Как получить доступ из разных vlan к Active Directory?
Добрый день! Настраиваю vlan в сетке. С этим все получилось.
Маршрутизация выполняется, машинки с разных vlan пингуются
Начал переносить потихоньку сервера с ms sql в отдельный vlan. И тут появилась проблемы:
1. не обновляется запись с новым ip хоста на dns-сервере.
2. при подключении по rdp на сервер с ms sql под учетной записью доменного пользователя пишет неверное имя пользователя.
Думаю что нужно скорее всего открыть порты в firewall на контроллер домена. Но какие и в какую сторону не понимаю.
Может есть какое-то иное решение?
Если предположить, что vlan и маршрутизация между подсетями настроены верно, копайте в сторону DNS. С sql-сервера резолвится домен? nslookup mycompany.com должен отдаваться ip контроллера
Алексей Волохов, ну сети-то "свои" => с достаточной степенью доверия => можно вначале открыть все, а потом, пока все работают - медитировать на тему "чего бы закрыть").
минимум стоит открыть в обе стороны "верхние" диапазоны 32767..65535
вот так открыл порты на mikrotik.
Для большей безопасности, думаю, необходимо определить из какого VLAN в какой разрешать движения трафика по этим портам.
Эти порты дали возможность обновлять запись IP на DNS-сервере и проходить авторизацию доменному пользователю подключаясь по RDP к машине из другого VLAN.
На чем вы строите виланы? Какое оборудование? Понимаете, виланы - это второй уровень модели OSI, маршрутизация между пакетами происходит на уровне умного оборудования 3-го уровня. Вам надо на устройствах второго уровня обяснить хелперами где у вас будет стоять контроллер домена, DHCP и т.д. На Cisco это делается просто.
d-stream, соглашусь с формулировко. мы не знаем что там накручено, может это простая звезда? тогда надо либо обеспечить участие DC во всех vlan.. но лучше
#, вообще-то вынос в разные подсети - best practices особливо в присутствии ip-телефонии и множества "галдящих" принтеров... следующим моментом идет безопасность/изоляция.
p/s/ не совсем в тему, но: маршрутизация между vlan на маршрутизаторе - тяжеловатое дело и скорости будут не ахти... стоит смотреть на L3/L2+ коммутатор(ы) - которые умеют маршрутизировать пакеты со скоростью коммутации
стоит смотреть на L3/L2+ коммутатор(ы) - которые умеют маршрутизировать пакеты со скоростью коммутации
В тех же коммутаторах стоят отдельные процессоры, которые по сути роутеры.
Очень часто L3 коммутаторы выполняют маршрутизацию нечестно, что помогает достичь скорости.
Обычно кол-во маршрутов у них ограниченно , особенно у L2+
Vladimir Zhurkin, минус L2+/L3 коммутаторов в достаточно ограниченном количестве маршрутов и ACL, но этот минус перекрывается маршрутизацией со скоростью коммутации.
И если сравнивать их с полноценными маршрутизаторами с такими же скоростями, то последние в разы или даже на порядки дороже.
А в среднетиповых задачах "порубить офис на vlan" - нет необходимости в особых изысках маршрутизации - отсюда и изумительная альтернатива в виде таких коммутаторов вместо танцев с multihome или слёз с тормозами софт-маршрутизации дешевенькими soho железками.
d-stream, У меня обычно задача, что как раз сеть надо рубить.
Сеть управления, куда не должны ходить обычные смертные.
Voip которая сама по себе.
Wifi, который то же имеет отдельные правила итд итп.
Но я не буду говорить, что это не надо. например из недавнего, сеть с около 800 камерами. Там это оправдано, так как ничего изолировать не надо было. Те это для очень однотипных решений.
У меня обычно задача, что как раз сеть надо рубить.
Сеть управления, куда не должны ходить обычные смертные.
Voip которая сама по себе.
Wifi, который то же имеет отдельные правила итд итп.
все это отлично рубится и практически не имеет связи промеж собой. А вот какая-нибудь ситуация с роутингом между вланами где файловые серверы и юзерскими - тут уже надо к пропускной способности подходить щепетильно...
d-stream, Опять же смотря где, на чем и как. ACL на L2+ и L3 то же не безграничны и гибкости в них просто по определению меньше.
Пропускная способность решается проще например отдать нужные сети для файловой помойки или ставится промежуточный сервер кеширования , но до таких вещей редко доходит.
Пропускная способность решается проще например отдать нужные сети для файловой помойки или ставится промежуточный сервер кеширования , но до таких вещей редко доходит.
5 разных подразделений и 3 группы серверов - иногда файловый обмен...
Ну или попроще: кучка видеорегистраторов, очевидно в vlan c камерами и иногда перетаскивание видеозаписей к директору (в другом vlan)
d-stream, Ну опять же, все зависит от задачи.
Просто с роутером , все же как по мне проще решать,определенные прихоти начальства, когда они возникают.
Что бы потом не перелопачивать всю сеть вновь.
Все же основная задача коммутаторов изначально и без маркетинговой лапши, другая.
Все же основная задача коммутаторов изначально и без маркетинговой лапши, другая.
у них нет "изначальной задачи".
А роутинг пакетов - та самая точка пересечения с fastpath-fasttrack и т.п. маршрутизаторов.
Притом в рамках офисных реализаций - маршрутизация проста и использование именно нормальных маршрутизаторов с хорошими скоростями - будет тем самым буллшитом "управление стволом пушки нашего танка настолько точно, что вы сможете забить этим танком гвоздик"
А роутинг пакетов - та самая точка пересечения с fastpath-fasttrack и т.п. маршрутизаторов.
Которую вы можете не включать и которую часто надо отключать, для решение определенных задач, которые не будут с ними работать.
Притом в рамках офисных реализаций - маршрутизация проста и использование именно нормальных маршрутизаторов с хорошими скоростями - будет тем самым буллшитом "управление стволом пушки нашего танка настолько точно, что вы сможете забить этим танком гвоздик"
Офисы бывают знаете и на 5 человек и на 1000 человек, Поэтому каждую задачу, надо решать своими методами, что бы не заколачивать гвозди микроскопом.
Средний
