Как правильно собрать локальную сеть с Active Directory и Cisco?

Question

[Матвей Румынин]

Вопрос к опытным администраторам. Хочу собрать самую правильную схему. Я занимаюсь со старшеклассниками/студентами, и у меня есть учебный класс, с хорошим оборудованием. Хочу собрать наилучшее практическое решение, буду рад помощи и подсказкам.
Итак, схема следующая: 3 класса по 15, 6 и 5 компьютеров. 2 сервера для домена AD (основной и резервный). Сервер для локального web, еще один как файловый с дисковой корзиной. Для доступа в интернет - роутер Cisco 2800. Для коммутации есть - 1 гигабитный неуправляемый коммутатор Trendnet на 24 порта, управляемый Edge-Core 24х100 + 4 на 1Гбит/с, Cisco 3750 24х100 + 2 на 1 Гбит/с., wi-fi точка доступа Cisco.
Топология следующая: Инет от провайдера приходит на роутер Cisco, где настроен PPPoE. На нем же настроен DHCP для локальной сети (пока я не задействовал VLAN, возможно позже разделю). Все компы классов пока находятся в одной сети с доменом. Имя домена выбрано studio.xxx.ru - это мой домен второго уровня. И вот тут возникают некоторые сложности, вероятно я какие-то моменты в настройке AD упускаю...
Роутер раздает следующую конфигурацию компам:
192.168.4.11 - 100/24, шлюз - 192.168.4.1 (сам роутер), DNS - 192.168.4.3 (домен AD), 192.168.4.1, 8.8.8.8
Первые 10 адресов зарезервированы под устройства.
192.168.4.3 - основной домен AD, 192.168.4.4 -резервный.
В общем, когда компы в классе включаются - с инетом начинаются проблемы. У меня не слишком много опыта в настройке AD - догадываюсь, что надо более внимательно смотреть настройки DNS, потому что проблемы как-то связаны с доменным именем. Надеюсь на помощь опытных сисадминов...

Answer 1

[hint000]

Заходите на 192.168.4.3


В пункте 3 прописываете 192.168.4.1 или\и 8.8.8.8, галку в 3.2 убираете (она не позволит прописать forwarders).
Теперь о смысле. Если так не настроено, то:
Клиент хочет узнать адрес yandex.ru, видит 192.168.4.3 в списке DNS, делает запрос у 192.168.4.3 о адресе yandex.ru, но 192.168.4.3 знает только о своём домене, он не знает про yandex.ru и отвечает клиенту отказом. По-хорошему клиент должен сразу задать тот же вопрос следующему DNS в списке (192.168.4.1) и получить нормальный ответ. Но в windows работа с DNS всегда была корявой, неадекватной. Винда как бы говорит вам "если я не получу правильный ответ от DNS с первой попытки, то вы у меня помучаетесь!"
Если вы добавите forwarders, то 192.168.4.3 при запросе yandex.ru скажет (сам себе) "Так, про yandex.ru я ничего не знаю, значит спрошу у 192.168.4.1", и он спрашивает у 192.168.4.1, получает ответ, и затем передаёт этот ответ (от своего имени) клиенту. Т.е. клиент с первой попытки получит то, что ему нужно.

Есть ещё один вариант. Будет ли он работать лучше - зависит от роутера Cisco. Прописываете на роутере два DNS: 192.168.4.3, 8.8.8.8. При этом в DHCP убираете 192.168.4.3 из списка DNS. Т.е. клиенты получают DNS 192.168.4.1, 8.8.8.8. При запросе имён из AD роутер должен переслать запрос на 192.168.4.3. При этом уже не нужно (и даже немножко вредно) прописывать forwarders на 192.168.4.3. В теории должно работать не хуже, чем первый вариант, но нужно проверять на практике, т.к. в каждой конкретной сети и с каждой железкой могут быть свои заморочки.

Comments

[Матвей Румынин]

спасибо, обязательно попробую. я где-то так и полагал, что где-то тут есть загвоздка ;-) и не ошибся. если не получится, попробую второй вариант ниже.

[Максим Корнеев]

я делал через корневые ссылки... это неправильно?

[hint000]

Максим Корнеев, добавлять 8.8.4.4, 8.8.8.8 в список корневых DNS - это некорректно. Это как... вы пришли в гости, заходите с сортир, а там вместо туалетной бумаги - рулоны медицинских бинтов. Вроде бы ничего страшного, и даже пользоваться как-то можно. Но все гости будут смотреть на хозяина косо. В общем, не делайте так.

Answer 2

[Максим Корнеев]

По хорошему надо вообще все переделывать. DHCP переносить в АД, для АД делать домен xxx.local. У вас сейчас проблема в том, что DNS настроен не правильно и он не знает про DHCP. на 2800 оставлять только маршрутизацию наружу и NAT, к нему цеплять 3750 и настраивать VLAN и внутреннюю маршрутизацию, все остальное цеплять после 3750. тогда предложенный выше форвардинг DNS станет не нужен. И эта, резервный сервер в АД умер вместе с НТ - с тех времен сервера не делятся на основной и резервный, на них можно перенести разные роли, но работают они все одновременно.

Тут сложно, не удобно и долго расписывать подробно как Вам все сделать. идея в том, что маршрутизатор должен маршрутизить внешнюю нагрузку, 3750 станет уровнем ядра/агрегации, остальной зоопарк уйдет на уровень доступа. в результате управление сетью будет в основном на 3750. интегрировав в АД DHCP и правильно настроив DNS Вы сможете автоматически раздавать адреса по разным VLANам и у Вас не будет проблем с разрешением имен как внешних, так и внутренних. кроме того у Вас сейчас используется доменное имя "внешнее", а адресация класса С не маршрутизируемая - получается коллапс. это сильно не правильно. особенно если ваш xxx.ru где-то зарегистрирован и ваш DNS понимает что он должен быть снаружи, а по факту он внутри.

Comments

[Матвей Румынин]

по факту внутри домен 3 уровня, снаружи домен 2го.
я подумаю, спасибо. но я насколько знаю, использовать .local не самая тру идея, с точки зрения АД. DHCP я хотел оставить в циске, чтобы поменьше ролей было на серваках, дабы ученики могли там немного поучиться. Хотелось все сетевые функции оставить на роутер.

[hint000]

использовать .local не самая тру идея

Если сеть не очень большая (скажем, управляется одним человеком) и админ точно знает, что никаких новомодных служб автоконфигурирования нет (и не планируется), то и от .local ничего плохого не будет.

DHCP я хотел оставить в циске

В этом тоже ничего плохого не вижу, просто дело вкуса и удобства.

[Максим Корнеев]

Матвей Румынин, если Вы не выставляете ресурсы домена наружу и Вам не нужно синхронизировать доменные записи о своих ресурсах с внешними серверами - не вижу смысла не использовать .local. Более того, микрософт именно так и рекомендует поступать.

Как сейчас у Вас DNS получает данные о том у кого какой адрес? Что у Вас ученики настраивают на сервере такого, что DHCP помешает? Уж не говоря о том что давать права админа АД и доступ на контроллер ученикам это совсем не правильно - там даже без DHCP есть чего более критичного что поломать. Вы уверены, что роутер мощнее сервера и DHCP нагрузит его меньше? Кстати развернув DHCP на сервере Вы можете учить настраивать его добавив там учебный "сервер" .

Хотя... может быть Вы и правы :)

[Матвей Румынин]

Максим Корнеев, у меня есть просто раздел основы теории передачи данных по материалам cisco. А вообще, для учебных стендов у меня есть еще 2 роутера и целая пачка живых серверов.