2003 Server sp2 R2 подключение компьютеров в домен из других подсетей
 

Имеется распределённая сеть на 6 подсетей с адресами :
10.64.0.0/24
10.64.16.0/24
10.64.48.0/24
10.66.0.0/24
10.67.0.0/24
10.68.0.0/24
КД на базе 2003 Server sp2 R2 расположен в первой подсетке с адресом 10.64.0.4 Имя домена "uk.bc"

Выполняет функцию Контроллера , Файл сервера (для своей подсети) и DNS

Подсети соединены ADSL линиями (через провайдера)
Маршрутизируются через CISCO
В своей подсети КД виден и все нормально
при регистрации в нем машин из других подсетей выходит ошибка "Сетевая папка недоступна. За разрешением проблем обратитесь к справочной системе Windows"

видимость нужна для организации применения общих групповых политик и управления доступом.
обеднение подсетей в единую подсеть не представляется возможным

пинг по имени домена (uk.bc) идет без проблем
Установка WINS проблемму не решила.

P.S.: на форуме не нашёл ответа на этот вопрос

Забыл указать что физически подсети друг от друга удалены на достаточное расстояние , установка отдельного КД в каждой подсети не целесообразна (на 15 машин в среднем, кроме первой подсети)

пропадает доступ к первой сети - все остальные 5 - остаются без работы, т.к. нет ДК.

Суть организации такова что почта - централизована, основное по стоит так же на сервере,
и в случае падения сети в 1й сети - в любом случае работы нету - во первых
во-вторых: на практике проверено что при отключении домена (падении) машины продолжают работать и так же могут входить в сеть , т.к. пароли и данные групповых политик сохраняются при входе локально , и временное отсутствие КД не чревата серьёзными проблемами , тогда как падение сетки в 1й подсети само по себе червато простоем всего предприятия

за последние пол года падение сети наблюдалось только по причине сбоя Электропитания притом всего 1 раз.

а почте не всё равно где быть?

Я вот подумываю, может вам объеденить все сети с помощью VPN, и от этого уже настраивать домен.

VPn не поставить. так как мои 6 подсетей - это лишь один из 40 офисов компании
и вносить изменений в структуру корпоративной сети я не имею права а на уровне компании этого делать не кто не будет.

Мне б конкретно решение данной проблемы. чисто включить в домен машины из других подсетей.
т.е. как настроить сервак, а не перестраивать подсети и придумывать чтото нове когда и так все более менее работает.

извините, но у вас её нет.
а я не прошу перестраивать. Вы просто делаете "надстройку". Для пользователей это будет прозрачно.

1. Сеть зависит от првайдера так как у него есть опред требования
2. вся структура сети разработана головной организацией и все Цыски так же админятся ими
3. привнедрении ВПН и прочего без перемаршрутизации не обойтись
4. я не спрашиваю как обойти проблему, а как решить конкретную задачу.

Для начала попробуйте открыть \\uk.bc\netlogon, \\uk.bc\sysvol. Узнайте у тех, кто цисками рулит какие порты открыты и покажите им вот это http://www.winblog.ru/2006/10/23/23100609.html.

Я еще слышал что могут быть проблемы из за ната, хотя у меня и через нат работало нормально.

Не открывает, если указываю по IP адресу то открывает ( \\10.64.0.4\netlogon )
Пинг на uk.bc идет нормально по имени , в ДНСке находит.

на \\uk.bc\sysvol - пишет не "найдет сетевой путь"
на \\uk.bc\netlogon - пишет не "сетевая папка недоступна"
из своей подсети все нормально открывает

Проверьте днс суффикс клиента

Прописан.
уже все перепроверил DNS, WINS, Политики, Гдета должна быть загвоздка
Завтра буду смотреть на счет портов на CISCах

но что-то мне кажется, что дело не в этом

Видимо никто ничего не может посоветовать...

У вас скорее всего проблема с DNS. Можете по подробнее рассказать о насройках DNS сервера у клиентов которых вы пытаетесь подключить? Как у клиента сконфигурировано?

ДНС изначально настроен вместе с установкой АД. как говорится все параметры как в справочниках и инструкциях от МС сделано.
фактически сервер видит нормально и по имени и по адресу:
видит по следующим обращениям uk.bc и ukserv.uk.bc

Проверили админы-сетевики все необходимые порты на Циско, они открыты

какой IP возвращают команды (10.64.0.4 ?):
--- ДНС
PING uk.bc
PING ukserv.uk.bc
--- WINS
PING uk
PING ukserv

возвращает 10.64.0.4 как из свой так и из других подсетей
ток в локалке срабатывает в своей подсети, возвращает 10.64.0.4
из другой подсети пишет узел не найден

это значит, что ДНС отрабатывает, теперь надо, чтобы "поиск компьютеров" находил uk.bc и ukserv.uk.bc по именам, а не только по IP. (для этого и нужны некоторые порты)
еще надо бы проверить суффиксы в настройке протокола IP.
желательно посмотреть ipconfig /all на станциях в неподключаемых подсетях.

по ДНС странно если по IP входит, а по имени нет - резолвится вроде нормально... может сканером порты пробить?

но из последнего видно, что WINS точно не работает - через "IPCONFIG /ALL" проверь, чтобы IP WINS-сервера был проставлен на всех станциях и серверах, потом зайти в MMC-консоль WINS и проверить какие хосты зарегились на WINS-сервере, какие нет... ручная перерегистрация станции: "NBTSTAT -RR"

IPCONFIG /ALL

Настройка протокола IP для Windows 2000

Имя компьютера . . . . . . . . . : fileserver
Основной DNS суффикс . . . . . . : UK
Тип узла . . . . . . . . . . . . : Гибридный
Включена IP-маршрутизация . . . . : Нет
Доверенный WINS-сервер . . . . . : Нет
Порядок просмотра суффиксов DNS . : UK

Адаптер Ethernet Подключение по локальной сети:

DNS суффикс этого подключения . . : uk.bc
Описание . . . . . . . . . . . . : VIA Rhine II Fast Ethernet Adapter
Физический адрес. . . . . . . . . : 00-0D-87-63-61-86
DHCP разрешен . . . . . . . . . . : Нет
IP-адрес . . . . . . . . . . . . : 10.64.16.71
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 10.64.16.1
DNS-серверы . . . . . . . . . . . : 10.64.0.4
Основной WINS-сервер . . . . . . : 10.64.0.4

на WINS не видать чтоб они зарегился (мучаю 2 машины из удаленной подсети)

le_xa4

возьми порт-сканер типа SuperScan и пробей КД из удаленной сети, должно получиться где-то так:

Live hosts this batch: 1

10.64.0.4
Hostname: [fileserver]
TCP ports (13) 53,88,135,139,389,445,593,636,1026,1027,2301,3268,3389
UDP ports (6) 53,123,137,138,445,500

______________________________________________

Total live hosts discovered 1
Total open TCP ports 13
Total open UDP ports 6

...и сравни список доступных портов со списком требуемых (особо смотри порты 135,137,139,445):
Службы и сетевые порты в серверных системах Microsoft Windows

З.Ы. Для SuperScan в опциях TCP вместо "SYN" поставить "Connect", для UDP можно "Data+ICMP"

получилось примерно следующее :

P.S.: Домен видит, как домен определяет, при подключении запрашивает учетку и пароль с правами присоединения к домену.
в итоге говорит :
"При присоединение к домену uk.bc произошла следующая ошибка:
Не найден сетевой путь."

Хотя в тоже время сканер выдает такое при сканировании Windows Enumeration:

le_xa4
сравни со сканом из подсети КД, куда делся 445-й TCP?.. по нему как раз шары работают

Сравнил : абсолютно идентично
так же :
TCP ports (11) 53,88,135,139,389,593,636,1025,1027,3268,3389
UDP ports (6) 53,123,137,138,445,500

445 в UDP портах

445 TCP нет ни в тойже подсети ни из другой

БрэндМауэр отключен

Извиняюсь.
Оказывается на локальной машине прописана была маршрутизация жосткоя что в своей подсети тоже через CISCO гулял.
в локалке есть порт 445
спасибо за подсказки
буду куртить цыскарей на расшару 445го порта

le_xa4
про TRACERT тоже подмывало спросить :)
...а WINS все-таки настрой - штука полезная, без него в сетевом окружении будет только подсеть
заходи ;)

без него не правильно будут работать Винды до 2000. Если вы у себя в сети используете только 2000, ХР и 2003 - то WINS не нужен.

Исправь. Порядок просмотра должен быть: uk.bc
Это "свойства протокола IP/ дополнительно/ ДНС"

exo, смотря для чего, посмотри хоть тут: Проблема доступа к расшаренным ресурсам из другой подсети

караз и 2000 уже осталось еденицы машин 10 , ниже нет вообще

исправил
но все так же.
цыскари обещали открыть порт TCP 445 - посмотрим решит ли это проблему