Не пашет AD...

[login16]

Привет всем.
Пока разбирался с DNS...видимо что-то сломал.
Имеем win 2008.
Шлюз (обычный роутер)- 192.168.1.1
Сам сервер:

Код: Выделить всё

-192.168.2.1 (ip)
-255.255.0.0 (mask)
-192.168.1.1 (gw)

-192.168.2.1(dns)

На DNS в форвадерс указан адрес шлюза 192.168.1.1.

nslookup проходит, инет есть, пинг с сервера до шлюза идет.
Ошибок при ipconfig /all Нет.

Не открывается оснастка AD пользователи...

При DCDIAG выходит ошибка:

Код: Выделить всё

Выполняется попытка поиска основного сервера...
   * Проверка, является ли локальный компьютер name сервером каталогов.
   Основной сервер = name
   * Подключение к службе каталога на сервере name.
   [name] Сбой при подключении LDAP с ошибкой 0,
   Операция успешно завершена..
   [ZEMUSSOS] Неустранимая ошибка LDAP 89:

====
Я так понимаю LDAP это протокол для AD... Но как вылечить-то?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[snorlov]

А волшебные зоны от MS в вашем dns'е есть, это те которые начинаются с _ , сделайте на контроллере AD еще

Код: Выделить всё

ipconfig /registerdns

обычно, если создаете зоны мастером, обратные зоны не создаются, но они не менее важны, чем прямые, создайте ручками...

[login16]

Обратная зона - используется при обработке запросов, когда клиент по IP-адресу хочет определить имя хоста.
Так у меня вроде работает определение имен по Ip...
Или этого не достаточного для полной работоспособности AD+DNS ?

[snorlov]

Блин лдап ищется через днс, еще раз спрашиваю волшебные зоны АД у вас в днсе есть?

[login16]

Извиняюсь за долго молчание.

Не-а, видимо нет



ipconfig /registerdns:


p.s. в серверах перессылки IP должен быть ip-шлюза (на шлюзе прописан dns провайдера)? Или сразу можно указать Ip dns провайдера?

[snorlov]

Что у вас за бестолковщина... ip сервера 192.168.2.1, а ip шлюза 192.168.1.1, маска у них какая? или они у вас в разных сегментах живут...

[login16]

Что у вас за бестолковщина... ip сервера 192.168.2.1, а ip шлюза 192.168.1.1, маска у них какая? или они у вас в разных сегментах живут...

Маска у шлюза и у сервера 255.255.0.0

[snorlov]

Что у вас за бестолковщина... ip сервера 192.168.2.1, а ip шлюза 192.168.1.1, маска у них какая? или они у вас в разных сегментах живут...

Маска у шлюза и у сервера 255.255.0.0

Я "старый, больной человек", точнее воспитанный на том, что у сетей 192.168... может быть маска только 255.255.255.Х, в противном случае можно поиметь грабли в самых неожиданных местах..., если не хватает 253 ip адреса, есть другие сети 172..., 10... к примеру. Обратите внимание у вас почему-то не проходит dcdiag, причем там фигурирует сервер с именем name, откуда он взялся?
теперь по поводу 192.168.1.1, у вас на нем поднят dns? наверное нет, поэтому пересылка на него бессмысленна...
Кстати службу dns можно удалить и заново все с нуля поставить...

[login16]

проходит dcdiag, причем там фигурирует сервер с именем name, откуда он взялся?

name - я затер имя реального сервера.
Про разделение подсетей. Просто хочется чтобы одно было в одной сети, другое в другой.
1.1 - Это обычный роутер(adsl), который выдается провайдером.
dns на нем прописан провайдерский.

В настройках сетевого подключения указан 2.1 (айпи адрес сервера). На AD(2.1) поднят DNS (без DNS AD не будет AD). В пересылках в DNS указан 1.1 (шлюз) - дабы запросы шли на шлюз, а далее на dns провайдера.

Службу dns удалял и заново ставил.
Волшебные зоны "_" не образуются. Как их создать?

[snorlov]

Еще раз обрисуйте физическую топологию, типа сервер с одной сетевой картой, куда я вписал 192.168.2.1, провайдером выдан роутер, к настройкам которому доступа не имею и в котором прописан адрес 192.168.1.1, он является также натом для сетки, и все это в одном сегменте.
Если так боитесь то затирайте имя, которое фигурирует снаружи...
Сервер уже обслуживает клиентов или еще нет... Это все к тому, что большинство без должной квалификации делает ошибку сразу устанавливая AD через мастер совместно с DNS... А волшебные зоны появятся, если основные зоны обновляемы и сделано хоть одно из следующих движений:
1. сервер перегружен,
2: перестартовали сервис netlogon,
3: ipconfig /registerdns...
У вас там еще один интерфейс висит на 192.168.2.2...
Да и что это за фраза

Про разделение подсетей. Просто хочется чтобы одно было в одной сети, другое в другой.

Они все равно в одном физическом сегменте... Секурности это не добавит, только головную боль...

[login16]

Есть локальная сеть 192.168.1.x.
Есть компьютеры с настройкам:
ip: 192.168.1.x
mask:255.255.255.0
gw: 192.168.1.1
dns:192.168.1.1.
Народ ходит в инет.

Есть шлюз(роутер,маршрутизатор) выданный провом. ip - 192.168.1.1. На нем поднят инет. Прописан днс провайдера. Маска: 255.255.0.0.
Есть сервер.
ip: 192.168.2.1
mask: 255.255.0.0
gw:192.168.1.1
dns: 192.168.2.1

В пересылках днс указан 192.168.1.1.

На сервере через стандартную службу вин 2008 поднят vpn. Клиенты из вне подключаются по внешнему айпи, затем через rdp заходят на 2.1 и работают. Подключающимся клиентам выдаются ip 192.168.2.x.





192.168.2.2 - впн клиент подрубившийся из вне.
Хотя переподключился и назначился другой, а в ipconfig 2.2 показывает:
Пользователю, подключенному к порту VPN3-127, назначен адрес 192.168.2.8

1. сервер перегружен,
2: перестартовали сервис netlogon,
3: ipconfig /registerdns...

Это делал.

А волшебные зоны появятся, если основные зоны обновляемы

Зашел в свойства обратной и прямой зон, обновление включено, безопасное.

[snorlov]

Ну и зачем тогда вам AD? Кто в нем проходит аутенфикацию ?

[login16]

Ну и зачем тогда вам AD? Кто в нем проходит аутенфикацию ?

Пользователи там заведены. АД просто упал...пока возился с DNS...потом как-то все заработало, но инет упал.
Там в ipconfig /all добавился шлюз 0.0.0.0. Я его удалил и инет заработал. Но пока решал эту проблему, АД упал
А нужно работать с пользователями: управлять, удалять, добавлять.

[snorlov]

Пользователи в какой сетке сидят?...

[login16]

Пользователи в какой сетке сидят?...

И в 2.1 и в 1.1.
2.х - сеть для внешних клиентов подключающихся к 2.1
1.х - сеть для офисных юзеров подключающихся к 2.1
И тем и тем надо заходить на 2.1 для работы в 1с.

[snorlov]

Ну и зачем тогда вам AD? Кто в нем проходит аутенфикацию ?

Пользователи там заведены. АД просто упал...пока возился с DNS...потом как-то все заработало, но инет упал.
Там в ipconfig /all добавился шлюз 0.0.0.0. Я его удалил и инет заработал. Но пока решал эту проблему, АД упал
А нужно работать с пользователями: управлять, удалять, добавлять.

да не упал он, просто вы так долба..ки настроили днс, включая указание на раб. станциях, что компы просто не могут найти контроллер ад... А все из-за вашей долбаной секурности и не знания TCP/IP, ....
На раб станциях пропишите в качестве dns адрес контроллера ад 192.168.2.1, в самом контроллере шлюз 192.168.1.1, в качестве сервера днс самого себя, только ради бога не 127.0.0.1, в свойствах самого сервиса днс форвард на днс провайдера и еще по нескольку раз прогоните dcdiag и netdiag...
Найдите нормальную книжку по TCP/IP и поштудируйте ее...

[login16]

На раб станциях пропишите в качестве dns адрес контроллера ад 192.168.2.1,

Речь пока идет не о клиентах сети 1.х, а о работе АД+ДНС на контроллере.

в самом контроллере шлюз 192.168.1.1

Это прописано.

в качестве сервера днс самого себя

Прописано.

в свойствах самого сервиса днс форвард на днс провайдера

Там прописан днс провайдера и 1.1.

Сейчас удалю 1.1 из списка, перегружу.

[snorlov]

Вывод netdiag и dcdiag в студию...

[login16]

МС заявили, что Netdiag не поддерживается в операционных системах windows server 2008 и windows server 2008 R2.

Netdiag is not included with 2008

"Netdiag /fix can be quite useful on Windows Server 2003 and Windows Server 2000. The tool does not appear in Windows Server 2008, but Dcdiag /fix performs many of the same useful features for domain controllers and is available in Windows Server 2008, as well as Windows Server 2003 and Windows 2000."

[snorlov]

Ну не знаю что вам и посоветовать. В логах самого сервера ругани нет ...

[login16]

Ну не знаю что вам и посоветовать. В логах самого сервера ругани нет ...

Проверьте личку.

[snorlov]

Да это я видел, меня интересует журнал самого АД, ты случаем не тормознул что-то из сервисов...

[login16]

Да это я видел, меня интересует журнал самого АД, ты случаем не тормознул что-то из сервисов...

Проще дать доступ по ТимВьюверу?

[snorlov]

Да нет, не любитель я лазать по чужим компам... У вас там доменные службы АД с желтым восклицательным знаком, на что ругаются...

[MAGNet]

Извините, не стал целиком читать этот "поток мысли", сразу изложу несколько основных правил (извините, если это уже тут было):

• контроллер ad не должен быть multihomed, т.е. иметь несколько сетевых интерфейсов;
• контроллер ad должен быть первичным dns в своей подсети;
• на момент повышения роли сервера до контроллера домена роль dns-сервера должна отсутствовать

последнее - основная причина по которой зоны могли прописаться криво.
если были эксперименты с dns, то скорее всего там всякий мусор, но не то, что нужно..
я в своё время однажды именно так уронил АД.
одно хорошо - 2008 имеет развернутую систему диагностики. юзайте dcdiag, читайте логи. имеется ввиду журнал событий windows! в логах он русским по белому пишет где и чего ему нехватает.
а дальше всё только руками ))
не знаю, как сейчас обстоят дела, но 4 года назад, когда со мной такое случилось, автоматизировать процесс было нельзя, вот я руками и восстанавливал, около 60-ти ошибок.
да, ещё печально то, что и удалить контроллер он с такими ошибками не даст.