поднятия роли AD, сервер в добровольно-принудительном порядке ставит роль DNS-сервера, после автонастройки там уже была основная зона для моего домена

изначальная задача была настроить домен с днс сервером отдельно от dhcp, такая ситуация, что раздавать инет и адреса должна коробка, в кабинете руководителя, а не сервак в подвале.

зачем, если компания сама не хостит на своих серверах свой сайт? а если хостит.. тоже зачем?

затем, чтобы не было конфликтов адресации
Примерно потому, почему не стоит в локалке использовать "взятые с потолка" белые IP - работать же будет. Возможно, даже, что и проблем никаких не проявится, но зависит исключительно от везения.

Купить для сервера закрытый шкаф 19'' и закрыть его вместе с бесперебойником на замок, а на питающую розетку повесить большую табличку "НЕ ВЫКЛЮЧАТЬ НЕ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ".

Даже если финансирование в состоянии "молодая, динамично развивающаяся компания возьмет в аренду степлер", всегда можно сделать такой шкаф из подручных материалов.
Сам видел "открытую стойку" из четырёх деревянных брусьев :)
Оббить по периметру любой доской для защиты от дурака (до умышленного вандализма, надеюсь, у вас всё-таки дело не доходит), спереди сделать дверь и повесить на неё амбарный замок :lol: