@5erdriver

Как организовать выход в интернет в доменной инфраструктуре на Windows Server?

Добрый день!

Подскажите пожалуйста, для небольшого офиса планируется структура серверов на гипервизоре esxi, на нём
1. Windows Server AD DNS DHCP 10.10.10.1
2. Windows Server ROUTING, NAT 10.10.10.2

На втором сервере где роль nat, анонсировано 2 ethernet порта, один во внутреннюю сеть, второй WAN, интернет сервер видит без проблем.
В настройках dhcp распространяю выдачу ip адресов, указываю dns домен-контроллера (*.10.1) и основной шлюз (*.10.2)
Интернет у пользователей не работает, так как нет разрешения внешних узлов.

Вопрос в чём
1. Не хочется сервер DC выпускать в интернет, чтобы все роли поднять на нём, поэтому шлюз в интерфейсе и DNS не указаны

2. Как реализовать при пересыл DNS запросов внутри сети для разрешения внешних имён на клиентских ПК?
(попытался поднять на 2-м сервере dns с пересылом на 8.8.8.8) а на DC в DNS пересыл на *.10.2, работает очень медленно, пинги идут но сайты или вообще не открываются или оооочень медленно) и мне схема такая не нравится.

3. Чем ограничивать доступ к интернету, в ad заведена группа internet, туда включены пользователи кому можно выходить, но чем этот механизм реализовать, чтобы ПК и сервера без учётной записи с доступом не выходили в сеть?
  • Вопрос задан
  • 380 просмотров
Пригласить эксперта
Ответы на вопрос 4
@mvv-rus
Настоящий админ AD и ненастоящий программист
В настройках dhcp распространяю выдачу ip адресов, указываю dns домен-контроллера (*.10.1) и основной шлюз (*.10.2)

Так делать нельзя: клиенты по Windows в каждый момент работают с одним сервером DNS (по крайней мере - при елинственном подключении сети), на другой они переключаются при недоступности первого.
Настраивайте в качестве сервера DNS для клиентов только КД (точнее, сервера DNS на нем), а для самого КД обеспечьте возможность разрешения имен в общемировом DNS. Если не хотите разрещать ему доступ к любым серверам DNS в интернете (кстати, почему?), используйте DNS-сервер или DNS-прокси на шлюзе: настройте его как сервер пересылки в консоли сервера DNS в Windows.
Для п.3 вам требуется прокси-сервер. Какой - не посоветую: что там сейчас на какой платформе модно (и вообще поддерживается) - я не в курсе.
Ответ написан
CityCat4
@CityCat4
Внимание! Изменился адрес почты!
Обычно NAT и маршрутизацию на винде не делают. Маршрутизацией и защитой от какеров обычно занимается микротик, который ставится по фронту, а контролем доступа - прокси, которое подымается тут же на гипере. Можно на гипере поднять и шлюз, но это чревато падением гипера и необходимостью восстанавливать шлюз.

Можно по фронту поставить линух, который будет и роутером и файрволлом и прокси (и DNS разумеется, и NTP и еще чертом лысым), а на AD настроить форвардинг запросов DNS.
Ответ написан
@beerchaser
Разумнее всего для маршрутизации и NAT поставить специализированную железку. Если хотите виртуализации, то есть смысл поставить pfsence.
Ответ написан
@Stariyded
Сетевой админ
Вы сами стреляете себе в ногу и удивляетесь, почему больно. Ваш днс сервер кроме ваших локальных имен ничего не знает, т.к. к внешним днс не имеет доступа. Дайте ему шлюз и днс и можете средствами брандмауэра разрешить ему только 53 порт udp наружу
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы