Добрый день.

Есть проблема доступа к расшаренным ресурсам одного компа с компа в другой подсети.
Опишу конфигурацию подробнее:
Есть 2 подсети: 192.168.111.0/24, 10.20.30.0/24
Эти две подсети объединены между собой через 2003 сервер с двумя сетевыми адаптерами.
Как на сервере, так и на клиентских машинах (XP SP2) настроена маршрутизация из одной сети в другую через ip сервера.
Обе подсети работают в рабочих группах (разных), домена нет.
На клиентской машине 192.168.111.151 расшарены диски, я пытаюсь их увидеть с другого клиента 10.20.30.3.
Ничего не получается, пакеты доходят от 30.3 к 111.151, вот эта машина обратно ничего со своего адаптера не посылает (смотрел сниффером).
Причем это только с виндовым протоколом, ICMP пакеты пинга проходят нормально в обе стороны.
На 111.151 так же поднят MSSQL сервер по tcp, к нему я тоже коннекчусь с 30.3 без проблем - т.е. маршрутизация настроена нормально.
Файрволов нет ни на клиентах, ни на серваке. Причем с самого сервака я вижу папки с 111.151.

В чем может быть проблема с этим виндовым протоколом?

Сорри, если что-то не написал, я с виндой не очень дружу, все больше Линуксы.

Прошу прощения, не хотел создавать похожую тему, ситуация следующая:
Имеется рабочая группа WORKGROUP.
Сервер 2003 R2 SP2 x86 является членом подсети 192.168.151.ххх и имеет адрес 192.168.151.2. Используется как терминальный сервер. В этой же сети штук 15 бухгалтерских компьютеров.
Интернет все компьютеры получают через некоторый аппаратный шлюз (радиомодуль, я полагаю)с адресом 192.168.151.1.
В филиале находится подсеть 192.168.152.ххх. 10 компьютеров с той же рабочей группой и шлюзом аппаратным 192.168.152.1. Эти аппаратные шлюзы связаны между собой через VPN и образуют VPN туннель.
Ping проходит нормально и туда и обратно.
Хотелось бы организовать, чтобы в сетевом окружении были видны компьютеры из обоих подсетей.
Как такое можно сделать?

Ничего не получается, пакеты доходят от 30.3 к 111.151, вот эта машина обратно ничего со своего адаптера не посылает »
Tracert 192.168.111.151 с клиента 10.20.30.3 можно увидеть?
А что значит ничего не получается? если сделать пуск-выполнить- \\192.168.111.151 что вылетит? Попробуйте создать на 192.168.111.151 учетку с именем и паролем и на 10.20.30.3 такую же учетку и пароль и попробуйте из под ней.


Ping проходит нормально и туда и обратно. »
А если открыть шару с одной подсети из другой подсети, открывает?

Ничего не получается, пакеты доходят от 30.3 к 111.151, вот эта машина обратно ничего со своего адаптера не посылает (смотрел сниффером). »
Файрволл для службы "Общий доступ к файлам и принтерам" настроен в режим "подсеть". Соответственно, все запросы из другой подсети им обрубаются. Я прав? :)

Хотелось бы организовать, чтобы в сетевом окружении были видны компьютеры из обоих подсетей.
Как такое можно сделать? »
По IP-адресам файлы открываются? Если нет, тот же самый ответ - указать разрешения файрволла для 192,168,х,х

El Scorpio, у меня была подобная мысль, но я не стал предлагать ее по причине
Файрволов нет ни на клиентах, ни на серваке »
Хотя практика показывает, что очень часто пользователи сами не знают, работает ли у них файрвол/антивирь/вирус и прочее :)

HellFire_MZ
Хотелось бы организовать, чтобы в сетевом окружении были видны компьютеры из обоих подсетей »Где осуществляется маршрутизация? В разных подсетях, разделенных маршрутизатором, рабочие группы работают независимо... Для объединения списков сетевого окружения нужен доменный мастер-обозреватель, поэтому вариантов, собственно, два:

- "слить группы", открыв хождение между сетями широковещательного трафика (реализация зависит от железа);
- поднять контроллер домена (можно на SAMBA, рабочие станции в него включать необязательно) + WINS-сервер;

"слить группы", открыв хождение между сетями широковещательного трафика (реализация зависит от железа);
- поднять контроллер домена (можно на SAMBA, рабочие станции в него включать необязательно) + WINS-сервер; »
1. в каком плане от железа? на границе стоят два радиомодуля, создающие VPN-туннель между подсетями. Каким образом его можно открыть?
2. Хм. а если маршрутизацию прописать на каждой станции? что то вроде route -p add 192.168.152.0 mask 255.255.255.0 192.168.151.1?
Не будет находить каждая машина по маршруту?

По IP-адресам файлы открываются? Если нет, тот же самый ответ - указать разрешения файрволла для 192,168,х,х »
да, открываются. Да фаерволов как бы и нет. Доменное имя в сетевом окружении не появляется .

El Scorpio & Delirium спасибо за совет. Файрволы на локальных тачках я отключал, но вот умные юзвери оказывается их включили обратно когда увидели сообщение о "безопасность под угрозой". Сейчас прописал подсетки в исключения "Общий доступ к файлам и принтерам" в режиме "Особый". Теперь папки видны на \\192.168.111.151

Настроил WINS в обоих подсетях с взаимной репликацией, прописал везде его, теперь по имени тоже ходит, а вот в сетевом окружении почему-то показывает только одну рабочую группу (из локальной подсети).

P.S: В каждой подсети на компах стоит своя рабочая группа, и я ожидал увидеть две эти группы при просмотре окружения.

HellFire_MZ

в каком плане от железа? »от настройки той железки, которая осуществляет маршрутизацию... в данном случае широковещательные пакеты должны отбираться в туннель наравне с юникастовыми (с обоих концов)... маловероятный трикс, на практике не встречал, но можно уточнить у оператора

а если маршрутизацию прописать на каждой станции?»маршрутизация тут не причем - служба обозревателя использует широковещание для формирования списков в локальном сегменте (подсети) и только потом юникастом передает его "наверх" - доменному мастер-браузеру (DMB), который уже формирует общий список по всем подсетям для клиентов. В SAMBA DMB может работать отдельно от КД, в Windows DMB работает только на контроллере домена.

KingLeonid

В каждой подсети на компах стоит своя рабочая группа, и я ожидал увидеть две эти группы при просмотре окружения »то же что и у HellFire_MZ

А в какой из подсетей нужно настроить SAMBA DMB? Или это все равно?
И кого надо включать в этот контролер домена? Все компы обеих подсетей.
Я просто не совсем понял суть работы контроллера домена для определния рабочих групп подсетей.
Если не трудно поясните подробнее, пожалуйста.

маршрутизация тут не причем - служба обозревателя использует широковещание для формирования списков в локальном сегменте (подсети) и только потом юникастом передает его "наверх" - доменному мастер-браузеру (DMB), который уже формирует общий список по всем подсетям для клиентов. В SAMBA DMB может работать отдельно от КД, в Windows DMB работает только на контроллере домена. »
насколько я понял, нужно поднять контроллер домена и WINS сервер. Верно? другого пути нет?
Разговор о железках наверно бесмысленнен, нужно провайдера мучить.

А в какой из подсетей нужно настроить SAMBA DMB? Или это все равно? »В любой, но чтобы клиенты и локальные мастер-браузеры (LMB) его находили нужен WINS-сервер. Если в каждой подсети есть SAMBA-машины, то можно не поднимать DMB, а сделать их единственными LMB в сегменте и настроить между ними синхронизацию списков сетевого окружения (у Windows такой фичи нет, поэтому службу обозревателя придется остановить).

И кого надо включать в этот контролер домена? »Можно никого не включать, нам нужна только функция DMB - она работает как для домена, так и для рабочих групп (главное WINS должен быть общим). Но DMB должен быть в сети уникален, иначе список будет противоречив, в домене Windows DMB выполняется на эмуляторе PDC. Кстати, не знаю ответа на вопрос: BDC способен заменять PDC в случае его падения или нет?.. Если кто в курсе прошу поделиться инфой. :)

насколько я понял, нужно поднять контроллер домена и WINS сервер. Верно? »
ну и на клиентах и серверах в параметрах сети указать адрес WINS-сервера (можно через DHCP)

Кстати, не знаю ответа на вопрос: BDC способен заменять PDC в случае его падения или нет?.. Если кто в курсе прошу поделиться инфой. »
Способен, только после определенных метаний топора, нужно будет передать ему все роли FSMO, хуже всего - на PDC обычно GLOBAL CATALOG.

HellFire_MZ, меня интересует именно функция DMB, может на нее перенос ролей не влияет... или влияет, но выборочно

хуже всего - на PDC обычно GLOBAL CATALOG. »
На BDC ничего не мешает тоже сделать Global Catalog дополнительный, так что, проме передачи ролей, особых трудностей не будет.