Не могу заводить в домен из другого Vlan
 

Добрый день!

Создал отдельный vlan для пользователей внутри одной организации.
Прокинул DHCP-релей в эту подсеть через UserGate.

Требования такие что необходимо разделить серверную подсеть (где DC и другие сервера ) и пользовательскую.

Имеем:
192.168.0.0/24 - серверная
192.168.1.0/24 - пользовательская

Я завожу станцию (Виртуалка) в 192.168.1.0/24 получаю адрес из диапазона DHCP 192.168.1.50.

В DNS прописываю обратную зону.

Все пингую, всех пингую.

Далее пытаюсь ввести в домен... (Скрин приложил)

Не понимаю как подружить эту подсеть с dns сервером.

В дополнение еще скрин nltest /dsgetdc

Фильтрация трафика между VLAN в UserGate есть?

Нет, по умолчанию блочит только 137 и 138 порты.

Разрешите между VLAN'ами следующий трафика:
135/tcp, 135/udp - RPC endpoint mapper
1024-65535/tcp - RPC dynamic assignment
445/tcp, 445/udp - Server message block (SMB) over IP (Microsoft-DS)
389/tcp - LDAP
389/udp - LDAP ping
636/tcp - LDAP over SSL
88/tcp, 88/udp - Kerberos
53/tcp1, 53/udp - Domain Name Service (DNS)

А вот трафик NetBIOS не будет ходить между VLAN'оми. NetBIOS хоть и протокол сетевого уровня (L2 OSI), но не маршрутизируемый. Работает только в пределах широковещания (Broadcast domain).

137/tcp, 137/udp - Network basic input/output system (NetBIOS) name service
138/udp - NetBIOS datagram service
139/tcp - NetBIOS session service

Для разрешения NetBIOS имён не плохо бы поднять WINS или хотя бы Global Name Zone на DNS сервере, т.е. контролере домена.

Как я написал ранее как таковой фильтрации между подсетями нет.
Сеть еще не введена в бой и не будет введена пока я не разберусь почему я не могу ввести в домен машину.
Нашел инфу что еще нужно ввести подсеть в "Сайты-службы".

Продолжаю копать, но пока только стены.

Я еще не связывался с этой службой, почитаю (wins)

Глобальная зона есть, в нее попадают имена из двух подсетей (в этих подсетях по контроллеру домена).

Не помогло.

asaut,

Начните сначала.

1) На машине, которую вы хотите ввести в домен, и которая находится в ином VLAN"е, отличном от того, где находится контроллер домена, какие настройки сетевого адаптера? А конкретно настройки DNS? В качестве DNS должен быть указан IP адрес вашего контроллера домена, находящегося в другом VLAN'е.

2) Попробуйте на машине, которую хотите ввести в домен, разрешить (resolve) имя вашего домена. Что скажет nslookup или ping? Должен возвращаться IP адрес контроллера домена.

Скрины прикрепил, надеюсь наглядно. Все имена пингуются.

Начало.

Нужно отделить подсеть с пользаками в отдельный vlan.
На руках ядро сети в виде UserGate и два Microtik работающиx в моде Bridge как коммутаторы.
Поднял виртуализацию на Proxmox в нее добавил две сети 168 и 12 (168 будет серверная в ней один из двух контроллеров, 12 юзерская).
В UG поднял подсеть (внутри инфраструктуры правила any-any), настроил dhcp-релей для 12 подсети из 168, на Microtik настроена подсеть.
В Proxmox настроен мост в 12 подсеть и поднята виртуалка на win10.

И вот прям везде все ходит dns, dhcp и тд и тп.

Но при введении в домен вылетает такое окно как на скрине.

В DNS запись PTR создается...


Ранее я установил сервак win srv 2022 для контроллера unifi и принт сервера. Также не мог зайти в домен, потом перевел виртуалку в 168 сеть там ввел ее в домен (создалась запись A в DNS) и вывел обратно в 12 подесть и все работает отлично...

Вот что говорят эти две виртуалки.

Снимок4 эту я ввел в домен как писал выше

Снимок5 эту я пытаюсь ввести

Всему виной SingleLabelDomain. Имя без точки... Мне как и автору который нашел решение достался такой домен как есть...

"Чтобы члены домена Active Directory использовали систему DNS для обнаружения контроллеров домена в доменах, которые находятся в других лесах и имеют DNS-имена, состоящие из одной метки, выполните следующие действия.
Выберите в меню Пуск пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
На правой панели окна редактора реестра найдите параметр AllowSingleLabelDnsDomain. Если параметр AllowSingleLabelDnsDomain отсутствует, выполните следующие действия:
В меню Правка выберите пункт Создать, а затем – Параметр DWORD.
Укажите в качестве названия параметра AllowSingleLabelDnsDomain и нажмите клавишу ВВОД.
Дважды щелкните параметр AllowSingleLabelDnsDomain.
В поле Значение введите 1 и нажмите кнопку ОК"