информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Портрет посетителяВсе любят мед
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Oracle выпустила срочный патч для... 
 Атака на WPA2 
 Outlook полгода отправлял зашифрованные... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Вчера писал второпях, сегодня по-подробнее 18.11.04 20:13  Число просмотров: 2323
Автор: allum Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Вчера писал второпях, сегодня по-подробнее
Значит так, если в двух словах процесс включения в домен проходит следующим образом
1) включаемый ПК под W2K и выше сначала запрашивает DNS о наличии домена, местонахождении контроллеров и способах подключения к AD через LDAP
2) пытается подключится к AD через LDAP
если соединение устанавливается то далее используя привилегии обычно администратора домена (получает UID в домене и прописывает ПК в AD)

Теперь выводы из экспериментов

> > Так что на s34kassa2 запусти еще раз команды подряд не
> > меняя сетевых настироек
> > ipconfig /all
> > <получаем ответ1>
> Настройка протокола IP для Windows
>
> Имя компьютера . . . . . . . . . : s34kassa2
> Основной DNS-суффикс . . . . . . :
> Тип узла. . . . . . . . . . . . . : неизвестный
> IP-маршрутизация включена . . . . : нет
> WINS-прокси включен . . . . . . . : нет
>
> Подключение по локальной сети - Ethernet адаптер:
>
> DNS-суффикс этого подключения . . :
> Описание . . . . . . . . . . . . : Realtek RTL8139
> Family PCI Fast Eth
> rnet NIC
> Физический адрес. . . . . . . . . :
> 00-40-F4-8E-7B-23
> Dhcp включен. . . . . . . . . . . : нет
> IP-адрес . . . . . . . . . . . . : 192.168.1.22
> Маска подсети . . . . . . . . . . : 255.255.255.0
> Основной шлюз . . . . . . . . . . : 192.168.1.108
> DNS-серверы . . . . . . . . . . . : 192.168.1.31
> 192.168.1.18
> >


1) Для начала проверяем маршрутизацию в сети

> > tracert 192.168.1.31
> > <получаем ответ2>
> Трассировка маршрута к servertd1.domtd.ru [192.168.1.31]
> с максимальным числом прыжков 30:
>
> 1 15 ms 17 ms 15 ms servertd1.domtd.ru
> [192.168.1.31]
>
> Трассировка завершена.

ВЫВОД 1: маршрутизация в порядке (хотя какая там маршрутизация, здесь ADSL модем выступает в качестве моста).

2) Далее проверяем разрешение имен на клиенте

> > ping servertd1
> > <получаем ответ3>
> При проверке связи не удалось обнаружить узел servertd1.
> Проверьте имя узла и по
> вторите попытку.

ВЫВОД 2: NetBIOS имена не разрешаются ( по всей видимости модем режет широковещательные запросы)Но это для данной задачи не критично, если имена разрешаются DNS-имена

> > ping servertd1.domtd.ru
> Обмен пакетами с servertd1.domtd.ru [192.168.1.31] по 32
> байт:
>
> Ответ от 192.168.1.31: число байт=32 время=15мс TTL=128
> Ответ от 192.168.1.31: число байт=32 время=15мс TTL=128
> Ответ от 192.168.1.31: число байт=32 время=13мс TTL=128
> Ответ от 192.168.1.31: число байт=32 время=14мс TTL=128
>
> Статистика Ping для 192.168.1.31:
> Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0%
> потерь),
> Приблизительное время приема-передачи в мс:
> Минимальное = 13мсек, Максимальное = 15 мсек, Среднее =
> 14 мсек

ВЫВОД 3: DNS имена разрешаются – хорошо

3) Проверяем возможность подключения к AD через ldap
> >
> > telnet 192.168.1.31 ldap
> Подключение к 192.168.1.31...Не удалось открыть подключение
> к этому узлу, на пор
> т ldap: Сбой подключения

ВЫВОД 4: ХРЕНОВО.
как уже писал NKritsky :" Если нет ldap-соединения с ДЦ, то нифига не выйдет. Проверяй роутинг, наличие и настройки фаерволов на пути от клиента к ДЦ"

Нужно искать где режутся соединения на порт 389 (ldap), иначе нормальной жизни в домене не будет.

4) Далее уже не так интересно, но все-таки прокомментирую
Проверяем настройки самого DNS сервера на наличие необходимых записей о домене

> > на сервере servertd1
> >
> C:\Documents and Settings\Администратор.DOMTD>nslookup
> Default Server: servertd2.domtd.ru
> Address: 192.168.1.32
>
> > server 192.168.1.31
> Default Server: servertd1.domtd.ru
> Address: 192.168.1.31
>
> > set type=any
> > _ldap._tcp.dc._msdcs.domtd.ru
> Server: servertd1.domtd.ru
> Address: 192.168.1.31
>
> _ldap._tcp.dc._msdcs.domtd.ru SRV service location:
> priority = 0
> weight = 100
> port = 389
> svr hostname = servertd1.domtd.ru
> _ldap._tcp.dc._msdcs.domtd.ru SRV service location:
> priority = 0
> weight = 100
> port = 389
> svr hostname = servertd2.domtd.ru
> servertd1.domtd.ru internet address = 192.168.1.31
> servertd2.domtd.ru internet address = 192.168.1.32

ВЫВОД 5: обязательные записи о местоположении AD есть - хорошо

> > domtd.ru
> Server: servertd1.domtd.ru
> Address: 192.168.1.31
>
> domtd.ru internet address = 192.168.1.31
> domtd.ru internet address = 192.168.129.220
> domtd.ru internet address = 192.168.1.32
> domtd.ru internet address = 192.168.1.140
> domtd.ru nameserver = servertd1.domtd.ru
> domtd.ru nameserver = servertd2.domtd.ru
> domtd.ru
> primary name server = servertd1.domtd.ru
> responsible mail addr = admin.domtd.ru
> serial = 617
> refresh = 900 (15 mins)
> retry = 600 (10 mins)
> expire = 86400 (1 day)
> default TTL = 3600 (1 hour)
> servertd1.domtd.ru internet address = 192.168.1.31
> servertd2.domtd.ru internet address = 192.168.1.32
> >
ВЫВОД 6: тоже все хорошо - DNS сервера, контроллеры домена

ИТОГО:
1) Нужно искать, где режутся соединения на порт 389 (ldap).

2)В настройках клиента для чистоты экспериментов DNS д.б. 192.168.1.31 ( уже проверенный)
3)Имя домена при подключении пишем полностью DOMTD.RU (так как имена разрешаются только через DNS)

4) КСТАТИ еще раз просмотрел всю ветку и подумал, в принципе если тебе в конечном итоге нужен только коннект с сервером 1С то машину в домен включать не обязательно. Можно прописать соединение с сервером 1С от имени доменного пользователя в хранилище паролей и задача решена, но лучше п.1
<sysadmin> Поиск 








Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2017 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach