Ponownie: logowanie do AD

Oglądasz archiwalną wersję tematu "Ponownie: logowanie do AD" z forum ms-news.pl.windows2000.admin


Laskar - 12 Cze 2001, 05:36
Witam!
Wałkuje cały czas temat logowania do AD, ale komputera z innej podsieci
(jeśli chodzi o adresację) i niestety nie dochodzę do żadnych pozytywnych
wniosków. Czy ktoś ma takie, jak mi się wydaje "niezbyt orginalne"
rozwiązanie u siebie???
Pomysł jest przecież klasyczny, serwer w puli publicznej a userzy w
prywatnej.
R.
Tomasz Onyszko - 12 Cze 2001, 06:13




Pomysł jest przecież klasyczny, serwer w puli publicznej a userzy w
prywatnej.



Tu bym sie klocil czy to jest klasyczny problem. Ja bym nie wystawial
kontrolera domeny AD na adresie publicznym

za niego W2K z dwoma interfejsami.
Wins znajduje sie na tym serwerze ktory zalatwia ci routing pomiedzy tymi
dwoma sieciami ?

----------------------------
Tomasz Onyszko

-----------------------------
Laskar - 12 Cze 2001, 06:37

| Pomysł jest przecież klasyczny, serwer w puli publicznej a userzy w
| prywatnej.
Tu bym sie klocil czy to jest klasyczny problem. Ja bym nie wystawial
kontrolera domeny AD na adresie publicznym

za niego W2K z dwoma interfejsami.



w sensie fizycznym nie ma dwóch interfejsów - w tym serwerze jest jedna
karta sieciowa, a czy należy stworzyć na niej drugi interfejs to było raczej
pytanie z mojej strony, myślałem że chodzi Ci o coś w rodzaju dwie karty
sieciowe i dwa rozdzielne segmenty sieci
Istotnie w tej sieci jest jeszcze linux który pełni funkcję routera ale też
ma jedną kartę - natomiast jak do tej pory korzystałem również z IPXa i nie
zastanawiało mnie to specjalnie dlaczego wszystkie kompy się widzą (na tym
Linuxie nie ma WINSa)
Wins znajduje sie na tym serwerze ktory zalatwia ci routing pomiedzy tymi
dwoma sieciami ?



No właśnie jak to zrobić - mogę i tak i tak - wykonałem już cały szereg prób
i żadna nie przynosi pozytywów - dlatego pytam jak to ma wyglądać
poprawnie - i wtedy bedę się ewentualnie zastanawiał dlaczego u mnie nie
dział a u kogoś tak.
R.

P.S. A ja chciałem tylko postawić exchanga i nim się pobawić! :-)))
Tomasz Onyszko - 12 Cze 2001, 07:03




P.S. A ja chciałem tylko postawić exchanga i nim się pobawić! :-)))



No i doszlismy do sedna :-)). Chcesz  w DMZ  ustawic exchange zeby ci
odbieral poczte itp, i korzystac z niego w sieci prywatnej, a pomiedzy tym
wszytskim masz serwerek na linuxie ktory udostepnia ci dla tej sieci Intrnet
i robi za routerek miedzy siecia publiczna i prywatna. Czy tak to wyglada ?
Bo taki obraz mi sie rysuje.

Wiec w takiej sytuacji zrobilbym to tak:
1. Pytanie jak jestes podpiety do netu ? Ale jezeli chcesz wystawiac
exchange na adresie publicznym to musisz miec przyznane IP itp.
2. Dolozylbym jedna karte sieciowa do tego linuxa i zrobil pomiedzy nimi
normalny routing, jeden interfejs  prywatny, jeden publiczny. Duzo cie to
nie bedzie kosztowac a jest bardziej eleganckie (IMO).
3. Exchange umieszcozny w DMZ na adresie publicznym, instalujesz na nim
rowniez WINS. Drugiego WINS masz w sieciu prywatnej.
4. Ustanawiasz te dwa WINS'y jako parterow replikacji
5. Odpowiednia konfiguracja regulek na linuxe zeby pozwalal na ruch z
Exchagne do sieci prywatnej w odpowiednim zakresie.
6. Kontroler domeny oczywiscie w sieci prywatnej

.. I wszystko powinno zaczac dzialac

Moze to nie jest rozwiazanie o jakie ci chodzi ale moze wynikac to stad ze
domyslalem sie w tej chwili twojej topologii sieci.
Oczywiscie najelsze by bylo rozwiazanie w ktorym Exchange rowniez posiada
dwa interfejsy jeden do sieci publicznej, drugi do sieci prywatnej, i
pomiedzy tymi dwoma wylaczoy jest routing. Wtedy caly ruch do exchange ze
swiata przychodzi na jeden interfejs i na nim pozwalasz tylko na odpowiednie
polaczenia, a na interfejsie prywatnym pozwalasz na bardziej rozszerzony
ruch dla twoich klientow.

Chyba nie zamieszalem za bardzo :-(. Na site Cisco kiedys bylo opisane takie
rozwiazanie ale w tej chwili gdzies to przeniesli i nie moge znalezc link'u.

----------------------------
Tomasz Onyszko

-----------------------------
Laskar - 12 Cze 2001, 07:59

| P.S. A ja chciałem tylko postawić exchanga i nim się pobawić! :-)))
No i doszlismy do sedna :-)). Chcesz  w DMZ  ustawic exchange zeby ci
odbieral poczte itp, i korzystac z niego w sieci prywatnej, a pomiedzy tym
wszytskim masz serwerek na linuxie ktory udostepnia ci dla tej sieci
Intrnet
i robi za routerek miedzy siecia publiczna i prywatna. Czy tak to wyglada
?
Bo taki obraz mi sie rysuje.



Muszę przyznać że niewiele się pomyliłeś jeśli chodzi o topologię - poza tym
że aktualnie będę miał drugie łacze od innego providera, z jeszcze jedną
pulą adresową :-)) i nie staram się skupiać na bezpieczeństwie z tego
względu że to będę realizował na routerze  i firewall'u sprzętowym
postawionym wcześniej. Co do poczty zewnętrznej to narazie nie skupiam się
na tym bo to realizuje mi linux, w działaniu exchanga chodzi głównie o pracę
grupową. Natomiast aktualnie testowana konfiguracja odzwierciedla dokładnie
to co przedstawiłeś.

Wiec w takiej sytuacji zrobilbym to tak:
1. Pytanie jak jestes podpiety do netu ? Ale jezeli chcesz wystawiac
exchange na adresie publicznym to musisz miec przyznane IP itp.



adresów Ci u mnie dostatek a za niedługo dostanę jeszcze pełną klasę C

2. Dolozylbym jedna karte sieciowa do tego linuxa i zrobil pomiedzy nimi
normalny routing, jeden interfejs  prywatny, jeden publiczny. Duzo cie to
nie bedzie kosztowac a jest bardziej eleganckie (IMO).
pomijam
3. Exchange umieszcozny w DMZ na adresie publicznym, instalujesz na nim
rowniez WINS. Drugiego WINS masz w sieciu prywatnej.



... tu mam mały problem, w sieci prywatnej nie mam systemu serwerowego, nie
można jakoś pokombinować z tym jednym serwerem (dwa interfejsy albo coś w
tym stylu)
4. Ustanawiasz te dwa WINS'y jako parterow replikacji



... patrz punkt wcześniej
5. Odpowiednia konfiguracja regulek na linuxe zeby pozwalal na ruch z
Exchagne do sieci prywatnej w odpowiednim zakresie.



regułłki już są, zresztą dodałem też regułki w w2k serwer jakoby pula
prywatna była w bezpośrednim sąsiedztwie i to działa (tracert)
6. Kontroler domeny oczywiscie w sieci prywatnej



... to by świadczyło o tym że jednak jest potrzebny drugi serwer

.. I wszystko powinno zaczac dzialac

Moze to nie jest rozwiazanie o jakie ci chodzi ale moze wynikac to stad ze
domyslalem sie w tej chwili twojej topologii sieci.
Oczywiscie najelsze by bylo rozwiazanie w ktorym Exchange rowniez posiada
dwa interfejsy jeden do sieci publicznej, drugi do sieci prywatnej, i
pomiedzy tymi dwoma wylaczoy jest routing. Wtedy caly ruch do exchange ze
swiata przychodzi na jeden interfejs i na nim pozwalasz tylko na
odpowiednie
polaczenia, a na interfejsie prywatnym pozwalasz na bardziej rozszerzony
ruch dla twoich klientow.



... pomińmy narazie bezpieczeństwo, i wracając do tematu pierwotnego, da się
na jednym fizycznie serwerze czy nie?
Dzięki za zainteresowanie! :-)
R.
Tomasz Onyszko - 12 Cze 2001, 08:50




względu że to będę realizował na routerze  i firewall'u sprzętowym



Bombka, jak bedziesz mial spreztowego wall'a to juz tylko kwestia ilosc
interfejsow w nim i odpowiedniego ich skonfigurowania na siec prywatna i
publiczna.

grupową. Natomiast aktualnie testowana konfiguracja odzwierciedla
dokładnie
to co przedstawiłeś.



ha, jakos tak mi sie wydawalo.

... tu mam mały problem, w sieci prywatnej nie mam systemu serwerowego,
nie
można jakoś pokombinować z tym jednym serwerem (dwa interfejsy albo coś w
tym stylu)
(...)
... pomińmy narazie bezpieczeństwo, i wracając do tematu pierwotnego, da
się
na jednym fizycznie serwerze czy nie?



Wiec pomijajac wszytsko inne, i patrzac na to ze chcesz aby poczta byla
dalej na linuchu widze to tak. Postaw sobie serwerek z domena i exchagne w
sieci prywatnej, po co ma stac w DMZ. Zrobisz na nim konkfiguracje poczty
ktora bedize wszytsko wypychac do linucha i juz ci bedzie hulac z niego
poczta. Jezeli nie chcesz wystawiac nic z tego exchange w sieci publicznej
to naprawde postaw go w sieci prywatnej. Serwerek Exchange z kontrolerem
domeny na jednej odpowiednio wyposazonej maszynie (zaleznie od odbciazenia)
spokojnie moze dzialac.

Dzięki za zainteresowanie! :-)



No probs, po to sa newsy, wlasnie mnie natchneles zeby moze splodzic maly
artykulik opisujacy takie problemy.

----------------------------
Tomasz Onyszko

-----------------------------
Krzysztof Kleszynski - 12 Cze 2001, 12:24




| Dzięki za zainteresowanie! :-)
No probs, po to sa newsy, wlasnie mnie natchneles zeby moze splodzic maly
artykulik opisujacy takie problemy.



Doskonały pomysł :))))
Laskar - 13 Cze 2001, 03:06
Ok wyznaczyliśmy sobie pewne pryncypia i wszystko było by OK gdyby nie to że
problem o który pierwotnie pytałem nie został rozwiązany! A ponieważ jestem
bardzo dociekliwy i nie lubię czegoś nie wiedzieć do końca, ponowię pytanie
w oderwaniu od kontekstu jaki stanowi aktualna konfiguracja mojej sieci:
Jak zalogować się do AD ze stacji w9x znajdującej się w innej podsieci???
... i nawiązujące do tego: dlaczego komputery w dwu podsieciach logicznych
(nie fizycznych) nie widzą się w otoczeniu sieciowym pomimo iż obie są
zarejestrowane w jednym WINSie i pingi między nimi przechodzą?

R.

| ... tu mam mały problem, w sieci prywatnej nie mam systemu serwerowego,
nie
| można jakoś pokombinować z tym jednym serwerem (dwa interfejsy albo coś
w
| tym stylu)
(...)
| ... pomińmy narazie bezpieczeństwo, i wracając do tematu pierwotnego, da
się
| na jednym fizycznie serwerze czy nie?
Tomasz Onyszko - 13 Cze 2001, 03:11




Doskonały pomysł :))))



Jak tylko bedzie chwila czasu:-)
Tomasz Onyszko - 13 Cze 2001, 03:17




(...)
bardzo dociekliwy i nie lubię czegoś nie wiedzieć do końca, ponowię



pytanie
a to sie chwali

Jak zalogować się do AD ze stacji w9x znajdującej się w innej podsieci???
... i nawiązujące do tego: dlaczego komputery w dwu podsieciach logicznych
(nie fizycznych) nie widzą się w otoczeniu sieciowym pomimo iż obie są
zarejestrowane w jednym WINSie i pingi między nimi przechodzą?



To teraz pytanie, z jakimi adresami sa zarejestrowane w WINS'ie ?
Masz wlaczony NetBios over TCP/IP ?
Generalnie postrzegam problem przy routowaniu pakietow i przekazywaniu
broadcastu.
Ale nie wiem, moze sie myle. Tablica Wins powinna byc wspolna dla obu sieci,
jezeli jest pelne routowanie to nie powinno byc problemu.
A czy serwerek zarejestrowal sie w WINS ? Sprawdz czy napewno kontroler
domeny jest klientem WINS'a.

I IMHO, schowaj kontroler domeny do sieci prywatnej.

A sprobuj posadzic na tym Win klienta do AD.

To tyle pomyslow.

----------------------------
Tomasz Onyszko

-----------------------------
Laskar - 13 Cze 2001, 04:08

To teraz pytanie, z jakimi adresami sa zarejestrowane w WINS'ie ?



wszystkie ze swoimi :
stacja w2k (klient) pula prywatna
stacja w98 (klient) pula publiczna
serwer w2k pula publiczna (chociaż ma już drugi interfejs w puli prywatnej
to tego w WINSie nie widać)
Co się okazuje w98 z publicznej już wszystko widzi w otoczeniu tylko te
kompy z prywatnej puli nie widzą tych z publicznej (jak dam znajdź to w
końcu znajduje hosta z publicznej a pomimo to w otoczeniu dalej nie widzi no
i oczywiście zalogować się nie można z prywatnej do do serwera w publicznej)

Masz wlaczony NetBios over TCP/IP ?



tak oczywiście

Generalnie postrzegam problem przy routowaniu pakietow i przekazywaniu
broadcastu.



... o właśnie zauważyłem że w tablicy routingu ustawił mi źle adres
broadcasta dla puli publicznej. Mam maskę 255.255.255.224 a on mi przywalił
brodcast na a.b.c.255 czyli poza moją pulę (a.b.c.32-63) Moze to zmienię i
zobaczę. Apropos poza komendą route gdzie można zmienić brodcasta (interfejs
graficzny)?

Ale nie wiem, moze sie myle. Tablica Wins powinna byc wspolna dla obu



sieci,
i jest

jezeli jest pelne routowanie to nie powinno byc problemu.
A czy serwerek zarejestrowal sie w WINS ? Sprawdz czy napewno kontroler
domeny jest klientem WINS'a.



... tak jest

I IMHO, schowaj kontroler domeny do sieci prywatnej.



mam taką koncepcję co by wyciągnąć wszystko co jest potrzebne do puli
publicznej w celu możliwości dobierania się do tych zasobów np. z domu.

A sprobuj posadzic na tym Win klienta do AD.



jest posadzony od początku

To tyle pomyslow.



... muszę Cię chyba jeszcze czymś natchnąć! :-))
R.
Tomasz Onyszko - 13 Cze 2001, 04:19




(...)
| I IMHO, schowaj kontroler domeny do sieci prywatnej.
mam taką koncepcję co by wyciągnąć wszystko co jest potrzebne do puli
publicznej w celu możliwości dobierania się do tych zasobów np. z domu.



NO to tutaj chyba zle myslisz. Nie lepiej umiescic wszytsko co trzeba w
sieci prywatnej i dobierac sie do niej poprzez odpowiednio skonfigurowany
VPN. Nie uwazam sie za jakiegos gurtu w kwesti security ale IMHO takie
rozwiazanie jest lepsze.

| To tyle pomyslow.
... muszę Cię chyba jeszcze czymś natchnąć! :-))



Natchneles, pomysle nad tym,niestety do poniedzialku znikam z sieci, wiec
bede mial nowe pomysly pewnie w poniedzialek
Chyba ze zprzemysle wszytsko jeszcze raz, rzorysuje sobie i ci odpowiem
jeszcze dzisiaj cosik.

----------------------------
Tomasz Onyszko

-----------------------------
Piotr Kaczmarek HB6 - 20 Cze 2001, 11:41

(...)
| I IMHO, schowaj kontroler domeny do sieci prywatnej.
| mam taką koncepcję co by wyciągnąć wszystko co jest potrzebne do puli
| publicznej w celu możliwości dobierania się do tych zasobów np. z domu.
NO to tutaj chyba zle myslisz. Nie lepiej umiescic wszytsko co trzeba w
sieci prywatnej i dobierac sie do niej poprzez odpowiednio skonfigurowany
VPN. Nie uwazam sie za jakiegos gurtu w kwesti security ale IMHO takie
rozwiazanie jest lepsze.

| To tyle pomyslow.
| ... muszę Cię chyba jeszcze czymś natchnąć! :-))
Natchneles, pomysle nad tym,niestety do poniedzialku znikam z sieci, wiec
bede mial nowe pomysly pewnie w poniedzialek
Chyba ze zprzemysle wszytsko jeszcze raz, rzorysuje sobie i ci odpowiem
jeszcze dzisiaj cosik.

----------------------------
Tomasz Onyszko

-----------------------------



Przyczytywalem sie waszym dywagacjom i naszedl  mnie moze lamerski (sorry)
problemik
ale zapytam :
chodzi o to w jaki sposob ustawic dwa serwerki dhcp w jednej sieci
fizycznej????
tak aby compy dostawaly numerki dla swojej sieci
a nie z puli z drugiej sieci (logicznej IP)
Piotr

 Rejestr + Konta: ogranicz używanie pustych haseł przez konta lokalne tylko do logowania do konsoli
PROFILE przy podłączaniu stacji do serw era 2k z AD - logowanie do domeny
VAT od poczatku ?
  • siema ewrybady d
  • porsche 2000 demo do sciagniecia
  • sound blaster audigy se
  • kostka do produkcji pieczarek
  • samolot zgubil kolo podczas startu
  • wzor podanie zyciorys na studia
  • usuwanie;powlok;malarskich;forum
  • produkcja rolet
  • 7 moran barcelona 2 3 jasminio real madryt
    • Baza wiadomości z grup dyskusyjnych : Start