Здравствуйте, друзья.
Нигде не нашел, решил спросить, возможно ли поднятие и корректная работа AD на сервере с одной сетевой платой. Инфраструктура следующая:
имеем AD+DNS (192.168.0.2)
имеем роутер с DHCP и инетом (192.168.0.1)
соответственно, роутер раздает адреса и интернет, AD обслуживает групповые политики и вход юзеров на клиентские машины.
Поясню, почему такая задумка: работа конторы в первую очередь зависит от наличия интернета, штатного админа нет, работа сервера нестабильна: случаются перебои с электричеством, и ИБП не всегда спасает, кроме этого в месте его нахождения бывает несведущий народ (телефонисты, завхозы и т.д.), выдергивают провода, выключают питание, дикари-с.

Что бы хотелось сделать: роутер как инет-шлюз-то гораздо надежней 2008r2, он будет раздавать инет и адреса, а DC - раздавать политики и логинить юзеров, если он приляжет ненадолго, пользователи будут заходить "по старой памяти" клиентских машин.

И из первого вопроса подспудно вытекает второй:
если нельзя сделать AD с одним сетевым интерфейсом, как настроить их оба, если раздача dhcp и интернета происходит с роутера:
что назначать сетевым контроллерам?

Saveliy_0, AD+DNS с одним сетевым контроллером »Совершенно стандартная ситуация для небольших контор - все работает без каких либо костылей и особенностей.
Главное надо помнить - DC обязан иметь статический IP-адрес (192.168.0.2 в твоей ситуации) настроенный ВРУЧНУЮ. Соответственно на роутере либо исключи этот адрес из диапазона DHCP или свяжи его с MAC-адресом сетевого адаптера сервера.

Совершенно стандартная ситуация для небольших контор - все работает без каких либо костылей и особенностей.
Главное надо помнить - DC обязан иметь статический IP-адрес (192.168.0.2 в твоей ситуации) настроенный ВРУЧНУЮ. Соответственно на роутере либо исключи этот адрес из диапазона DHCP или свяжи его с MAC-адресом сетевого адаптера сервера. »

соответственно, на роутере в dhcp привязываю ip серва по маку, тут ясно
если вы знаете такую конфигурацию, подскажите, что писать в настройках ipv4 на серве? шлюз и dns какой? если я прописываю в шлюзе IP роутера, то это противоречит правилам настройки AD, если оставлю пустым - он, наверное, сеть не увидит, если укажу самого себя.. то вообще не знаю:) после установки роли AD в dns будет стоять петля 127.0.0.1, ее там и оставить?
что сделать со второй сетевой? просто отключить или отключить через биос? не будет ли она мешать?

если я прописываю в шлюзе IP роутера, то это противоречит правилам настройки AD »
это вы где такие правила нашли?

не будет ли она мешать? »
не будет

Цитата Saveliy_0:
если я прописываю в шлюзе IP роутера, то это противоречит правилам настройки AD »
это вы где такие правила нашли? »
точно не скажу, но видел такое, и не раз

Saveliy_0, точно не скажу, но видел такое, и не раз »значит надо развидеть это ровно столько раз сколько видел.
Шлюз - для всех машин(в том числе и для сервера) = IP роутера, потому как именно он является маршрутом в интернет.
В настройке сервера DNS в серверах пересылки укажешь внешние DNS-ы.
На сервере в настройках сетевой DNS-ы: IP сервера и локальный на 127...

что сделать со второй сетевой? »есть вариант - если сетевухи поддерживают балансировочный транк(зависимый или независимый от роутера) можно его поднять - широкий канал до сервака это всегда в плюс.

Шлюз - для всех машин(в том числе и для сервера) = IP роутера, потому как именно он является маршрутом в интернет.
В настройке сервера DNS в серверах пересылки укажешь внешние DNS-ы.
На сервере в настройках сетевой DNS-ы: IP сервера и локальный на 127... »

понятно, спасибо, а если не настраивать сервера пересылки, а указать в настройках dhcp на роутере раздавать 1й днс серва, а второй внешний, 8.8.8.8 например, будет работать?

есть вариант - если сетевухи поддерживают балансировочный транк(зависимый или независимый от роутера) можно его поднять - широкий канал до сервака это всегда в плюс. »
да там клиентских машин-то едва десяток наберется, нет смысла, но все равно спасибо за совет.

Нигде не нашел, решил спросить, возможно ли поднятие и корректная работа AD на сервере с одной сетевой платой. Инфраструктура следующая:
имеем AD+DNS (192.168.0.2)
имеем роутер с DHCP и инетом (192.168.0.1) »
Вообще то, это стандартная конфигурация, а через две сетевые (использовать маршрутизацию Windows) - это изврат! Что конкретно у тебя не получается?

Например:
сервер:
ip 192.168.0.2
маска 255.255.255.0
шлюз 192.168.0.1
dns 192.168.0.2

роутер:
задаешь интервал dhcp от 192.168.0.11 до 192.168.0.100, dns 192.168.0.2, а шлюз автоматом будет 192.168.0.1 и все.

на клиенте будет (dhcp):
ip 192.168.0.11-100
маска 255.255.255.0
шлюз 192.168.0.1
dns 192.168.0.2

Вообще то, это стандартная конфигурация, а через две сетевые (использовать маршрутизацию Windows) - это изврат! Что конкретно у тебя не получается? »
я думал, стандартная конфигурация это AD с dhcp, двумя сетевыми, поднятой RRAS.. меня попросил родственник сделать это по принципу "тыж программист", я не великий спец в сетях, особенно на винде, поэтому и интересуюсь у знающих людей.. лирика
А практика такая, что пару лет назад нечто подобное делал и уперся в "не найден сетевой путь" с клиентских машин и очень долго ковырялся, в итоге не заработало до тех пор, пока не поднял на серве dhcp и rras

Saveliy_0, а указать в настройках dhcp на роутере раздавать 1й днс серва, а второй внешний, 8.8.8.8 например, будет работать? »нет - будет большая проблема с нахождением домена и, как следствие, вводом машин в домен.
Чтобы машина легко и непринужденно вводилась в домен у нее первым DNS-ом всегда должен стоять доменный DNS, а чтобы он резолвил внешние адреса должны быть указаны сервера пересылки.

я думал, стандартная конфигурация это AD с dhcp, двумя сетевыми, поднятой RRAS.. »
Данную конфигурацию использовали для экономии бабла, т.е. жадный работодатель не хотел покупать железку, компьютер, ос; трафик был лимитный, поэтому как правило была установлена программа для анализа трафика и для нее нужен был отдельный компьютер с двумя lan + ос, а денег на это не давали. Вот и делали все в одном: ad+прога для анализа трафика+rras+dhcp+...
должны быть указаны сервера пересылки »
можно использовать корневые ссылки (т.е. вообще ничего не настраивать в ДНС), должно все работать без проблем.

Saveliy_0, только без обид, но мне кажется у тебя не достаточно знаний, не лучше ли пригласить какого нибудь знакомого специалиста, который все настроит и объяснит как все работает, что-бы в дальнейшем не возникло проблем.

Saveliy_0, только без обид, но мне кажется у тебя не достаточно знаний, не лучше ли пригласить какого нибудь знакомого специалиста, который все настроит и объяснит как все работает, что-бы в дальнейшем не возникло проблем. »

Я же сразу это обозначил, никаких обид, но виндосервы сами про себя пишут, что все ставится визардами, настройка доступна ламерам за 5 минут и т.д. и т.п. Если бы речь шла о unix-серве, я бы прислушался к вашему совету, но настроить виндовз человеку, 15 лет занимающемуся функциональным программированием, не должно составить труда, здесь я просто хотел уточнить некоторые детали, опираясь на предыдущий не совсем удачный опыт. Простите, что отнимаю ваше время.

все ставится визардами, настройка доступна ламерам за 5 минут и т.д. и т.п. »
Я бы так не был категоричен, многие на этом форуме достаточно хорошо знакомы с nix системами, но кто-то использует их, а кто-то нет. Я уже пару лет как не делаю ничего в консоле, т.к. глаза сильно устают, а потом болят от черно-белого экрана при работе с ssh, поэтому предпочитаю винду. :) А ставится все за те же 5 минут.
Если бы речь шла о unix-серве »
Чем по твоему отличаются настройки ip адресов от Windows? Все тоже самое, если поднять samba 4, а на нем ad (встроенный dns вполне нормально реализован), то ничем это отличатся не будет. Если есть опыт установки nix систем, тогда ставь домен для винды на нем (gpo тоже самое, только управляется с ПК на винде с помощью админпака), а на железке раздай dhcp и интернет, не вижу сложностей.

Чем по твоему отличаются настройки ip адресов от Windows? Все тоже самое, если поднять samba 4, а на нем ad (встроенный dns вполне нормально реализован), то ничем это отличатся не будет. Если есть опыт установки nix систем, тогда ставь домен для винды на нем (gpo тоже самое, только управляется с ПК на винде с помощью админпака), а на железке раздай dhcp и интернет, не вижу сложностей. »

там винсервер лицуха, зря чтоль люди покупали? А так-то да, больших сложностей быть не должно
Большое спасибо всем, кто ответил, исчерпывающе, завтра пойду настраивать.

Saveliy_0, тогда установи его, настрой ip как я написал, задай корректное имя серверу, введи в командной строке dcpromo, а дальше, как ты сам написал:
настройка доступна ламерам за 5 минут и т.д. и т.п. »
т.е. название домена, например test.local, а потом далее, далее,... и все.
Пользователей, что бы они не потеряли свои профили загони в домен этой (https://www.forensit.com/downloads.html) прогой.

т.е. название домена, например test.local, а потом далее, далее,... и все.
Пользователей, что бы они не потеряли свои профили загони в домен этой прогой. »
интересная вещь, но юзать не буду, тамошний командир наоборот хочет пересоздание всех юзверей, потому что его сотрудники сидят под учетками людей, которые давно не работают, пароли висят на стене на бумажке, обыкновенный бардак, когда некому этим заниматься, вот недельку буду приводить все в порядок :)

Поясню, почему такая задумка: работа конторы в первую очередь зависит от наличия интернета, штатного админа нет, работа сервера нестабильна: случаются перебои с электричеством, и ИБП не всегда спасает, кроме этого в месте его нахождения бывает несведущий народ (телефонисты, завхозы и т.д.), выдергивают провода, выключают питание, дикари-с. »
Повесить амбарный замок на дверь. На оборудование повесить большие листы с надписью "НЕ ВЛЕЗАЙ! УБЬЮ!!!"

что сделать со второй сетевой? просто отключить или отключить через биос? не будет ли она мешать? »
В свойствах сетевой карты нужно создать объединение обоих карт в один канал и соединить двумя кабелями с коммутатором. В Windows это называется teaming.
В этом случае получите двойную надёжность (при отключении одного кабеля связь будет работать по второму) и увеличение скорости передачи данных (в зависимости от режима объединения).
В свойствах сети появится третий сетевой интерфейс (team), в свойствах которого вы пропишете один IP-адрес (у физических сетевых карт, участвующих в объединении, IP-адресов не будет). Адрес шлюза - маршрутизатор (серверу тоже интернет нужен). Адрес DNS не указываете (будет автоматически использован 127.0.0.1).

можно использовать корневые ссылки (т.е. вообще ничего не настраивать в ДНС), должно все работать без проблем. »
Лучше использовать адреса DNS Яндекса или от вашего провайдера. Адреса DNS интернета указываете в свойствах службы DNS на сервере.


Что бы хотелось сделать: роутер как инет-шлюз-то гораздо надежней 2008r2, он будет раздавать инет и адреса, а DC - раздавать политики и логинить юзеров, если он приляжет ненадолго, пользователи будут заходить "по старой памяти" клиентских машин. »
Разумеется, раздавать интернет будет роутер. Однако раздавать адреса по DHCP всё равно должен сервер.

В раздаваемых адресах шлюзом будет маршрутизатор, DNS1 - сервер, DNS2 - маршрутизатор.
Если маршрутизатор поддерживает указание дополнительных адресов - указать DNS сервера для зоны .LOCAL для корректной обработки внутренних адресов.

друзья, расскажу с натуры
бэкапнул сервак в первобытное состояние, отрубил вторую сетевую (на всякий), поставил роль AD, dcpromo, dns-server поставился следом, в днс нарисовал только зону обратного просмотра, на роутере в dhcp указал шлюзом роутер, в днс - 1й днс серва, второй и третий внешние (на случай, если серв ляжет) проверил на машинках с 7 и 10 виндой, входят, выходят и снова входят в домен, политики применяются.
сервера пересылки не стал трогать, не совсем понимаю, зачем их добавлять в такой конфигурации

Повесить амбарный замок на дверь. На оборудование повесить большие листы с надписью "НЕ ВЛЕЗАЙ! УБЬЮ!!!" »
к сожалению, там стоит атс на 100500 офисов, телефонисты там живут просто

Разумеется, раздавать интернет будет роутер. Однако раздавать адреса по DHCP всё равно должен сервер. »
мысль не ясна, почему должен? раздает адреса сервер dhcp

В раздаваемых адресах шлюзом будет маршрутизатор, DNS1 - сервер, DNS2 - маршрутизатор. »
поставил вторым и третьим днс провайдера, так работает вроде...

т.е. название домена, например test.local »
не надо таких примеров
зона .local поднимается автоматически автоконфигураторами сетей

Чтобы не было сюрпризов и проблем лучше использовать свой реальный домен. Например, если сайт организации example.com, то виндовый домен сделать office.example.com

Чтобы не было сюрпризов и проблем лучше использовать свой реальный домен. Например, если сайт организации example.com, то виндовый домен сделать office.example.com »
Капитан Очевидность говорит, что over9000 организаций не имеют своего сайта.
Так то!


бэкапнул сервак в первобытное состояние, отрубил вторую сетевую (на всякий), »
Не надо "всяких". Надо было сразу объединять интерфейсы в один канал.

в днс нарисовал только зону обратного просмотра »
А основная зона DNS?
Как у вас вообще домен работает?

на роутере в dhcp указал шлюзом роутер, в днс - 1й днс серва, второй и третий внешние »
Повторяю: службу DHCP надо поднимать на основном сервере сети.
Иначе могут быть проблемы с записями локальной зоны DNS сервера