[asaut]

В дополнение еще скрин nltest /dsgetdc

[Denis Dyagilev]

Фильтрация трафика между VLAN в UserGate есть?

[asaut]

Цитата Denis Dyagilev:

Фильтрация трафика между VLAN в UserGate есть? »

Нет, по умолчанию блочит только 137 и 138 порты.

[ratibor79]

Цитата asaut:

Нет, по умолчанию блочит только 137 и 138 порты. »

Разрешите между VLAN'ами следующий трафика:
135/tcp, 135/udp - RPC endpoint mapper
1024-65535/tcp - RPC dynamic assignment
445/tcp, 445/udp - Server message block (SMB) over IP (Microsoft-DS)
389/tcp - LDAP
389/udp - LDAP ping
636/tcp - LDAP over SSL
88/tcp, 88/udp - Kerberos
53/tcp1, 53/udp - Domain Name Service (DNS)

А вот трафик NetBIOS не будет ходить между VLAN'оми. NetBIOS хоть и протокол сетевого уровня (L2 OSI), но не маршрутизируемый. Работает только в пределах широковещания (Broadcast domain).

137/tcp, 137/udp - Network basic input/output system (NetBIOS) name service
138/udp - NetBIOS datagram service
139/tcp - NetBIOS session service

Для разрешения NetBIOS имён не плохо бы поднять WINS или хотя бы Global Name Zone на DNS сервере, т.е. контролере домена.

[asaut]

Цитата ratibor79:

Разрешите между VLAN'ами следующий трафика »

Как я написал ранее как таковой фильтрации между подсетями нет.
Сеть еще не введена в бой и не будет введена пока я не разберусь почему я не могу ввести в домен машину.
Нашел инфу что еще нужно ввести подсеть в "Сайты-службы".

Продолжаю копать, но пока только стены.

Цитата ratibor79:

Для разрешения NetBIOS имён не плохо бы поднять WINS или хотя бы Global Name Zone на DNS сервере, т.е. контролере домена. »

Я еще не связывался с этой службой, почитаю (wins)

Глобальная зона есть, в нее попадают имена из двух подсетей (в этих подсетях по контроллеру домена).

[asaut]

Цитата ratibor79:

не плохо бы поднять WINS или хотя бы Global Name Zone »

Не помогло.

[ratibor79]

asaut,

Начните сначала.

1) На машине, которую вы хотите ввести в домен, и которая находится в ином VLAN"е, отличном от того, где находится контроллер домена, какие настройки сетевого адаптера? А конкретно настройки DNS? В качестве DNS должен быть указан IP адрес вашего контроллера домена, находящегося в другом VLAN'е.

2) Попробуйте на машине, которую хотите ввести в домен, разрешить (resolve) имя вашего домена. Что скажет nslookup или ping? Должен возвращаться IP адрес контроллера домена.

[asaut]

Цитата ratibor79:

1) На машине, которую вы хотите ввести в домен, и которая находится в ином VLAN"е, отличном от того, где находится контроллер домена, какие настройки сетевого адаптера? А конкретно настройки DNS? В качестве DNS должен быть указан IP адрес вашего контроллера домена, находящегося в другом VLAN'е. 2) Попробуйте на машине, которую хотите ввести в домен, разрешить (resolve) имя вашего домена. Что скажет nslookup или ping? Должен возвращаться IP адрес контроллера домена. »

Скрины прикрепил, надеюсь наглядно. Все имена пингуются.

[asaut]

Цитата ratibor79:

Начните сначала. »

Начало.

Нужно отделить подсеть с пользаками в отдельный vlan.
На руках ядро сети в виде UserGate и два Microtik работающиx в моде Bridge как коммутаторы.
Поднял виртуализацию на Proxmox в нее добавил две сети 168 и 12 (168 будет серверная в ней один из двух контроллеров, 12 юзерская).
В UG поднял подсеть (внутри инфраструктуры правила any-any), настроил dhcp-релей для 12 подсети из 168, на Microtik настроена подсеть.
В Proxmox настроен мост в 12 подсеть и поднята виртуалка на win10.

И вот прям везде все ходит dns, dhcp и тд и тп.

Но при введении в домен вылетает такое окно как на скрине.

В DNS запись PTR создается...


Ранее я установил сервак win srv 2022 для контроллера unifi и принт сервера. Также не мог зайти в домен, потом перевел виртуалку в 168 сеть там ввел ее в домен (создалась запись A в DNS) и вывел обратно в 12 подесть и все работает отлично...