Можно ли использовать один КД на две подсети?

Question

[taaadm]

В подсети 10.1.124.0/24 установлен КД+ДНС сервер (Win2012R2). Компьютеры в этой подсети вселены в домен и все прекрасно работает.
Маршрутизация между сетями работает хорошо, все узлы друг друга пингуют по ip адресу.
А вот компьютеры из подсети 10.1.125.0/24 плохо работают в домене. (Один из них каким то образом был вселен в домен, но сейчас для его работы в АД насоздано костылей в hosts). Не резолвят ip адреса с ДНС сервера.

C:\Windows\system32>ping servert-01
ping servert-01
При проверке связи не удалось обнаружить узел servert-01.
Проверьте имя узла и повторите попытку.

C:\Windows\system32>nslookup servert-01
nslookup servert-01
╤хЁтхЁ:  UnKnown
Address:  10.1.124.4

╚ь :     servert-01.test.local
Address:  10.1.124.104


C:\Windows\system32>ipconfig /all
ipconfig /all

Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : USERPC1
   Основной DNS-суффикс  . . . . . . : test.local
   Тип узла. . . . . . . . . . . . . : Гибридный
   IP-маршрутизация включена . . . . : Нет
   WINS-прокси включен . . . . . . . : Нет
   Порядок просмотра суффиксов DNS . : test.local

Ethernet adapter Подключение по локальной сети:

   DNS-суффикс подключения . . . . . : test.local
   Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
   Физический адрес. . . . . . . . . : 74-31-22-44-2F-1C
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 10.1.125.74(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Аренда получена. . . . . . . . . . : 1 апреля 2015 г. 14:37:43
   Срок аренды истекает. . . . . . . . . . : 8 апреля 2015 г. 14:37:40
   Основной шлюз. . . . . . . . . : 10.1.125.3
   DHCP-сервер. . . . . . . . . . . : 10.1.3.6
   DNS-серверы. . . . . . . . . . . : 10.1.124.4
                                       8.8.8.8
   Основной WINS-сервер. . . . . . . : 10.1.124.4
   NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.test.local:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . : test.local
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

В чем может быть проблема?

Answer 1

[athacker]

У вас явно проблема с DNS, а не с маршрутизацией. Не будет работать DNS -- не будет работать и домен.

Что за роутер между подсетями? Железка, сервер или что-то ещё? Файрволы какие-то есть, которые могут блокировать DNS-трафик между клиентами и DC?

На самом контроллере на файрволе ничего лишнего не накручено? Какой профиль виндового файрвола включен на клиенте и на DC? И файл hosts с проблемной рабочей станции тоже приложите.

Comments

[taaadm]

>Файрволы какие-то есть, которые могут блокировать DNS-трафик между клиентами и DC?
Вот это походу самый возможный вариант, запрошу у сетевиков информацию. Как отпишутся - напишу вам

>На самом контроллере на файрволе ничего лишнего не накручено?
даже создал правило открывающее 53 порт TCP и UDP для всех. Профиль доменный и там и там. Вообще у меня клиент в домене, добавил в host записи для server и test.local

[raincons]

Ещё добавлю к ответу athacker: я бы убрал все костыли, убрал выдачу 8.8.8.8 как второго днс (ну откуда ему знать про зону test.local?), убрал выдачу винс 10.1.124.4 и добивался бы работы без ошибок "ping servert-01". Это бы сразу сняло вопросы правильной работы маршрутизации и днс, а без днс, как сказал @athacker:, не будет и домена.

[athacker]

taaadm: ОК, ждём информацию под файрволам.

hosts надо вообще зачистить, я согласен с Rainberd -- это костыли. Всё должно работать без hosts, иначе глюки могут вылезать самые разнообразные. При работе в домене машина резолвит кучу служебных специальных записей в DNS, это не просто имя домен контроллера.

Хотя WINS не такое уж большое зло, но в принципе, от него тоже надо уходить уже потихоньку -- грамотно настроенный DNS и отключенный NetBIOS на рабочих станциях позволяют спокойно обходиться и без WINS.

Answer 2

[Ivan Arxont]

В маршрутизации трафика? Попробуйте пинг и трасерт, и с компьютера, и с сервера. Ну и dcdiag посмотрите можете там какие ошибки.
Также проверьте настройки файрвола.

Comments

[taaadm]

ping и tracert по ip адресу срабатывает (tracert показывает один переход). На DC (он же НДС север) антивирусов не стоит, в брендмауере открыл 53 порт по TCP и UDP для всех. dcdiag ни одной ошибки и предупреждений.

Answer 3

[mayorovp]

Контроллер домена никак не связан с подсетями, проблема у вас на другом уровне. Раз пинги ходят - значит, дело не в маршрутизации. Хотя...

Я так понимаю, 10.1.124.3 и 10.1.125.3 - это один и тот же маршрутизатор. Это так? Он знает об этом? Никакого случайного NAT между сетями не висит? Файевола там не включено?

Как настроен DNS?

Comments

[taaadm]

Случайно в ответ написал, читайте ниже

Answer 4

[taaadm]

На DC (10.1.125.74 - адрес проблемного компа из второй подсети) :

PS C:\Windows\system32> route print
===========================================================================
Список интерфейсов
 12...00 15 5d 00 2a 00 ......Microsoft Hyper-V Network Adapter
  1...........................Software Loopback Interface 1
 13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
 14...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0       10.1.124.3       10.1.124.4    261
       10.1.124.0    255.255.255.0         On-link        10.1.124.4    261
       10.1.124.4  255.255.255.255         On-link        10.1.124.4    261
     10.1.124.255  255.255.255.255         On-link        10.1.124.4    261
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link        10.1.124.4    261
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link        10.1.124.4    261
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0       10.1.124.3  По умолчанию
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
  1    306 ::1/128                  On-link
  1    306 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует
PS C:\Windows\system32> ping 10.1.125.74

Обмен пакетами с 10.1.125.74 по с 32 байтами данных:
Ответ от 10.1.125.74: число байт=32 время<1мс TTL=127
Ответ от 10.1.125.74: число байт=32 время<1мс TTL=127

На компьютере 10.1.125.74:

C:\Windows\system32>route print
route print
===========================================================================
Список интерфейсов
 11...74 d4 35 84 2f 1c ......Realtek PCIe GBE Family Controller
  1...........................Software Loopback Interface 1
 13...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
 12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0       10.1.125.3      10.1.125.74     10
       10.1.125.0    255.255.255.0         On-link       10.1.125.74    266
      10.1.125.74  255.255.255.255         On-link       10.1.125.74    266
     10.1.125.255  255.255.255.255         On-link       10.1.125.74    266
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       10.1.125.74    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       10.1.125.74    266
===========================================================================
Постоянные маршруты:
  Отсутствует

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
  1    306 ::1/128                  On-link
  1    306 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует

C:\Windows\system32>ping 10.1.124.4
ping 10.1.124.4

Обмен пакетами с 10.1.124.4 по с 32 байтами данных:
Ответ от 10.1.124.4: число байт=32 время<1мс TTL=127
Ответ от 10.1.124.4: число байт=32 время<1мс TTL=127

По IP адресам все компьютеры в соседних сетях друг друга видят, а вот по dns (fqdn) именам нет

Answer 5

[Андрей Ермаченок]

Если все компьютеры в соседних сетях друг друга видят - нахрена разные подсети????
Если всем нужно в домен и DNS - опять же, нахрена разные подсети????
Если компов много - не проще ли сменить маску на 255.255.254.0 и не париться?

Comments

[taaadm]

Я бы так и сделал как вы говорите, но к сожалению администрированием сети занимается арендадатель. В общем приходится работать с тем что есть

[Андрей Ермаченок]

taaadm: то есть - это 2 ваших офиса (кабинета), подключенные к оборудованию хозяина здания?
Требуйте нормальной настройки сети - все компы в одной подсети. Вы за это платите. Зачем создавать какие-то надуманные трудности, и их преодолевать?
В крайнем случае - поставьте свой свитч в серверную, и переключите на него 1 или оба кабинета.
По моему старому опыту - на этажах были маленькие комнатушки 1х1 метр, в них выведены провода из всех кабинетов, арендаторы туда ставили СВОЕ сетевое оборудование - свитчи, роутеры.

[Андрей Ермаченок]

taaadm: DC должно быть 2, но это - совсем другой вопрос.

[taaadm]

Сетевики арендодателя объяснили это так: в офисе установлены 2х модульные розетки под rj-45, левый модуль идет в коммутационную стойку в одном крыле здания, правый модуль в коммутационную стойку в другом крыле. Между стойками линк через маршрутизатор. Зачем? Я не знаю

[Андрей Ермаченок]

taaadm: Ты - арендатор. Ты ПЛАТИШЬ ДЕНЬГИ И ЗАКАЗЫВАЕШЬ МУЗЫКУ.
Тебе глубоко фиолетово, что как и почему. Тебе для работы фирмы нужно, чтоб твои компы были в одной подсети. Сделайте пожалуйста. Твоих слов сетевикам не достаточно - пишешь письмо на директора арендаторов и подключаешь административный ресурс.

[taaadm]

У нас уникальная ситуация, мы находимся в инновационном центре, который предоставляет сеть + ее администрирование, ip - телефонию + ip телефоны + администрирование. Плюс еще административные бонусы (тут постоянно происходят презентации, выставки, форумы и т.д). И по этому к сетевикам арендодателя без веских аргументов не подойдешь, нужен аргументированный пдход.

[Андрей Ермаченок]

"предоставляет сеть + ее администрирование" - и в чем проблема? Пишите ТЗ - мне надо так. Они делают. (администрируют) в соответствии с ТЗ. Всё в рамках договора аренды.
Уточни - помещений сколько? Или тебе приходится мутить связь между компами, которые подключены к правым и левым розеткам в одной комнате???

[taaadm]

>"предоставляет сеть + ее администрирование" - и в чем проблема? Пишите ТЗ - мне надо так. Они делают.
Ну вот они мой запрос сделать один широковещательный домен на все розетки и порты, дали отказ. В связи с их хитрым устройством.

>Или тебе приходится мутить связь между компами, которые подключены к правым и левым розеткам в одной комнате???
Да, именно так. маршрутизация м/у подсетями работает нормально, но проблема с КД вот такая всплыла.

[Андрей Ермаченок]

Если компов немного - я бы оставил скажем, 124 подсеть и поставил свой свитч в кабинете для остальных компов, которым не хватит розеток. 125 подсеть использовал для IP телефонов, скажем.
Инновационный цент абсурда, слов нет.

Answer 6

[nApoBo3]

1) Похоже у вас проблемы с обратной зоной.
2) Контроллере домена прописана вторая подсеть?
3) Результат команды ping servert-01.test.local ?
4) Если сеть как на рисунке, уберите DNS 8.8.8.8 и поднимите вторичный контроллер домена с вторым DNS.