В общем встала проблема прозрачно соединить два офиса в одну сеть. Физически это сделать не реально, так как офисы далеко друг от друга, а если и реально то очень дорого тянуть оптику :) Первоначально я подошел к вопросу классически - VPN pptp. Но это не много не то, для многих сотрудников это головная боль, да и скорость интернета из за этого падает. Решил пойти другим путем, и все даже частично получилось, но не до конца.
В общем суть:
В офисе1 интернет раздает сервер на базе windows server 2012, он же шара, он же DHCP, он же сервер DNS, и он же контроллер домена. В нем установлено две сетевые карты - одна в инет другая в сеть, провайдер нам выдает один внешний IP адрес. Классика в общем. В офисе2 нету никакого сервера, есть несколько рабочих станций и простенький роутер. Роутер отказался подключаться к серверу в офисе1 по средствам VPN, так как видимо не поддерживает виндовую авторизацию (да, на сервере я все делал средствами windows). Я попробовал прописать на своем компьютере в офисе2 в качестве DNS сервера внешний IP сервера в офисе1 (так как он по сути является сервером DNS). И о чудо кое что заработало, кое что нет. Значит теперь я могу спокойно вводить компы в офисе2 в домен офиса1, без всяких VPN, могу просматривать шару на этом сервере если обращаюсь к ней по имени сервера, а не по IP, могу администрировать AD DS с помощью RSAT, создавать пользователей, назначать права, могу подключиться к серверу КД в офисе1 по его имени через RPD. Но вот все остальные машины в домене мне не видны. По IP понятно, что не видны, но по имени тоже не видны. Посмотрел что там на сервере DNS через диспетчер DNS - все машины домена прописаны в зонах прямого и обратного просмотра. То есть по сути все именно так как и должно быть, но вот не вижу я остальные машины. Мне нужно добиться, чтобы любая машина в домене была мне доступна как для шары, так и для удаленного управления и администрирования по ее имени. Для остальных сотрудников нужно только доступ к серверу с 1С. Шара работает без подключения VPN, но вот для 1С уже нужно подключать VPN. Можете ли что то подсказать по этому поводу? Ведь основной сервер видно, значит можно как то добиться, чтобы было видно и остальные машины в доменной сети по средствам одного лишь DNS.
Вы пытаетесь подключать ПК к домену напрямую через интернет, выдав домен-контроллеру внешний ip. Такой подход не даст желаемого результата, а продолжение попыток его применить поставят под угрозу безопасность обоих офисов.
Нужно соединить две ваши локалки через VPN. Получатся две подсети и маршрутизация между ними. Домен контроллеры и ПК должны находиться внутри локальной сети и иметь локальные адреса. К интернету ПК будут подключаться через отдельный прокси или шлюз. Домен-контроллер к интернету подключаться не должен! Если на нём находится DNS, который должен ресолвить внешние адреса, настройте форвардинг через DNS шлюза.
1. PPTP 0_о? забудьте вы уже этот впн. Он умер!
2. Ваш ДК1 смотрит в интернет через реальник? 0_о
3. Вас бы уволить за то что вы элементарной матчасти не знаете. Отсылаю вас срочно ее поучить. Пофигу по какому учебнику. пока ваша фирма не влетела на бабки из-за вас.
Muzhaos: Как вы думаете, если все компании будут смотреть своим домен контроллером в инет, и в 1 из 100 компаний появится компьютер с именем secretar, на какой именно secretar вы попытаетесь войти?
Сколько уязвимостей можно получить, пересылая внутренние секьюрити токены с доменной авторизацией прямо по инету?
Нормальный VPN поднимите между офисами, поставьте во втором офисе маленький сервер для поддержания домена.
Сергей: Спасибо за достойное объяснение.. Это пока было исключительно в рамках эксперимента, просто было интересно посмотреть как это будет работать. То есть такими средствами это вполне реально, но совершенно не безопасно, верно? А если шифровать трафик через инет? Просто интересны именно какие либо другие способы реализации.
Muzhaos: А как вы будете шировать трафик через инет без vpn?
Машина, которая напрямую смотрит в инет, всегда подвергается первому риску. И хранить на ней бизнес-важную информацию категорически неправильно. А у вас там домен контроллер со всеми паролями, и даже, что самое главное, с шарой (где небось все документы лежат). Даже если не конкуренты, то забредет какой-нить китаец с шилом в жопе, который проверяет свежескаченные эксплоиты на всех подряд, и сотрет вам пару папок.
Если вам так удобен windows для раздачи инета (хотя настроить Линукс конкретно для этой задачи можно даже не зная Линукса, просто посидев несколько дней, почитав форумы), то выделите отдельную машину для этого, лучше даже stand alone server, а не в домене.