[cameron]

Цитата pavsem7:

1)Могут ли быть компьютеры из разных подсетей в одном домене »

могут.

Цитата pavsem7:

и как это отображается в ДНС? »

цифрами, как и всё в DNS.

Цитата pavsem7:

или в белой сети? »

не рекомендуется.

Цитата pavsem7:

)Можно ли для безопасности поставить Exchange Server с windows 2008R2 далеко в интернете »

можно, хотя какая безопасность?

Цитата pavsem7:

на арендованном белом ip-адресе, но чтобы он был членом домена, как member server(так Microsoft рекомендует)? »

правильно сдлеать там отдельный сабнет вашего домена AD.

[El Scorpio]

Цитата pavsem7:

1)Могут ли быть компьютеры из разных подсетей в одном домене »

Могут. Однако нужно прописать маршруты к другим подсетям.
Например при раздаче адресов через DHCP нужно использовать параметр №254

Цитата pavsem7:

как это отображается в ДНС? »

В прямой зоне для преобразования "Имя DNS -> IP-адрес" это отображается обычным образом.
А для преобразования "IP-адрес -> Имя DNS" для каждой подсети создаётся своя обратная зона.

Цитата pavsem7:

а контроллер домена находится в 10.*.*.* »

При наличии двусторонней маршрутизации никакой проблемы нет.
А при NAT-маршрутизации, когда маршрутизатор блокирует доступ к "внутренней" сети, администратор домена как минимум не сможет устранять проблемы на клиентских компьютерах.

Цитата pavsem7:

или в белой сети»

А это ещё зачем?
Во-первых, это небезопасно для самого контроллера домена.
Во-вторых, многие протоколы локальных сетей не шифруются, а значит их использование на просторах интернета небезопасно.
В-третьих, сам домен окажется спрятанным за NAT (см. выше)
Если КД находится где-то далеко от одного из сегментов сети, то проще сделать шифрованный канал VPN между сетью филиала и сервером.

Цитата pavsem7:

2)Можно ли для безопасности поставить Exchange Server с windows 2008R2 далеко в интернете на арендованном белом ip-адресе, но чтобы он был членом домена, как member server(так Microsoft рекомендует)? »

Как минимум, Outlook и прочие клиенты Exchange у вас будет работать очень медленно.
А безопасность здесь будет исключительно физическая - размещение сервера в датацентре защитит от пожаров и других ЧП в офисе фирмы.

Лучше для работы использовать локальный сервер, а в удалённом датацентре арендовать сервер для хранения ежедневных архивов и текущих реплик баз данных.

[cameron]

Цитата El Scorpio:

Например при раздаче адресов через DHCP нужно использовать параметр №254 »

это что за такая новая опция? если вы говорите о маршрутах, то это 121 или 249 опция. зависит от целевых ОС.

Цитата El Scorpio:

А для преобразования "IP-адрес -> Имя DNS" для каждой подсети создаётся своя обратная зона. »

её должен создать администратор DNS сервера, сама она не создаётся.

Цитата El Scorpio:

При наличии двусторонней маршрутизации никакой проблемы нет. »

а бывает односторонняя маршрутизация?

Цитата El Scorpio:

А при NAT-маршрутизации, »

не нужно путать новичков - "NAT-маршрутизации" не существует как понятия или термина. NAT это NAT.

[pavsem7]

Цитата El Scorpio:

А при NAT-маршрутизации, когда маршрутизатор блокирует доступ к "внутренней" сети, администратор домена как минимум не сможет устранять проблемы на клиентских компьютерах. »

Я так попробовал и действительно из домена не зайти, хотя сервер зарегистрировался в DNS домена сам при присоединении к домену (и в обратной зоне ptr создался).
Но такая схема для Exchange неработоспособна - невозможно будет и клиентским компьютерам забирать почту, хоть сервер по адресу будет спрятан.

Цитата El Scorpio:

А это ещё зачем? Во-первых, это небезопасно для самого контроллера домена. Во-вторых, многие протоколы локальных сетей не шифруются, а значит их использование на просторах интернета небезопасно. В-третьих, сам домен окажется спрятанным за NAT (см. выше) »

В белой сети хочется разместить не контроллер домена, а сервер с Exchange, чтоб к нему был доступ и с домашних мобильников, а сам домен, спрятанный за NAT тоже будет получать с него почту и будет в безопасности.
Если ставить Exchange внутри NAT, то будет подвергаться опасности домен и из дома почту не принять.

Цитата:

Как минимум, Outlook и прочие клиенты Exchange

Разве Exchange может обслуживать других клиентов, например, TheBat ? В матрице Майкрософт написано, что только Outlook и Windows phone. https://technet.microsoft.com/ru-ru/...xchg.150).aspx (раздел клиенты)

Цитата El Scorpio:

А безопасность здесь будет исключительно физическая - размещение сервера в датацентре защитит от пожаров и других ЧП в офисе фирмы. »

Это главное - безопасность от бандитов и полиции.

[El Scorpio]

Цитата cameron:

Цитата El Scorpio: При наличии двусторонней маршрутизации никакой проблемы нет. » а бывает односторонняя маршрутизация? Цитата El Scorpio: А при NAT-маршрутизации, » не нужно путать новичков - "NAT-маршрутизации" не существует как понятия или термина. NAT это NAT. »

Имеется в виду маршрутизация равнозначных подсетей без использования NAT, при которой все устройства из подсети А могут получить доступ ко всем устройствам подсети Б и наоборот.
А также маршрутизация с использованием NAT, при которой устройства из "внутренней" подсети А могут получить доступ к устройствам из "внешней" подсети Б, используя "внешний" адрес самого маршрутизатора, а от "внешней" подсети Б к "внутренней" подсети А доступ блокируется по принципом работы NAT.
-----------------------------

Цитата pavsem7:

Разве Exchange может обслуживать других клиентов, например, TheBat ? В матрице Майкрософт написано, что только Outlook и Windows phone. https://technet.microsoft.com/ru-ru/...xchg.150).aspx (раздел клиенты) »

К почтовому серверу Microsoft Exchange можно подключиться любой почтовой программой, использующей стандартные протоколы SMTP и IMAP/POP3. Разумеется, в этом случае клиенты будут иметь доступ только к электронной почте без "общих" адресных книг, календарей и остальных возможностей.
Однако администратор сервера может заблокировать использование этих почтовых протоколов, и тогда к серверу смогут подключиться только клиенты Microsoft, использующие закрытые алгоритмы через HTTPS.

Цитата pavsem7:

Если ставить Exchange внутри NAT, то будет подвергаться опасности домен и из дома почту не принять. »

Опасности для домена никакой нет, потому что для работы Exchange достаточно настроить на маршрутизаторе "проброс" только нужных портов к внутреннему адресу почтового сервера.

Скрытый текст

Цитата pavsem7:

Цитата El Scorpio: А безопасность здесь будет исключительно физическая - размещение сервера в датацентре защитит от пожаров и других ЧП в офисе фирмы. » Это главное - безопасность от бандитов и полиции. »

Не беспокойтесь, даже если вы разместите сервера в каком-нибудь гондурасе, нужные люди всё равно легко узнают пароль путём терморектального криптоанализа

Вообще-то не вижу смысла изолировать один лишь почтовый сервер.
Гораздо лучше в таком случае разместить в датацентре и контроллер домена, и терминальный сервер, а в офисе оставить только кучу "тонких клиентов" и VPN-маршрутизатор, обеспечивающий устойчивую связь с серверами в датацентре по шифрованному каналу.

[cameron]

Цитата El Scorpio:

Имеется в виду маршрутизация равнозначных подсетей без использования NAT, при которой все устройства из подсети А могут получить доступ ко всем устройствам подсети Б и наоборот. А также маршрутизация с использованием NAT, при которой устройства из "внутренней" подсети А могут получить доступ к устройствам из "внешней" подсети Б, используя "внешний" адрес самого маршрутизатора, а от "внешней" подсети Б к "внутренней" подсети А доступ блокируется по принципом работы NAT. »

мне очень хочется с вами поругаться, начиная со словосочетания "равнозначных сетей", но я не буду.
а вас попрошу не писать таких терминов (и "NAT-машрутизации" тоже), пока в rfc 1812 не появится слова NAT и "равнозначные сети".