DNS, DHCP, AD и роутер-как лучше сделать?
 

в общем есть сеть, обычная, равноправная. есть роутер, который дает нам интернет и является DNS и DHCP сервером(zyxel kennektic 4g)
теперь есть новый сервер на 2008р2, чистый. на нем необходимо сделать DNS и DHCP и естественно AD+ что бы шел через него трафик, в дальнейшем (как все это будет сделано), поставлю на него еще например трафик инспектор.
посоветуйте поэтапно и как правильно все это реализовать?

какие шаги сделал я:
1- поднял DNS
2- поднял DHCP
вроде бы работает, но как то вот коряво: часто исчезает вторичный DNS, которым является роутер и инет естественно пропадает, он стоит 003. автоматом выставляется опять на основной ДНС
если все это сделал правильно, то как действовать дальше, что бы потом по 10 раз не переделывать. так же там будет и VPN сервер висеть, по мимо всего перечисленного выше?
я думаю наверно стоит роутер посадить напрямую на вторую сетевуху, что бы трафик шел через него? или можно вообще роутер убрать? сделать например так, что бы сам сервер поднимал сессию интернета?

контроллер домена 2008 R2. Рекомендую настраивать в указанном порядке.
настройка DHCP 2008 R2

003 - это шлюз по умолчанию. 006 - это ДНС.

не рекомендую ставить что-либо на контроллер домена, кроме некоторых встроенных служб.

Итоговая цель какая ?

Вы немного путаете понятия DNS. Вторичный DNS это вовсе не роутер. Роутер это шлюз, указывать его вторичным ДНС не нужно.
Обратите внимание, когда будете поднимать домен: не делайте его похожим на какой-либо сайт в интернете: domain.ru плохой домен, domain.local хороший домен.
У вашего провайдера PPPoE? тот же траффик инспектор умеет всё это делать.
Кстати, для справки, а для чего вам DNS, AD, DHCP?

начнем:
HellFire_MZ
1- DNS и DHCP необходимы мне, для того, что бы по сети адекватно раздавались ИП адреса и адекватно все работало не по ИП адресам а по имени ресурсов, что является стабильной работой сети- может я что не так сказал, если что меня поправьте, могу наверно и ошибаться
2- да у провайдера ППОЕ
3- AD нужно не только мне, но и его хочет начальство. что бы мои документы и раб стол хранились на сервере + замечательная авторизация в домене- им это нравиться. мне нужен АД для нормального и быстрого разруливания прав по сети к ресурсам и т.п.
exo
подумав уже понял, что проксю конечно лучше сделать отдельно.
Итоговую цель я уже наверно выше написал: сервер AD, DNS, DHCP
прокси сервер, основанный на трафик инспекторе- думаю как на счет роутера, оставлять его или нет, если оставлять, то как это стабильно реализовать. проксик нужен для распределения трафика, для разрешения\запрета ресурсов, ведения логов посещаемости этих ресурсов и траты трафика. так же для проброса портов-тут уже думаю лучше выбросить роутер, т.к. с роутером это будет сделать трудновато наверно

santey007, вы не указали объем компьютеров в вашей организации и бюджет.
Можно шлюз сделать на обычном компьютере с Windows 7 Professional + TI. Роутер уберете. Еще дешевле, используйте шлюз на linux, если владеете необходимыми знаниями, если нет, то Windows 7 + TI. TI умеет поднимать PPPoE, только нужно, чтобы компьютер автоматически делал вход в систему.
что касается DNS, DHCP и AD - по ссылкам выше. Надеюсь, вы помните, что клиентские машины домена не должны быть с операционными системами Home. Только Windows XP Pro, Windows 7 Pro, Ultimate.

ссылки по настройке я вам дал.
самое оно для роутера. Я стараюсь любые Windows компьютеры в интернет напрямую не выставлять. Тем более с АД.
если нет отдельной машины, то можно настроить прокси сервер на виртуальной машине на том же сервере. Например Linux+Squid+AD.

в офисе 30 ПК + будет пополняться парк. я в курсе что хоум не поддерживает домен. 2 сервера с СКЛ базами +1 сервер поднял для АД, ДНС и ДШСП. еще 1ПК для проксика я найду конечно же.
мой роутер отлично пробрасывает порты, но с трудом сделал что бы пробросил пакет гре для ВПН, даже в службе поддержки зухеля сказали, что данная прошивка не поддерживает столь тонкую настройку, поддерживает супер-пупер новая прошивка,НО в этой новой прошивки нет УРЛ фильтра, который есть в старой. этим фильтром я режу доступ к соц сетям, поэтому пока не могу отказаться от этой прошивки. ну а по большому счету проксик нужен для распределения трафика, запреты ресурсов и мониторинга посещаемости ресурсов- хотелка начальсва

exo, спасибо за ссылки, буду внимательно изучать.сверю свои настройки по вашим ссылкам

вроде бы настроил... пока только один ПК загнал в домен, буду постепенно вгонять
возникли еще вопросы:
1-возможно новому пользователю домена, перенести все что было у него до домена: настройки ПО(аськи, скайп...) и т.п.? т.к. если вгонять в домен, то каждому юзеру придется глобально все переносить вручную(((
2-юзерам права давать "пользователь домена"?
3- сервера вгонять под одной и тойже учеткой администратор? опять же как перетащить все настройки?
4- впн сервер так же создаю на контроллере домена, никаких проблем не будет?

да, используя программу миграции профилей.
они уже буду автоматически.
всё вводится в домен под учётными записями, имеющие права на это. по умолчанию - пользователи в группе "администраторы домена".
см пункт 1.
можно и на контроллере. но лично я предпочитаю ВПН настраивать на роутерах.

1- не подскажете как ей пользоваться?) можно было бы выложить такую статью на вашем сайте- кстати мне очень понравился стиль описания, все очень понятно
2- я понял что они юзерам автоматом даются, я имею ввиду им этого достаточно будет-для установки ПО например?
3-я имею ввиду все сервера будут работать под одной и тойже учеткой админа. т.е. 3 сервера и все они логинятся под одной учеткой: домен\админ, это главная учетка домена (с помощью ее загоняю в домен)
4- на моем роутере к сожалению нельзя сделать ВПН сервер, поэтому буду делать на контроллере домена -тут так же есть пару вопросов, например, я буду задавать пул адресов, они должны входить в пул адресов домена? или можно например так: пул домена х.х.х.10-х.х.х.50, а для впн х.х.х.60-х.х.х.100?
5- куда будут сохраняться профиля юзеров по дефолту или как настроить сохранения профилей по дефолту в определенную папку?
6-как сделать так, что бы к каждому юзеру примапивалась общая папка?

хорошо, я скоро сделаю эту статью. сам не сразу разобрался с этой программой. если время не ждёт - можете пока сами протестировать на виртуальной машине.
нет. группа Domain Users имеет права простого локального пользователя, но не административные.
по этому компания покупает роутер с нужным ей функционалом. по Windows ВПН не расскажу, т.к. не практикую.
по дефолту - на локальном компьютере. для изменения читайте про "перенаправляемые папки" и "перемещаемый профиль".
в групповой политике можно это настроить:

т.е. кликаем по подразделению создать общий ресурс и показываем путь через сетку?
а вот про групповые политики непонял- это где открывать?
так же читал про профиля и т.д., видать конец рабочего дня,бошка уже не варит
и как с АД удалить подразделения, которые защищены от случайного удаления?

только вроде ресурс уже должен быть расшарен.
GPMC - все политики управляются от туда.
зайти в свойства и убрать галочку, которая защищает от удаления и перемещения.

по просьбам трудящихся.

exo, да, Profwiz - действительно лаконично и четко работает. Проверено неоднократно.

exo огромное спасибо за мануал! сегодня правда небыло времени испытывать, т.к. полдня проторчал в МРЭО, машину продавал. на праздники собираюсь в москву за машиной
в свойствах нет галочек никаких, я уже везде обыскался:
http://forum.oszone.net/attachment.p...1&d=1366806740
http://forum.oszone.net/attachment.p...1&d=1366806738
http://forum.oszone.net/attachment.p...1&d=1366806738

AD UC - View - Advanced Features после включения этого будут.

и в корне АД я рекомендую вам создать ОЮ "Фирма" - ОЮ "город" (если есть филиалы) - и только потом ОЮ BUH и другие.
вроде этого:

общи диск никак не мапится к пользователю. игрался игрался с настройками-ни в какую. когда настраиваю общий ресурс в политике, на нем появляется желтый треугольник. нет ли точнее настройки? и по политикам настройки сохранения профилей и мои документы, есть какие то темы пошаговые?
еще раз извиняюсь)

exo кстати по вашей программке по переносу профилей, один раз попробовал по вашему мануалу, вроде бы получилось. надо еще попробовать. огромное спасибо за помощь! чем дальше продвигаюсь тем больше вопросов)))

в поиске наберите "перенаправление папок", "перемещаемые профили". в интернете много описаний.
смотрите логи, почему не мапится. а треугольник - это из-за того что стоит update. это нормально )

1-какие логи и где их смотреть?
2-по поводу профилей смотрел, нигде нет подробной инструкции, прочитал эту статью, прописал вроде путь, но при созданий пользователя он так и не прописывает путь профиля. и все никак не могу найти про мои документы, что бы они хранились только на сервере,а не на ПК пользователя. еще пытался покапаться с общим ресурсом, нет не получается никак примапить диск(((
3-еще вопрос по правам. прописываю вручную путь к профилю, он создает,все ок. НО я немогу просмотреть содержимое профиля на сервере, говорит отказано в доступе. помогает только смена владельца. после смены, он не синхронизирует профиль. если дать полные права на профиль, то синхронизация профиля проходит по 20 мин, т.е. выкл машину, он что то там думает около 20 мин, и так же при вкл -машина с новой виндой, она пустая вообще. профиль весит 30МБ. без этих маркитаний все происходит быстро. итак вопросы:
а- какие права дать на папку с профилями, что бы они нормально синхр-ись, но что бы по сети никто не смог ничего грохнуть или посмотреть?
б- как сделать так, что бы и синхронизация проходила быстро и я мог посмотреть\изменить содержимое профиля любого юзера?

просмотр событий - приложения (Application)
ладно, сегодня накатаю у себя в картинках... по проще чтобы было.
всё правильно. надо вроде правильно настраивать разрешения. я посмотрю как у меня.

в политике вроде есть такой пункт, который добавляет админские права на папки профилей пользователей, и погуглив везде пишут, что этот пункт выставляешь и все, админы могут шарится в профилях- но нет, не работает((
выставил на всякий случай еще ограничение размера профиля, что бы не забивали всякой фигней-работает))) а можно выставить такую же фишку для определенного пользователя а не на всех сразу?
еще заметил такую штуку, что если есть профиль рабочий и я например добавил политику ограничения размера профиля, то она на этом профиле не работает, а работает только на новом профиле, который создал после того, как включил эту политику.-это как то не есть хорошо. если вдруг что то придется доделывать, то что все профили придется переделывать?

Да могут и работает, но нужно дочитать до конца описание - распространяется только на созданных после включения данной опции, на все имеющиеся нужно задать ручкамэ.

да, и я хз почему так устроено (

только что создал нового пользователя(и копировал и создавал совершенного нового) и не работает. не могу его открыть, пишет тоже самое, что нет доступа. в политиках прописал путь профилей. что может быть не так? скажите, как убрать сложность пароля для пользователей? а то в локальной политике теперь нельзя

создать новую групповую политику.

да, в принципе, можно и подкорректировать доменную - ничего страшного)

изменять DDP (Default Domain Policy) - очень не рекомендую.

exo а по правам на папки профилей не подскажите? создавал нового пользователя, так же не дает мне открыть папку пользователя на сервере((((
еще не написали статьи про мои документы, профиля и т.п.? а то я их очень жду)

пока нет. Там есть моменты, с которыми я ещё сам не работал :) изучаю.
пока читайте документацию. или видео посмотрите

santey007, перемещаемые профили и перенаправляемые папки

вроде получилось
НО появилась другая проблема: снес файлы раб стола с сервера и перезагрузил раб. комп. потом после появления ошибки(она будет ниже) выгнал-загнал в домен.
когда выгнал и загнал юзера в домен, при входе под логином этого домена стал выдавать эту же ошибку и обрубает доступ к интернету(хотя сетевые настройки верны)

Имя журнала: System
Источник: Microsoft-Windows-GroupPolicy
Дата: 13.05.2013 15:53:09
Код события: 1112
Категория задачи:Отсутствует
Уровень: Предупреждение
Ключевые слова:
Пользователь: ххх\test23
Компьютер: zakup3.xxx.localnet
Описание:
Клиентскому расширению "Folder Redirection" групповой политики не удалось применить один или несколько параметров, поскольку эти изменения должны обрабатываться до запуска системы или до входа пользователя. Завершение обработки групповой политики будет выполнено перед следующим запуском системы или входом этого пользователя, что может вызвать замедление загрузки и запуска системы.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-GroupPolicy" Guid="{AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}" />
<EventID>1112</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>1</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2013-05-13T12:53:09.255591300Z" />
<EventRecordID>2166</EventRecordID>
<Correlation ActivityID="{ECB8D224-9C7A-4303-BF39-A020CA49D518}" />
<Execution ProcessID="560" ThreadID="2120" />
<Channel>System</Channel>
<Computer>zakup3.xxx.localnet</Computer>
<Security UserID="S-1-5-21-4292077009-181650552-4139492397-1135" />
</System>
<EventData>
<Data Name="SupportInfo1">1</Data>
<Data Name="SupportInfo2">3961</Data>
<Data Name="ProcessingMode">2</Data>
<Data Name="ProcessingTimeInMilliseconds">1264</Data>
<Data Name="ErrorCode">1274</Data>
<Data Name="ErrorDescription">Система групповой политики должна вызывать расширения в синхронном, не фоновом режиме обновления. </Data>
<Data Name="DCName">\\serv-ad.xxx.localnet</Data>
<Data Name="ExtensionName">Folder Redirection</Data>
<Data Name="ExtensionId">{25537BA6-77A8-11D2-9B6C-0000F8080861}</Data>
</EventData>
</Event>


затем выгонял-загонял заново в домен, выходил и заходил заново в систему-не помогает. что делать?

обычно помогала новая политика ) я по этому не удаляю ничего во время действия политики.

Is it true.

так я создаю новых пользователей, все равно такая беда!и кстати теперь создается только раб стол (кот-ый я настроил), а сам профиль и перемещаемая папка мои документы не создаются((((
неужели если я удалю что то с профиля, или того же раб стола пару файлов-мне придется переделывать политики??? смысл то какой тогда в этом всем?

да, т.к. вопрос начинается с глагола в английском языке ;)
пару файлов нет, а во если саму папку "рабочий стол", то по-разному бывает, но у меня чаще решалось новой политикой.

я об это писал немного в статье:
:)

что то я вообще запутался!
1-теперь у меня профиля вообще не создаются
2-мои документы -вообще кривая штука для 7 и ХР

решил проблему с профилями, НО доступа опять нет к профилям, уже что только не пробовал! и почему то к имени профилю подписывается такая вот надпись: имя.V2 -что это такое???

профиль второй версии ) первый вроде был у 2003, если я не ошибаюсь.
Я писал, как дать доступ администраторам и через какую программу.

я помню и делал так же, НО через тотал командер также кричит, что папка занята или просто нет доступа к ней.
там единственный спорный момент: создатель-владелец -все галки снимать? (добавить разрешения, наследуемых от родительских объектов и заменить все разрешения дочернего объекта на разрешения, наследуемые от этого объекта)
будут какие мысли?

и кстати примапить диск групповой политикой никак не получается, не прилепливается он никак. уже и сторонние статьи читал, там что то подобное, но немного по другому. просто прописал в св-х пользователя в Ад диск, он конечно появился, но это не решение на мой взгляд

какие мысли будут?

Доброго времени всем. У меня почти аналогичная ситуация с той, которую расписал создатель темы santey007, скажу сразу с сервером столкнулся только щас, и пока знаний почти в нём нет.

1)ЭПИЛОГ
На работе есть сеть (пока не настроена) всего точек 86 компов все они должны быть в сети, из них около 60 регулярно должны использовать инет. Суть такова чтобы инет проходил через сервер, для мониторинга, и ограничения скорости закачки и что ещё немаловажно, программы 1С Библиотека и ещё пару программа. Для меня ещё одна незадача только что возникла печатая этот текст вспомнил, среди этих 60 компов 13 это электронная библиотека, со своим сервером (ребята должны с Питера принести)

2) Что собственно есть:
-Windows Server 2008 R2 чистый без настроек
-2 роутера Dlink (модель не помню) чистые без настроек
-Практический на всех клиентах стоят XP pro и Win 7

3) До того как написать всё это я делал следующее, то бишь пытался соединить все компы в одну сетку, инета пока нет. Делал так, создал на сервере рабочую группу дав название например "T", потом настроил DHCP роль, всё по той статье которую дал exo привет кстати) и вроде я его правильно настроил потому что зелёные галочки стояли.
Дальше сделал так, на своём компе поставил ту же рабочую группу T дабы проверить увидит он сервер или нет, ничего не увидел, они небыли в одной сетке, "Сеть неопознанна" Я почти уверен что действовал примитивно:)

Для начала как мне настроить сеть подскажите, первостепенная задача в этом, соединить все компы через сервер, всем кто не прошёл мимо СПАСИБО!

Тогда уж пролог...

Какую подсеть выбрали? ipconfig /all с сервера и клиента.

Читайте теорию, Вы путаетесь в терминах.

???

привет. у сервера нет таких инструментов. Т.е. к интернету через него можно подключить через RRAS, а вот мониторинг и шейпинг (ограничение скорости) - это сторонние программы (которые так же могут заменить RRAS)

а по моей проблеме мысли есть?

santey007, создавайте новую политику и нового тестового пользователя. новую шару - и всё тестируете, когда придёт понимание - исправите то, что не работает.

exo как мне сеть сделать, если не поленишься объясни пошагово можно в ЛС. С ограничением скорости я понял-задействую программы

1) берём нормальный маршрутизатор для доступа в интернет (например, Dlink серии DSR или DFL, или Juniper SSG 5 у нас стоит, если финансы позволяют можно и в сторону Cisco глянуть)
2) к маршрутизатору можно подключить коммутатор (свитч) на 48 портов, к нему ещё один на 48 портов. А можно оба коммутатора напрямую к маршрутизатору. Можно ещё 12 портовый про запас. Моделей коммутаторов куча.
3) все компы, сервера подключаются к коммутаторам. все находятся в одной сети.
4) все должны быть в одной рабочей группе или создаём домен. второе лучше.
ну и:

exo у меня на работе 2 коммутатора и над ними сервер, все точки уже подключены к свитчам, а свитчи напрямую подключены к серверу как раз (2 порта) гигабитные на сервере. маршрутиризатор нужен при таком раскладе, инет будет через оптоволоконный кабель.
И второе, если технический момент правильный,
вот в этом у меня больше стопора

каждый свитч подключен к серверу через отдельный сетевой интерфейс на сервере???
а чего непонятно? в третий раз просим: покажите нам

Пуск - Выполнить - cmd - ipconfig /all

да, сзади сервера есть 2 порта гигабитные и один простой, вот к этим двум и подключены по отдельности
завтра покажу, я просто команду не знал, спасибо astomper7

что вы хотите этим сделать? коммутатор и два сегмента? тогда получится. один сегмент - "извращение".
два дня уже прошло....

exo Вы забыли, я в начале написал что с сервером дело не имел вообще. Что значит извращение, и что вы предлагаете, можно конкретнее. Два дня прошло потому что работы много, до серва руки не доходят, занят

Это порт управления (BMC - ILO, LO100i etc.)

Еще раз проверьте - возможно, вы ошибаетесь.

извращение - это отклонение от нормы.
переделывайте как я вам расписал выше, если хотите один сегмент, т.е. одну сеть.

я завтра постараюсь фотки тут выложить парни

exo уже все перепробовал, реально не работает

santey007, что в логах написано о данной политике и профилях?

exo, я вот думаю - зачем ему этот геморрой с профилями. Только усложняет себе работу по эксплуатации ИС.

astomper7, ну если профили совместно с перенаправлением - то нормально будет. там не так много данных копировать.
santey007, вам - отдельную тему создать с вопросом о перемещаемых профилях.
TimonDVD, вам - тоже отдельную тему.
не будем всё сваливать в кучу...