Как получить доступ из разных vlan к Active Directory?

Question

[alokey]

Добрый день! Настраиваю vlan в сетке. С этим все получилось.
Маршрутизация выполняется, машинки с разных vlan пингуются
Начал переносить потихоньку сервера с ms sql в отдельный vlan. И тут появилась проблемы:
1. не обновляется запись с новым ip хоста на dns-сервере.
2. при подключении по rdp на сервер с ms sql под учетной записью доменного пользователя пишет неверное имя пользователя.
Думаю что нужно скорее всего открыть порты в firewall на контроллер домена. Но какие и в какую сторону не понимаю.
Может есть какое-то иное решение?

Comments

[Vladimir Zhurkin]

Думаю что нужно скорее всего открыть порты в firewall на контроллер домена. Но какие и в какую сторону не понимаю.
Может есть какое-то иное решение?

Покажите конфиг.

Если машина видит из vlan ваш AD (можно сделать трассировку) , то запись будет в DNS автоматом (если машина входит в домен)

У меня лично много сетей с vlan и AD и особых проблем нет. (Да и вообще проблем нет)

Answer 1

[Dmitry]

Если предположить, что vlan и маршрутизация между подсетями настроены верно, копайте в сторону DNS. С sql-сервера резолвится домен? nslookup mycompany.com должен отдаваться ip контроллера

Comments

[alokey]

С sql резолвится. Понимаю, что порты нужно открывать, а какие и в какую сторону не понимаю

[d-stream]

Алексей Волохов, почему бы не начать с "разрешить все всем"? )

[alokey]

d-stream, все верно. Трафик начал гулять. Как я говорил нужно какие-то порты открыть и в какую сторону не понятно.

[d-stream]

Алексей Волохов, ну сети-то "свои" => с достаточной степенью доверия => можно вначале открыть все, а потом, пока все работают - медитировать на тему "чего бы закрыть").

минимум стоит открыть в обе стороны "верхние" диапазоны 32767..65535

[alokey]

вот так открыл порты на mikrotik.
Для большей безопасности, думаю, необходимо определить из какого VLAN в какой разрешать движения трафика по этим портам.
Эти порты дали возможность обновлять запись IP на DNS-сервере и проходить авторизацию доменному пользователю подключаясь по RDP к машине из другого VLAN.

Answer 2

[0ldn0mad]

На чем вы строите виланы? Какое оборудование? Понимаете, виланы - это второй уровень модели OSI, маршрутизация между пакетами происходит на уровне умного оборудования 3-го уровня. Вам надо на устройствах второго уровня обяснить хелперами где у вас будет стоять контроллер домена, DHCP и т.д. На Cisco это делается просто.

Comments

[alokey]

на микротик по этой статье
https://lanmarket.ua/stats/bazovye-osnovy-nastroyk...

Answer 3

[#]

1 -

Настраиваю vlan в сетке

а зачем?
2 -

Думаю что нужно скорее всего открыть порты в firewall на контроллер домена

нет. надо либо обеспечить присутствие DC во всех vlan, где могут быть клиенты DC. либо прекратить извращения.

Comments

[Dmitry]

надо либо обеспечить присутствие DC во всех vlan, где могут быть клиенты DC

Что, простите?

[d-stream]

надо либо обеспечить присутствие DC во всех vlan, где могут быть клиенты DC

не присутсвие, а транспортную доступность. То бишь маршрутизацию. А вот multihomed - это да - извращение...

[#]

d-stream, соглашусь с формулировко. мы не знаем что там накручено, может это простая звезда? тогда надо либо обеспечить участие DC во всех vlan.. но лучше

... прекратить извращения

))

[d-stream]

#, вообще-то вынос в разные подсети - best practices особливо в присутствии ip-телефонии и множества "галдящих" принтеров... следующим моментом идет безопасность/изоляция.

Answer 4

[d-stream]

DC/DNS должны знать что те другие сети - "свои".

В том числе об этом должен быть извещен firewall

p/s/ не совсем в тему, но: маршрутизация между vlan на маршрутизаторе - тяжеловатое дело и скорости будут не ахти... стоит смотреть на L3/L2+ коммутатор(ы) - которые умеют маршрутизировать пакеты со скоростью коммутации

Comments

[Vladimir Zhurkin]

стоит смотреть на L3/L2+ коммутатор(ы) - которые умеют маршрутизировать пакеты со скоростью коммутации

В тех же коммутаторах стоят отдельные процессоры, которые по сути роутеры.
Очень часто L3 коммутаторы выполняют маршрутизацию нечестно, что помогает достичь скорости.
Обычно кол-во маршрутов у них ограниченно , особенно у L2+

[d-stream]

Vladimir Zhurkin, минус L2+/L3 коммутаторов в достаточно ограниченном количестве маршрутов и ACL, но этот минус перекрывается маршрутизацией со скоростью коммутации.
И если сравнивать их с полноценными маршрутизаторами с такими же скоростями, то последние в разы или даже на порядки дороже.

А в среднетиповых задачах "порубить офис на vlan" - нет необходимости в особых изысках маршрутизации - отсюда и изумительная альтернатива в виде таких коммутаторов вместо танцев с multihome или слёз с тормозами софт-маршрутизации дешевенькими soho железками.

[Vladimir Zhurkin]

d-stream, У меня обычно задача, что как раз сеть надо рубить.
Сеть управления, куда не должны ходить обычные смертные.
Voip которая сама по себе.
Wifi, который то же имеет отдельные правила итд итп.

Но я не буду говорить, что это не надо. например из недавнего, сеть с около 800 камерами. Там это оправдано, так как ничего изолировать не надо было. Те это для очень однотипных решений.

[d-stream]

Vladimir Zhurkin,

У меня обычно задача, что как раз сеть надо рубить.
Сеть управления, куда не должны ходить обычные смертные.
Voip которая сама по себе.
Wifi, который то же имеет отдельные правила итд итп.

все это отлично рубится и практически не имеет связи промеж собой. А вот какая-нибудь ситуация с роутингом между вланами где файловые серверы и юзерскими - тут уже надо к пропускной способности подходить щепетильно...

[Vladimir Zhurkin]

d-stream, Опять же смотря где, на чем и как. ACL на L2+ и L3 то же не безграничны и гибкости в них просто по определению меньше.

Пропускная способность решается проще например отдать нужные сети для файловой помойки или ставится промежуточный сервер кеширования , но до таких вещей редко доходит.

[d-stream]

Vladimir Zhurkin,

Пропускная способность решается проще например отдать нужные сети для файловой помойки или ставится промежуточный сервер кеширования , но до таких вещей редко доходит.

5 разных подразделений и 3 группы серверов - иногда файловый обмен...
Ну или попроще: кучка видеорегистраторов, очевидно в vlan c камерами и иногда перетаскивание видеозаписей к директору (в другом vlan)

[Vladimir Zhurkin]

d-stream, Ну опять же, все зависит от задачи.
Просто с роутером , все же как по мне проще решать,определенные прихоти начальства, когда они возникают.
Что бы потом не перелопачивать всю сеть вновь.

Все же основная задача коммутаторов изначально и без маркетинговой лапши, другая.

[d-stream]

Vladimir Zhurkin,

Просто с роутером , все же как по мне проще решать

конечно проще, только это называется не так)

Vladimir Zhurkin,

Все же основная задача коммутаторов изначально и без маркетинговой лапши, другая.

у них нет "изначальной задачи".

А роутинг пакетов - та самая точка пересечения с fastpath-fasttrack и т.п. маршрутизаторов.
Притом в рамках офисных реализаций - маршрутизация проста и использование именно нормальных маршрутизаторов с хорошими скоростями - будет тем самым буллшитом "управление стволом пушки нашего танка настолько точно, что вы сможете забить этим танком гвоздик"

[Vladimir Zhurkin]

d-stream,

А роутинг пакетов - та самая точка пересечения с fastpath-fasttrack и т.п. маршрутизаторов.

Которую вы можете не включать и которую часто надо отключать, для решение определенных задач, которые не будут с ними работать.

Притом в рамках офисных реализаций - маршрутизация проста и использование именно нормальных маршрутизаторов с хорошими скоростями - будет тем самым буллшитом "управление стволом пушки нашего танка настолько точно, что вы сможете забить этим танком гвоздик"

Офисы бывают знаете и на 5 человек и на 1000 человек, Поэтому каждую задачу, надо решать своими методами, что бы не заколачивать гвозди микроскопом.

[d-stream]

Vladimir Zhurkin,

Офисы бывают знаете и на 5 человек и на 1000 человек, Поэтому каждую задачу, надо решать своими методами, что бы не заколачивать гвозди микроскопом.

теперь пробуем сравнить офисы прям вот разного размера с небольшим магистральным оператором, который маршрутит сотню другую потоков)

[Vladimir Zhurkin]

d-stream, Ну так еще раз, все зависит от задач.

[d-stream]

Vladimir Zhurkin,

Ну так еще раз, все зависит от задач.

Естественно. Так вот в рамках класса "микротик" и "тостер" - этот класс полностью перекрывается тем, что описывалось выше)

[Vladimir Zhurkin]

d-stream, Еще раз Все зависит от задач. Не кто 3xx линейку у mikrotik не отменял пока еще.