» »

Windows domena prek routerjev

Windows domena prek routerjev

BorD ::

Pozdrav,

imamo večje omrežje (skoraj 1000 računalnikov) s precejšnjim številom routerjev. Na dolgi rok bi radi vzpostavili windows domeno, pri čemer bi joinali tudi računalnike, ki so za routerji. Zanima me, če ima kdo s tem kake izkušnje. Katere porte je treba forwardirat kam? Nekaj člankov na to temo sem že prebral, vseeno bi se pa priporočal za morebitne izkušnje s takim početjem.

Druga stvar: kako je potem z omrežnim printanjem? Recimo, da je DC tudi print server. Kako printat na dva omrežna tiskalnika, če sta oba za istim routerjem?

Hvala in LP,
D
Širokopasovne komunikacije so danes generacijski in civilizacijski standard.

BlueRunner ::

Ali postavljaš domeno iz nič, ali moraš prilagoditi obstoječe stanje?

BorD ::

Domeno postavljam z nule... Omrežje pa je postavljeno in kot tako funkcionira.
Širokopasovne komunikacije so danes generacijski in civilizacijski standard.

SasoS ::

Windows domena je hudo neprijazna routerjem. Ni fora portov, ampak broadcasti. Ko daš v windowsih logon, začne kišta pošiljat broadcaste - kdo je domain server te domene. Če se ti bo že zlogiral, se bo potem rado dogajalo da boš videl samo mašine ki so na istem routerju...neprijetna zadeva :)

BlueRunner ::

Kakšne pa so povezave, kar se tiče pasovne širine in latenc (najeti vodi, simetrične povezave, asimetrične, klicne povezave, ISDN, ...)? Od teh je namreč odvisno koliko strežnikov boš nujno potreboval in koliko jih je smiselno ustvariti. Morda, če boš priložil kakšno približno oblačkasto shemo brez kakršnih koli IP naslovov, bo še lažje predlagati kaj smiselnega.

Kar je pa SasoS povedal, pa kar pozabi. Malo je zamešal AD in običajne skupine, kjer ni ne domene, ne WINS strežnika, hkrati pa je pozabil na osnove delovanja IP omrežja (kaj ima broadcast z routerji?).

SasoS ::

in kako boš po osnovah IP omrežij spravil broadcast čez routerje?

BlueRunner ::

@SasoS: Oprosti, verjetno res nisem povedal dovolj jasno: AD domene za delovanje ne potrebujejo nikakršnih broadcastov, kar pomeni, da teh broadcastov tudi ni (razen če boš k njim štel DHCP discover broadcaste). Zakaj pa naj bi bili broadcasti neprijazni usmerjevalnikom, pa tudi ne vem, saj se ti z njimi ne ukvarjajo - od tukaj pa sledi referenca na tvoje nepoznavanje osnov delovanja IP omrežij.

SasoS ::

seveda se ne, ker jih dropajo oz. ne routajo nikamor :D

poleg tega pa BorD ni nikjer omenil da bo postavljal Active Directory...

Zgodovina sprememb…

  • spremenilo: SasoS ()

BlueRunner ::

Aha!

Mislim, da sedaj razumem kaj si želel povedati: namesto da imajo usmerjevalniki težave z broadcast paketi, si verjetno želel povedati, da ima domena težave z usmerjevalniki, ker naj bi uporabljala broadcast pakete.

No, naj ti še enkrat zagotovim: AD domena (za razliko od klasične, ki se je uporabljala do vključno NT 4.0) ni bila nikoli odvisna od broadcast paketov. Delovanje je bazirano na DNS, LDAP v3, Kerberos v5, DCE/RPC in CIFS protokolih. Vsak izmed njih igra svojo vlogo, niti en izmed njih pa pri svojem delovanju (na srečo) ne uporablja broadcast paketov.

To, da pa nekdo domene ni eksplicitno opredelil kot AD domene, je pa čisto izgovarjanje. Zakaj točno in kako točno si predstavljaš nameščanje domene z tehnologijo, ki je bila izkoreninjena 2001? 6 let nazaj?

Zgodovina sprememb…

BorD ::

Strežnik bo zaenkrat 2003, tako da bo domena AD. Kar zaenkrat iščem, je samo tole: 1 strežnik in npr. trije računalniki, vmes pa router. Kaj (vse) rabim naredit, da spravim te tri čez router v domeno? Danes se bom s tem še malo pozafrkaval, ampak če pa kdo ve in je to že delal, pa kar z besedo na plan.
Širokopasovne komunikacije so danes generacijski in civilizacijski standard.

SasoS ::

BlueRunner: v podjetjih je še ogromno računalnikov z win98 katerih ne bo noben nikoli updatal, verjemi delam vsak dan z njimi...če ima 1000 mašin so res vsi win2k ali več? Pa linux (ki sicer ima nekaj AD podpore, a je daleč od popolne implementacije)?

Zgodovina sprememb…

  • spremenilo: SasoS ()

Ziga Dolhar ::

BorD: bo dejansko "router" ali le switch? Sam imam AD, nato pa od njega preko Linksysa žično in brezžično povezane 3 kište. Linksys deluje le kot switch, saj za razmerja v notranjem omrežju nimam osrednjega firewalla.

(Če ti deluje le kot switch, pol ni problema.)
https://dolhar.si/

Zgodovina sprememb…

BlueRunner ::

@BorD: Če imaš samo usmerjevalnik (router), potem ni nikakršnega problema: vsem udeležencem podeliš IP naslove in nastaviš ustrezne route; na strežniku poženeš dcpromo; nato klientih nastaviš pravilen DNS in jih dodaš vo ravnokar ustvarjeno domeno. Nikakršnih zapletov, "prosto ko pasulj". Če imaš vmes nič ali pa 100 usmerjevalnikov ne igra vloge.

Po korakih bi to šlo nekako takole (v zaprtem "laboratorijskem" omrežju):
1) v testu bom imel dve omrežji: 10.0.0/24 kjer se bo nahajal strežnik in 10.0.1/24, kjer se bodo nahajali odjemalci.
2) omrežji bo povezoval usmerjevalnik, kjer bosta delovala dva vmesnika: en z naslovom 10.0.0.1/24, drugi z naslovom 10.0.1.1/24.
3) v "strežniškem omrežju" (10.0.0/24) namesti Windows 2003 Server in mu dodeli naslov 10.0.0.10/255.255.255.0, prehod (gateway) mu daj 10.0.0.1, za DNS strežnik pa 127.0.0.1, čeprav sam DNS še ni nameščen
4) na strežniku: Start -> Run in vtipkaj dcpromo
5) V čarovniku izberi naslednje možnosti:
5.1) "Domain cotroller for a new domain"
5.2) "Domain in a new forest"
5.3) za "Full DNS name" si ozberi nekaj.internal ali pa nekaj.intranet. NE UPORABLJAL ".local"!
5.4) za "Domain NetBIOS name" pustiš tisto, kar ti je ponujeno
5.5) "Database and Log Folders" pustiš tisto, kar ti je ponujeno
5.6) "Shared System Volume" pustiš tisto, kar ti je ponujeno
5.7) Pri "DNS Registration Diagnostics" izberi "Install and configure DNS server on this computer" - srednja možnost
5.8) pri "Permissions" izberi ustrezno možnost: glede na to, ali uporabljate tudi Windows NT 4.0 strežnike ali ne. Privzeto je, da ne, kar bi moralo biti OK.
5.9) izberi si geslo za "Restore mode". To geslo boš potreboval takrat, kadar boš ta strežnik pognal v Safe mode, ali pa v Directory services restore mode
5.10) na povzetku klikneš še "Next", nato pa se začne vrteti namestitev
6) Ko čarovnik konča s svojim delom, moraš strežnik še restartati, kar tudi storiš ("Restart Now").
7) Ko se strežnik pobere nazaj, lahko začneš z pripravo odjemalcev...
8) Na prvem odjemalcu nastavi IP naslov 10.0.1.10/255.255.255.0, prehod 10.0.1.1, DNS pa 10.0.0.10
9) Preveri povezljivost med odjemalcem in strežnikom (poženi ukazno školjko in v njej napiši "ping 10.0.0.10") Dokler ne dobiš odziva, omrežji nista pravilno povezani, kar pomeni, da ne boš mogel nadaljevati.
10) Odpri Control Panel, odpri System Properties (oprosti, ker nimam slovenske verzije v glavi), nato pa izberi zavihek "Computer Name".
11) Klikni na gumb "Change", na novem oknu pa izberi možnost domene, za ime domene pa vpiši polno ime domene, ki si si ga izbral v koraku 5.3 (nekaj.internal)
12) Čarovnik te bo vprašal za uporabniško ime in geslo uporabnika v AD domeni, ki ima pravico dodajanja novih računalnikov v domeno: najlažje bo, če uporabiš kar "Administrator@nekaj.internal", geslo pa je isto geslo, kot ga je imel ta Administrator na strežniku preden si pognal dcpromo.
13) Pojavil se ti bo okenček, ki te bo pozdravil v novi domeni, nato pa boš moral odjemalca še ponovno zagnati
14) Ponovi korake od 8 do 13 za vsakega odjemalca, ki ga želiš dodati v domeno... samo ne jim dajati istih IP naslovov ;)


Če imaš pa vmes požarne zidove pa moraš paziti, da boš v pravilne smeri spuščal pravilne tipe prometa. Teh je malo več, obstaja pa dokument, kjer so vsi lepo zbrani in zapisani. Ta dokument ti pa lahko na željo, izbrskam in pošljem.

---
@SasoS: Win98: WINS strežnik, Samba od 3.0 naprej (od leta 2002) v AD domenah deluje b.p.. Če hočeš na vsak način polemizirati na to temo, samo zato, da lahko polemiziraš, potem si najdi koga, ki o teh zadevah nima vsega razčiščenega. Morda ti bo še kaj verjel. Jaz bom svoj čas raje posvetil nekomu, ki ga to resnično zanima.

Dead_Eye ::

bluerunner: vidim da se na zadeve razumeš, zato imam eno vprašanje. Server=2003, klient winxp, problem je, ker rabi skoraj 1 minuto da se logira na domeno, pač stoji na "applying computer settings". Ko se enkrat logira dela vse bp

IP naslovi so avtomatski za kliente, server ima fiksnega, pod dns je napisan ip od serverja. Zanimivo je predvsem to, da na drugem PC-ju(isto xp) se logira takoj, nastavitve pa so identične. Virusov/trojancev 300% ni, ker je fresh install...
The one and only

Zgodovina sprememb…

  • spremenilo: Dead_Eye ()

BlueRunner ::

@Dead_Eye: Na pamet je to težko uganiti. Daj preglej kaj se zapisuje v Application in System Event Log-u na klientu. Če boš našel kaj čudnega, pošlji sem, pa bom lahko potem vsi skupaj na podlagi najdenega sklepali kaj bi lahko bilo narobe.

BorD ::

Hvala za izčrpen odgovor. Vse to sem pravzaprav že vedel, narobe pa sem razmišljal pri svoji konfiguraciji omrežja: strežnik je namreč na WAN delu routerja in ni potrebno forwardirat nobenih portov, le firewall je treba nastavit, da ne blokira določenega prometa navzven. Tako "laboratorijsko" konfiguracijo sem danes stestiral in dela bp.

Problem imam le še v primeru, ko je strežnik na LAN strani routerja. V tem primeru bo pa treba forwardirat nekaj portov. Nekaj sem se danes že ukvarjal s tem, pa mi še ni uspelo. Vem pa, kateri porti so, ker jih je bilo treba odpret na windows firewallu, sicer ta ne sme biti vklopljen. dcpromo tega ne uredi.

Printerji pridejo na vrsto kasneje.

Lp,
D
Širokopasovne komunikacije so danes generacijski in civilizacijski standard.

Microsoft ::

Ok tole je pa res tko cudno, da se ne morem zadrzati:
1000 win racunalnikov, ki niso v domeni?:\ 8-O

Stari, jst mislim, da se hecas al pa smo kaj spregledali. Kdo hudica vse to vzdrzuje?!?! In kako?

Poleg tega, ce je tvoj nacrt, da das 1000 PCjev v domeno, potem si najdi nekoga (MS slo), da ti oni naredijo plan, ker se ti bo v nasprotnem primeru cez kako leto vse sesulo.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

BorD ::

Okolje je tako specifično, da do zdaj to načeloma ni bil problem. Gre za šolsko okolje, kjer se učilnice postavijo, klonirajo in freeznejo (deep freeze). Tako je eno leto potem načeloma mir.

V štartu bi rad testno dal v domeno 3 učilnice in mogoče še nekaj drugih računalnikov, da vidim, kako se bo stvar obnesla pri tem.

AD bi rad povezal tudi z LDAPom, kjer bomo imeli vnešene učence, ampak to je že druga zgodba.

Lp,
D
Širokopasovne komunikacije so danes generacijski in civilizacijski standard.

BorD ::

Aja, pa vseh 1000 računalnikov verjetno nikoli ne bo v isti domeni, ampak številka zgolj opravičuje routerje v lokalnem omrežju, ker sicer bi se hitro našel kdo, ki bi se mu pa to zdelo skrajno čudno.

Lp,
D
Širokopasovne komunikacije so danes generacijski in civilizacijski standard.

Microsoft ::

BlueRunner, vidim da tole podrocje zelo dobro poznas. Ce ni skrivnost, kje in na kaksnem sistemu delas?


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

BlueRunner ::

@BorD: Upam, da med omrežji ne uporabljaš NAT. Uporaba požarnega zidu na DC-jih ni podprta, čeprav se da okna prepričati tudi v takšno stvar, če je to resnično potrebno (kar si tudi že sam ugotovil).

Glede samega pristopa k postavitvi domene pa obstaja še nekaj alternativnih postavitev, za katere bi bil sedaj (poletje) primeren trenutek, da o njih premisliš. Hkrati pa bi bilo dobro upoštevati tudi nefunkcionalne zahteve, saj domene ne boš postavljal v čistem vakumu, kar pomeni da moraš prihodnje integracije upoštevati že sedaj.

Pojmi LAN in WAN pa se mi zdijo nekoliko leseni, saj upoštevajo odnos med samo dvema lokacijama v omrežju. Osnoven diagram celotnega omrežja (nekaj oblačkov in povezav med njimi) bi tukaj še vedno izredno pomagal, saj je ravno takšen digarm osnova za neko smiselen predlog postavitve celotnega sistema.

@Microsoft: Anonimnost na forumih je zlata vredna, še posebej zato, ker delam v številčno majhnem podjetju, ki pa svetuje marsikomu pri marsičemu.

Zgodovina sprememb…



Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

ubuntu + network sharing

Oddelek: Pomoč in nasveti
221201 (1065) NeMeTko
»

Windows 2000 server--->Win XP prijava v domeno

Oddelek: Operacijski sistemi
201782 (1574) demokedes
»

Group Policy; kako nastavit GPO za OU?

Oddelek: Operacijski sistemi
382848 (2520) Microsoft
»

Win2kAdvSer; kako postavit novo domeno? (strani: 1 2 )

Oddelek: Operacijski sistemi
614901 (4129) Microsoft
»

w2k server & mreza

Oddelek: Operacijski sistemi
82038 (1903) andrej

Več podobnih tem