DNS сервер на Win2008R2
 

Привет, форум. Подскажи, пожалуйста, как правильно настроить вышеуказанный сервер при следующих конфигурациях:
Стоит Win2008R2, на нем подняты роли DNS сервера, VPN (PPTP) сервера, файловый сервер и веб-сервер на apache+php. Интернет идет с единственной сетевой карты от роутера, на котором открыты лишь необходимые порты. Клиенты подключаются через PPTP (в планах заменить на OpenVPN, но проблему с DNS, насколько я знаю, это не решит.) Клиенты должны быть видны друг другу, как и серверу. Всем приписан статичный ip, но при частых разрывах (неустойчивое 3G покрытие у некоторых клиентов) ip адрес клиента "A" оказывается занят, и при подключении он получает первый свободный адрес из пула. Так вот клиенты нормально отсылают и получают DNS записи с\на сервер, но сам сервер не использует свои записи вообще (или до меня не дошло, как его настроить на использование). Пробовал физическому интерфейсу прописать локальный DNS сервер- результата 0, создавал на сервере клиентское подключение к самому себе с указанием локального DNS- клиенты теряли сервер, ведь его DNS менялся. WINS сервер не подходит по ряду причин. Сейчас установлен костыль- все клиенты прописаны в hosts, но при аварийной смене ip клиента этот способ не спасает.

Настройте на сервере роль DHCP и выдавайте клиентам VPN динамические адреса из пула.
При получении IP-адреса для соединения VPN клиенты будут автоматически регистрироваться в указанном сервере DNS.

Чтобы сервер использовал свою службу DNS нужно не указывать никаких адресов DNS в параметрах сетевых интерфейсов. Тогда localhost будет использоваться автоматически
Чтобы сервер при этом мог работать с именами внешних сайтов, нужно прописать DNS провайдера (или яндекса/гугля, кому что больше нравится) в свойствах службы DNS-сервера (в параметрах перенаправления запросов)

А какой резон подымать роль DNS, если это всё можно через роль DHCP реализовать? У меня, например, так:

На этих выходных все предложенные варианты попробую, спасибо.

Вот я и начал настройку, но сел в лаужу в самом начале. При настройке роли DHCP нужно выбрать интерфейс со статичным адресом, но его на сервере нет- сервер сидит за роутером, который выдает IP на основе MAC, и перенаправляет пакеты по портам на IP, привязанный к MAC сервера. То есть клиент стучится по внешнему адресу с целью подключиться по VPN, роутер направляет пакеты во внутреннюю сеть на адрес сервера. Как настроить DHCP в таком случае?

Всю голову уже сломал. Интернеты перечитаны уже вдоль и поперек. Настраивая DHCP сервер, мы запускаем службу, к которой обращаются подключающиеся по RRAS клиенты. Указываем, что нужно использовать именно службу DHCP, а не пул адресов RRAS, на странице Свойств RRAS, на вкладке IPv4. Зачем при этом службе DHCP интерфейс со статичным адресом? Ну нет его у меня, мне удобнее адресами рулить через SSH на роутере! Но у пошел на поводу мастера настройки, и, снеся роли DHCP, DNS и RRAS, а также установив единственному интерфейсу статичный ip, приступил к настройке с ноля, игнорировав сервер DNS, им займусь позже, в случае если DHCP все-таки заработает. Итак, есть локальная сеть 192.168.0.* и VPN сеть 10.0.*.*, у сетевого интерфеса прописал адрес из локальной сети и маску. Шлюз и DNS пусты. Добавляю роли DHCP и RRAS. Пропускаю настройку получения клиентами DNS имён и адресов DNS серверов, указываю имя области, диапазон VPN адресов... пропускаю настройку ip6 и позже очищу её (чтоб не мешалась). Затем заканчиваю установку ролей, и настраиваю RRAS- Для VPN, указываю интерфейс для соединения с интернетом... и тут понимаю, что Мастер запрашивает интерфейс для VPN клиентов, но единственный интерфейс я уже назначил на предыдущем шаге и здесь он уже недоступен. Как быть?

Бортовой дневник...) Разобрался с назначением VPN, отдельный интерфейс действительно был ни к чему, видимо сказался недосып. Углубился в изучение DHCP, но так и не понял, как же привязать область динамических адресов к VPN клиентам. На каком то ресурсе прочитал, что можно через AD привязать. С этой системой я еще не был знаком, но уже знал, что при установке пользователи и группы переместятся в оснастку AD, и удалятся при её удалении. Было не страшно-я админ, который уже делает бекапы. Причем, чтоб не мелочиться, бекапы делаю всего и вся, благо место позволяет. Так вот, включил роль ADDS, выкурил мануалы относительно AD+VPN+DHCP.Пришел к выводу, что это те же яйца, только с боку, удалил AD. С собой роль утянула часть функционала сервера, оставшаяся часть стала работать кое-как. Ну и ладно, сейчас восстановим полный бекап всего и вся... ошибка доступа к файлу в конце восстановления, отмена. Хм. Ладно, восстановим только состояние системы...ошибка доступа к файлу...Нет, систему я таки восстановил, но для этого мне пришлось перезагрузиться в режим восстановления, которому еще пришлось через коммандную строку указывать где же, с чем и когда были сделаны образы системы(обычный интерфейс вис на этапе поиска)и через часов 10 я получил работоспособный сервер обратно. Это у всех так, или я "счастливчик"? Вопрос о PPTP+DHCP остается открытым.

Какой резон брать предметы руками, если что-то можно взять ногой ? Некоторые даже пяткой креститься умеют :)
В нормальном режиме сети компьютеры опрашивают локальный DNS-сервер, время реакции которого составляет милисекунды.
В вашем случае компьютеры сначала будут опрашивать DNS-серверы провайдера, которые просто не регистрируют таких клиентов, и только затем будут пытаться использовать службы одноранговой сети.
При этом службы одноранговой сети работают существенно хуже локального сервера DNS.
-------------------------------------------------

Потому что служба сервера DHCP запускается после инициации параметров сетевой карты. Кроме того принцип работы сервера DHCP требует наличия адреса у сервера.

Это удобно для маленькой сети, где нет сервера. А при наличии сервера удобнее "рулить адресами" через оснастку сервера.
Сервера должны иметь статичные адреса. Соответствующий диапазон не должен входить в пул DHCP.
Например, вы выделяете для клиентских компьютеров и сетевых принтеров пул DHCP с адреса 33, а меньшие адреса оставляете для серверов, маршрутизаторов, управляемых коммутаторов и т.д.

Как раз таки всё делается наоборот
Сначала вы устанавливаете сервер DNS, настраиваете прямую и обратную зоны, прописываете в параметрах локального сервера DNS провайдера для перенаправление запросов адресов интернета.
И только затем устанавливаете и настраиваете сервер DHCP, указывая заодно параметры авторизации для автоматической регистрации клиентов DHCP в DNS.
Если всё сделано правильно (а при такой последовательности действий "неправльно" сделать очень сложно), для ваших клиентских компьютеров автоматически в прямой зоне DNS появлятся записи А (имя компьютера -> IP-адрес), а в обратной зоне - записи PTR (IP-адрес -> имя компьютера)

Извиняюсь за долгий ответ и назойливость, но и тут возникли вопросы. - это вкладка Forwarders в меню свойств DNS сервера, или папка Conditional Forwarders в том же меню?- это значит нужно в Свойствах IPv4 DHCP сервера, на вкладке Дополнительно, по кнопке Credentials указать учетную запись, имеющую доступ к изменению данных? Для теста оставим админскую учетку.
В любом случае, пока глухо с выдачей адресов, не то что с прописыванием в DNS сервер. Для лучшего понимания ситуации еще раз опишу сеть: SERVER (одна сетевая карта, смотрящая на роутер, на котором открыты порты для PPTP подключений; RRAS в режиме Dial-In PPTP; служба DNS в работоспособном состоянии(вносятся и используются записи типа A и PTR), но прописывать адрес DNS сервера и DNS суффикс подключения приходится на клиентских компах ) и 30+ клиентов на разных ОС в разных городах, которые при переводе RRAS в режим DHCP либо отваливаются постоянно (в логах при этом пишется о возможной ошибке прохождения пакетов GRE, хотя и пропуск их на роутере настроен, и встроенный файрволл отключен) либо висят с адресом типа 169.254.236.184
И еще забыл спросить: для чего конкретно прописывать перенаправление DNS запросов? И откуда-куда?
new:
Ок, кажется начало проясняться нечто: в системных логах при запуске RRAS службы пишется, что DHCP сервер не найден, и потому будет использоваться частный IP адрес. Где указывается RRAS службе, какой DHCP сервер использовать?

Для отдельных зон (филиалы вашей организации и т.д.) можно указать отдельные сервера перенаправления, однако для разрешения сайтов интернета нужно указывать параметры на вкладке Forwarders в меню свойств DNS сервера.

Для того, чтобы ваши компьютеры могли работать в интернете.
Повторяю: прописывать внешние сервера DNS в параметрах сетевых карт нельзя. Просто потому что внешние сервера не смогут обслуживать вашу сеть (давать ответы на запросы, касающиеся компьютеров вашей организации).
Поэтому вы указываете единственным DNS-сервером ваш внутренний сервер DNS (контроллер домена), который при запросе IP-адреса соседнего компьютера даст ответ из своей базы, а при запросе IP-адреса сервера интернета перешлёт запрос на сервер провайдера.

Предвижу вопрос "почему нельзя просто указать на компьютере внутренний сервер первичным DNS, а сервер провайдера - вторичным DNS?"
Потому что в этом случае компьютер при обращении к сайту в интернете будет сначала запрашивать ваш внутренний сервер, и только не дождавшись ответа - сервер провайдера. А это как минимум секунда бесполезного и бессмысленного ожидания.
По этой же причине нельзя указывать адреса DNS в параметрах сетевого интерфейса самого сервера - он автоматически будет использовать свою локальную службу.


Угу. Потом можете создать пустую учётную запись, для которой добавите разрешения в правах доступа к зонам DNS.
Также укажите в параметрах DHCP все флажки, касающиеся автоматической регистрации клиентов DHCP в DNS сервера.

Для начала настройте совместную работу DNS и DHCP внутри локальной сети.
На самом деле это не просто, а очень просто. Если совсем всё в тупик зашло - удалите с сервера роли DHCP и DNS, а затем настройте их с нуля.
А уже потом, когда всё заработает, будете заниматься настройкой внешних клиентов.

Напомните пожалуйста - у вас в локальной сети используется домен или рабочая группа?
Потому что при домене суффикс DNS назначается автоматически.

Используется сеть без домена. И роли DHCP, DNS и RRAS удалял\очищал немыслимое уже количество раз. Также по поводу разрешения имен интернета- оно мне не нужно, VPN клиенты от сервера получают только доступ к внутренним ресурсам в двухстороннем порядке, все клиенты настроены маршрутами так, что если адрес не резолвится через сервера гугла или провайдера, то только тогда обращение идет к моему серверу. DHCP сервер по какой-то причине не видится не то что локальной сетью, даже на самом сервере RRAS не видит его, даже запросы не поступают. На сервере отключена вся безопасность (на время настройки DHCP сервера, разумеется)но RRAS продолжает писать в лог об ошибке 20169 и выдавать APIP. В интернете достаточно много ресурсов с описанием и решениями ошибки, но часть из них сводится к ошибкам указания ip, другая к разным параметрам безопасности. Оба варианта решений мне не помогли. Думаю, если и вы не знаете как бороться с этой ошибкой- нужно будет на виртуалке поднять чистый win2008r2 и настроить это всё там.

Смысл?
Есть много причин использовать домен и мало причин его не использовать.
Понятно, что у вас внешние клиенты. Но они вполне могут использовать доменные логины при подключении к сети и к ресурсам сервера.

Компьютеры вашей внутренней сети не используют интернет?

Установлен ли в параметрах DHCP-сервера сетевой интерфейс, который обслуживает сервер? Он должен иметь статичный IP.
Показывает ли команда netstat -an на сервере наличие ожидающих соединения портов службы DHCP?

Возможно DHCP-протокол заблокирован на файрволлах локальной сети.

Попробуйте.
Поднимите чистый сервер и несколько клиентов.
Только используйте для виртуальных сетевых карт режим "отдельная сеть"

Внутренняя локальная сеть берет интернет и адреса от роутера, внешние клиенты используют свой канал интернета, через который и подключаются. Привязанный к dhcp сервер интерфейс со статичным ip присутствует. netstat попробую чуть позже, надеюсь сегодня. Домена нет потому, что пока ни разу не почувствовал его нехватки- клиенты подключаются автоматически, и по техническим причинам довольно часто меняется начинка компьютера клиента, а это каждый раз подключение к домену заново, насколько я понимаю. Да и для доступа к ресурсам непосредственно используются отдельные учетные записи, не клиентские.

Вот по этому вы не можете проверить работу DHCP-сервера - у вас клиенты "привыкли" получать адреса от маршрутизатора
Отключите функцию DHCP на роутере, и компьютеры будут использовать другие службы DHCP.

Внешних клиентов в домен вводить не обязательно.
А вот настраивать внутренних клиентов при наличии домена гораздо проще.

Извиняюсь за долгий ответ.
Результаты изысканий- поднятый на виртуалке сервер 2008R2 действительно вел себя иначе с аналогичными настройками- подключающиеся по PPTP клиенты получали уже не APIP адрес, но и не тот, что был указан в настройках DHCP сервера, а тот, который раздает роутер. При отключении DHCP сервера на роутере соответственно опять пошли APIP адреса.
Сервер я всё-таки переустановил, теперь с русским MUI, чтоб на одном языке разговаривать. Но всё так же не понятно- как VPN PPTP клиентам, подключающимся из других городов, раздавать IP адреса посредством DHCP-сервиса, и как автоматизировать DNS записи об этих адресах? Очевидно, какой-то из пунктов настройки я делаю неправильно, либо требования сети не подходят под вышеприведенные гайды.

upd:
Невероятно. Нашел основную проблему. Сервер не раздает адреса по DHCP ни локальным, ни VPN клиентам, если настроенная область адресов находится в отличной от серверной подсети. Иными словами, сервер не раздает адреса 10.0.0.* , находясь в сети 192.168.1.*
Я могу быть невнимательным, но такого ограничения или предостережения не увидел ни в одном мануале по настройке DHCP.
Ну, в общем, с DHCP разобрался. Осталась проблема с DNS записями- хоть служба DNS и настроена, и вручную внесенные A и STR записи действуют, но автоматически полученные адреса в службе DNS не прописываются, и сообщений об ошибках не возникает. Что именно нужно настроить, чтобы адреса, присвоенные DHCP сервером автоматически регистрировались в DNS сервере?
И еще - в списках арендованных адресов локальные устройства имеют свои имена и могут быть отправлены в списки зарезервированных адресов, а вот VPN клиенты хоть и получают адреса, и прописаны в списке арендованных адресов, но всем присвоено имя ДОМЕН/сервер, без личного имени, и при попытке внести их в списки зарезервированных адресов, появляется сообщение об ошибке- мол имя не уникально. Как быть?

1. В настройках службы DHCP нужно указать параметры динамического обновления DNS, а также задать логин и пароль учётной записи, имеющей права на изменение данных в базе DNS
2. В настройках службы DNS нужно проверить, что данная учётная запись (см. п1) имеет нужные права безопасности (или входит в группу с нужными правами)


Для начала в настройках службы DHCP проверьте "привязки" DHCP-сервера.
Сервер может обслуживать только интерфейсы со статичными IP-адресами. Если служба VPN предоставляет серверу отдельный статичный адрес для приёмника входящих соединений, значит вы сможете привязать DHCP к этому интерфейсу.

Однако если удалённая сеть использует отдельный диапазон IP-адресов, и взаимодействие с центральным сервером происходит путём маршрутизации трафика, тогда широковещательные запросы DHCP от клиентов на сервер в принципе попасть не могут.
Вариант №1. Настройте роутер в режим DHCP-relay, чтобы он явно пересылал запросы на центральный сервер.
Вариант №2. Используйте DHCP на роутере, но укажите DNS центрального сервера, тогда клиенты будут регистрироваться в базе DNS центрального сервера.

1. Параметры динамического обновления стояли с галочками, учетка использовалась админская.
2. Админ вхож везде )
3. Именно про этот случай я своими словами и написал.
4. Вообще, с работой DNS и DHCP разобрался. Смог настроить и применение областей, и DHCP для локальной сети, и для VPN одновременно с разными диапазонами. Помогла установка виртуального адаптера, и указание на нем подсети 10.0.0.*.
Так что вариант №1 уже не актуален, поскольку клиенты все нужные данные получали, и у меня был полный контроль над тем, что к ним идет. Но только ко всем сразу, т.к. отдельно резервирование DHCP настроить не представляется возможным- в поле Уникальный код, в котором должен стоять MAC устройства, у всех клиентов VPN пишется RAS, в следствие чего индивидуальная настройка невозможна. Также нашел информацию, что PPTP (да и, насколько я понял, любой тип VPN) не регистрируются в DNS, и единственный выход, который я пока вижу- это регистрация клиента в DNS силами самого клиента. В случае с unix использую nsupdate.
Вариант №2 не подходит, т.к. удаленные клиенты точно не смогут получать параметры сети через интернет, из другой сети ) Есть в роутере функция PPTP и OpenVPN сервера, но насколько я понял, преимуществ это не даст, ведь они также не смогут автоматически регистрироваться в любом DNS, да и не думаю что VPN сервер на роутере рассчитан на 40+ клиентов.
Утром, после бессонной ночи настройки 2008R2, довольно сложно выражать технические мысли, собственно как итог, вопрос- есть ли реальный способ настроить автоматическую регистрацию VPN клиентов в DNS?