Помогите разобраться с сетями!
 

Добрый день!
Немного я запутался в решении одной важной задачи для моей организации, поэтому прошу помощи что бы разъеснили что по чем и как лучше все сделать!?
Опишу что требуется и какие условия есть. :)
1)Есть головная конторая (в которой сижу я) Есть свой домен с именем Domain1.local на win2k3 sp2 (в сети 60 компов) внутренняя адресация 192.168.0.x,
имеется отдельный прокси-сервер win2k3 с Isa Server 2006 и выделенный канал для интернета по оптике (соответственно на Исе два сетевых интерфейса).
2)Есть филиал головной конторы у них тоже стой доме Domain2.local (филиал находиться в другом здании через дорогу на расстояние 300 метров) на win2k3 sp2 (в сети 28 компов) внутренняя адресация 192.168.1.x, у них тоже имеется выделенный прокси-сервер win2k3 с Isa Server 2006 и выделенный канал для интернета по ADSL (соответственно на Исе тоже два сетевых интерфейса).
3) Пока я был в отпуске контора моя заключила договор с провом на протяжку отдельного кабеля оптики на 1мегабит от головного офиса до филиала для соединения двух сетей филиала и головного офиса (прицем протяжка бесплатна....и только для внутреннего сетевого трафика) они его завели одним концом к нам вторым в филиал.

Теперь передомной поставили задачу:
-объеденить сети филиала и головного офиса.
-что на моем серваке был отдельный сетевой диск для обмена инфой между головным офисом и филиалом и в филиале тоже отдельный сетевой ресурс откуда с головного офиса один отдел должен забирать отчеты (соответственно что бы к нему могли иметь доступ пользователи домена филиала Domain2.local и пользователи моего домена Domain1.local) но интернет как был настроен раньше что бы так все и оставалось).

Теперь мои вопросы и мои непонятки:
Для реализации поставленных задач что лучше подойдет и было бы правельнее?:
1)Разные домены что в головном офиссе что в филиале, что сделать:
-установить доверительные отношения между разными доменами разных лесов?
-создать дочерний домен в существующем моем дереве в моем лесе т.е. что бы было у меня домен в моем дереве Domain1.local а в филиале Domain2.Domain1.local?????
при таком варианте измениться ли структура АД (в любом случае измениться т.к. поменяеться имя домена а соответсвенно и FQDN) у меня и в филиале или все пройдет безболезненно и не заметно для пользователей обоих доменов или все таки будут трудности???
- как это все организовать физически т.к. появился отдельный кабель (НЕ ЧЕРЕЗ ИСЫ и не ЧЕРЕЗ ИНЕТ) его можно вставить на разных сторонах в сетевые свечи и настроить домены или что то нужно есть...помогите и подскажите как это реализовать физически с этим отдельных кабелем....что установить программно какие службы или что еще???
PS: Все серваки контроллеры домена в головном офиссе и в филиале имеют по два сетевых интерфейса (но естественно задействован всего один) :)

Буду рад любой конкретной помощи и любым разумным предложениям!!!
Спасибо!

Да. Домены должны быть 2003 Native.

Через свитчи соединить два домена. На всех компьютерах (*можно с помощью netsh скрипта) прописать дополнительный маршрут
route add -p 192.168.1.0 mask 255.255.255.0 192.168.0.254, к примеру, где 192.168.0.254 - адрес свитча или маршрутизатора.
То же самое - в другом домене.

правильно ли я понял:
1)есть два модема (моршрутизатора, забыл написать об этом) соответственно один в филиале другой в офисе, настраиваю эти модемы что видели друг друга
2) Настраиваю на их сетевых интерфейсах локалку к которым они подрублены (так же на них можно прописать маршрут в нутри, это нужно будет?)
3) добавляю через ДХЦП статический маршрут из одной сети в другую
3) устанавливаю доверительные отношения между доменами
толучаю свои результат!? :)

а лучше всетаки сделать доверительные отношения или же создать дочерний домен в существующем моем дереве в моем лесе или вообще переделать домен филиала под добавочный DC и везде будет просто один домен....а база и так бедет реплицироваться...так что пользователи филиала буду авторизацию проходить на своем добавочном серваке.....как такой вариант может прокатить???

Вообще проще сделать маску 255.255.0.0 в обоих доменах (они окажутся в одной подсети), установить доверительные отношения, и всё.

Ок, поднял ВПН, две сети соеденены :) пинги идут :) на обоих серваках в ДНС добавил дополнительную зону доменов и сделал пересылку друг другу :) ок.
Созда двух сторонии доверительные отношения между домена все хорошо проверка прошла на ура :)
Теперь то что мне немного не нравиться и то что неустраивает в принципе:
-когда делаешь пинг из сети филиала на комп в офисе по имени компа без полного FQDN имени то пинг не идет а если полность с доменным суфиксом то все гуд....ЭТО ТАК И ДОЛЖНО БЫТЬ?
-при подключении серваков по ВПН в ДНС получаеться у каждого сервака по два IP адреса один который в своей сети и второй который получает при подключении по ВПН...это ТОЖЕ НАРМАЛЬНО не будет путаницы в ДНС???
-особо важный, вроде бы создал двухсторонии доверительные отношения между двумя доменами, у пользователей при входе скриптом мапятся диски (в офисе своего сервака) и щас добавил сетевой ресурс филиала но он не подключается т..к требует имя пользователя и пароль филиального домена....это категарически мне нужно убрать (но в тоже время там настроено НТФС разрешения) т.е. доступ запрещен (даже пробовал делать всем все но тоже самое) подскажите что не так я сделал и что нужно изменить?
Спасибо

Да. к имени машины добавляется основной ДНС суффикс.
т.к. машина в другом домене (и, соответственно, в другой зоне) - надо использовать FQDN
Второй вариант - прописать в зоне 1го домена CNAME'ы для компов из 2го домена, и наоборот.
Например, в зоне DOMAIN1.LOCAL пописываем CNAME COMP54 -> COMP54.DOMAIN2.LOCAL
Тогда из 1го домена COMP54, находящийся в домене2, будет пинговаться по имени COMP54, COMP54.DOMAIN1.LOCALи COMP54.DOMAIN2.LOCAL
Но это, имхо, изврат

не будет, но лучше на интерфейсах VPN отключить регистрацию в ДНС

Проверь разрешения на ШАРУ, не на NTFS. Добавь туда явным образом группу Domain Users из другого домена. Кстати, в NTFS-разрешениях тоже =)
Или вообще просто тупо добавь в Domain Users каждого домена группу Domain Users соседнего домена =)

Всем Спасибо!
Я разобрался совсеми вопросами...все работает очень хорошо....все довольны :)
Теперь хочу усложнить задачу...сделать более правильно т.е. хочу создать один ЛЕС и одно дерево доменов
что бы в офисе был корень домена домен с именем domain1.local а в филиале поддомен моего домена в существующем дерева одного леса :)
с именем domain2.domain1.local или даже может сдалать из него добавочный контроллер домена к существующему моему....подскажи стоит ли это делать??? и как это можно сделать???
Просто если есть рызные домены (на DC в филиале предеться удлять роль контроллера домена и заново ее создавать но уже как поддомен моего, но тут потеря всей AD это плохо) и если делать довавочный DC к моему DC до все равно предеться удалять роль DC с потерей AD...а можно это все сделать без удаления ролей и потери AD?????

А обязательно делать дочерний домен?
Почему бы не поместить два домена с теми же именами, с которыми они сейчас есть, в один лес

Чтиво на ночь:
http://msforums.ph/blogs/jpaloma/arc...Princples.aspx
http://www.informit.com/articles/art...32080&seqNum=7
http://www.tutorials-win.com/ActiveD...rating-Active/
http://64.233.183.104/search?q=cache...lnk&cd=1&gl=ru

Можно было бы поместить эти домены в один лес....но хотелось бы что бы была иерархия....главный домен поддомен и дак далее...:) но спасибоб за идею и статьи очень полезные :)
Еще вопросик такой (руководству понравилось то что я объеденил две сети и настроил их для доспука к инфе, все балдеют очень удобно :) ) Решил тоже самое сделать и сдругими филиалами а их у меня еще три...везде стоит ИСА 2006 тако вот вопрос... начал все делать на исе поднимать VPN site-to-site по PPTP но у филиала внутренняя сетевая адресация как и у меня, можгут возникнуть проблемы и какие могут возникнуть проблемы при подключении двух сетей по VPN через ИСУ 2006???? а они наверняка буду и главное это наверное с маршрутизацией, и у меня и в филиале много компов везде ДХЦП стоит!?
Второй вопрос пока пытаюсь это настроить впринципе настраивал много раз на ИСЕ подключение VPN клиентов ни каких проблем не было а тут постоянно в логах на исе выходит ошибка RASMAN ".....наиболее вероятная причина брандмауэр или маршрутизатор между VPN-сервером и VPN-клиентом не разрешает передачу пакетов GRE протокола 47....." при подключении удаленного пользователя соединение с сервером идет...на этапе проверки имени и пароль через не которое время выходит ошибка сервер не отвечает на запрос, потом смотрю в логах ИСЫ получаю ошибку RASMAN....в первый раз с таким сталкиваюсь....но так понимаю это ошибка обычно связана с IPSec протоколом...но я его не использую.!?

Менять адресацию в филиале, тем более если там всё через dhcp раздается

Почитайте в первоисточнике: http://www.microsoft.com/technet/isa...tositevpn.mspx

На клиенте фаерволы отключены? Если включены - прописано разрешение для ?