информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Один сервер в двух доменах 16.12.02 17:15  Число просмотров: 2019
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
> Ситуевина собссно: есть ethernet network IT и industrial
> ethernet network, два домена с домен контроллерами и бэкап
> домен контроллерами сответственно, между подсетками
> гигабитный линк, со стороны IT сетки HP прокурвы 4000-е, со
> стороны industrial сетки два аваевских свитча в стэке -
> итого кольцо с редандэнси, в индастриал сетке кроме всего
> прочего есть сервер, включенный в аваевский стэк по
> оптоволокну, который должон присутствовать и в IT сетке.
> Решение вынести этого отщепенца в третий ресурсный домен со
> всеми вытекающими экономически невыгодно из-за вытекающих -
> еще одного домен и одного бэкап домен контроллера...
> Напрашивается вариант с двумя сетевухами в одном сервере...
> Но опыта такового не имею... Мож поделитесь своим - если
> кто пробовал. Или есть решение попроще? Заранее
> благодарна:)

Из всего сказанного про серверные ОС переносимого сервака и домена в который он войдет нефига нет, на чем стоит ДНС тоже не ясно. Не понятно так же является ли переносимый сервак членом домена в ndustrial ethernet network, тут тоже могут быть грабли.
Инфу давай, телепаты в отпуске :-))
<sysadmin>
Один сервер в двух доменах 16.12.02 12:14  
Автор: УбьюЛюбого Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Ситуевина собссно: есть ethernet network IT и industrial ethernet network, два домена с домен контроллерами и бэкап домен контроллерами сответственно, между подсетками гигабитный линк, со стороны IT сетки HP прокурвы 4000-е, со стороны industrial сетки два аваевских свитча в стэке - итого кольцо с редандэнси, в индастриал сетке кроме всего прочего есть сервер, включенный в аваевский стэк по оптоволокну, который должон присутствовать и в IT сетке. Решение вынести этого отщепенца в третий ресурсный домен со всеми вытекающими экономически невыгодно из-за вытекающих - еще одного домен и одного бэкап домен контроллера... Напрашивается вариант с двумя сетевухами в одном сервере... Но опыта такового не имею... Мож поделитесь своим - если кто пробовал. Или есть решение попроще? Заранее благодарна:)
Один сервер в двух доменах 16.12.02 17:15  
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
> Ситуевина собссно: есть ethernet network IT и industrial
> ethernet network, два домена с домен контроллерами и бэкап
> домен контроллерами сответственно, между подсетками
> гигабитный линк, со стороны IT сетки HP прокурвы 4000-е, со
> стороны industrial сетки два аваевских свитча в стэке -
> итого кольцо с редандэнси, в индастриал сетке кроме всего
> прочего есть сервер, включенный в аваевский стэк по
> оптоволокну, который должон присутствовать и в IT сетке.
> Решение вынести этого отщепенца в третий ресурсный домен со
> всеми вытекающими экономически невыгодно из-за вытекающих -
> еще одного домен и одного бэкап домен контроллера...
> Напрашивается вариант с двумя сетевухами в одном сервере...
> Но опыта такового не имею... Мож поделитесь своим - если
> кто пробовал. Или есть решение попроще? Заранее
> благодарна:)

Из всего сказанного про серверные ОС переносимого сервака и домена в который он войдет нефига нет, на чем стоит ДНС тоже не ясно. Не понятно так же является ли переносимый сервак членом домена в ndustrial ethernet network, тут тоже могут быть грабли.
Инфу давай, телепаты в отпуске :-))
Один сервер в двух доменах 16.12.02 18:01  
Автор: УбьюЛюбого Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Из всего сказанного про серверные ОС переносимого сервака
> и домена в который он войдет нефига нет, на чем стоит ДНС
> тоже не ясно. Не понятно так же является ли переносимый
> сервак членом домена в ndustrial ethernet network, тут тоже
> могут быть грабли.
> Инфу давай, телепаты в отпуске :-))

Все под W2K... сервер не переносится - просто должен быть в индастриал домене... и к нему д.б. доступ из айти нетворка для работы с конечными БД. В каждом домене свой домен контроллер и свой бэкап домен контроллер с ДНСом. Разнос на два домена обязателен, т.к. в индастриал критичен нечеловеческий реданданси:)
скорее один сервер в двух сетях 16.12.02 18:22  
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
> > Из всего сказанного про серверные ОС переносимого
> сервака
> > и домена в который он войдет нефига нет, на чем стоит
> ДНС
> > тоже не ясно. Не понятно так же является ли
> переносимый
> > сервак членом домена в ndustrial ethernet network, тут
> тоже
> > могут быть грабли.
> > Инфу давай, телепаты в отпуске :-))
>
> Все под W2K... сервер не переносится - просто должен быть в
> индастриал домене... и к нему д.б. доступ из айти нетворка
> для работы с конечными БД. В каждом домене свой домен
> контроллер и свой бэкап домен контроллер с ДНСом. Разнос на
> два домена обязателен, т.к. в индастриал критичен
> нечеловеческий реданданси:)

воткни вторую карту в сервак настройки подсетей сделай ессно как у подсетки ИТ, её хвост в свич ИТ, тот серак будет в домене ИТ как Stand alone, обращаться к его БД бущешь не через доменные экаунты, а через его собственные, так же можешь в ДНС домена ИТ добавить запись о этом серваке, для разрешения имен не повредит.
На счет свичей - тут может пригодиться фильтрация 2 и 3 уровня чтоб компы в ndustrial не подозревали о существовании второго интерфейса у сервака который смотрит в ИТ, это для избежания конфликтов.
И никакой балансировки нагрузки, эта хрень имеет обыкновение ставиться с если установлены каты поновее, 3Сом например, при установки дров можно прозевать этот момент и при добавлении второй карты эта муть всплывет в виде ВЛАН или той же балансировки, а тебе это не надо.
скорее один сервер в двух сетях 17.12.02 11:13  
Автор: StR <Стас> Статус: Elderman
<"чистая" ссылка>
> > Все под W2K... сервер не переносится - просто должен
> быть в
> > индастриал домене... и к нему д.б. доступ из айти
> нетворка
> > для работы с конечными БД. В каждом домене свой домен
> > контроллер и свой бэкап домен контроллер с ДНСом.

> будет в домене ИТ как Stand alone, обращаться к его БД
> бущешь не через доменные экаунты, а через его собственные,

А щас он в индастриал домене в какой роли?
скорее один сервер в двух сетях 17.12.02 19:43  
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
> > будет в домене ИТ как Stand alone, обращаться к его БД
> > бущешь не через доменные экаунты, а через его
> собственные,
>
> А щас он в индастриал домене в какой роли ?

Скорее всего ни в какой, отдельно стоит он там. Написано было что в каждой подсетке по 2 контроллера - логично предположить что этот сервак стоит отдельно, т.к. вопроса про перенос контроллера не стояло, этот сервак просто должен остаться в индастриал, скорее всего из-за реализации аппаратной защиты от сбоев, автор сам так написал.
скорее один сервер в двух сетях 17.12.02 11:11  
Автор: StR <Стас> Статус: Elderman
<"чистая" ссылка>
>>Ситуевина собссно: есть ethernet network IT и industrial ethernet network,
>>два домена с домен контроллерами и бэкап домен контроллерами
>>сответственно, между подсетками гигабитный линк, со стороны IT сетки
>>HP прокурвы 4000-е, со стороны industrial сетки два аваевских свитча в
>>стэке - итого кольцо с редандэнси, в индастриал сетке кроме всего
>>прочего есть сервер, включенный в аваевский стэк по оптоволокну,
>>который должон присутствовать и в IT сетке. Решение вынести этого
>>отщепенца в третий ресурсный домен со всеми вытекающими
>>экономически невыгодно из-за вытекающих - еще одного домен и одного
>>бэкап домен контроллера... Напрашивается вариант с двумя сетевухами
>>в одном сервере... Но опыта такового не имею... Мож поделитесь своим -
>>если кто пробовал. Или есть решение попроще? Заранее благодарна:)

> На счет свичей - тут может пригодиться фильтрация 2 и 3
> уровня чтоб компы в ndustrial не подозревали о
> существовании второго интерфейса у сервака который смотрит
> в ИТ, это для избежания конфликтов.
из описания не ясно как сейчас общаются подсети... через роутер или никак?
если никак, то интерфейсы сервера будут смотреть в разные сети и проблемы не возникнет, если через роутер, то и вторая карта не нужна
прочти еще раз корневой сабж 17.12.02 19:35  
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
> из описания не ясно как сейчас общаются подсети... через
> роутер или никак?

Так и общаются, сами железки - через магистральное кольцо в Индастриал которая соединена с ИТ через застекованные свичи ! Читай внимательней !

> если никак, то интерфейсы сервера будут смотреть в разные
> сети и проблемы не возникнет, если через роутер, то и
> вторая карта не нужна

Ессно через роутер, а как по твоему можно 802.3 и FDDI или ATM, оптику - короче, соединить без маршрутизатора, можно конечно мостом, но покажи мне современные аппаратные решения в виде моста !, я не видел таких, ну да это не вопрос.
Вопрос в том как это по твоему не нужна вторая карта если нужно работать в сегменте ИТ с UTP а в серваке только карта для работы с оптоволоконным кольцом ?
Может я чего не понял ?, Не будем гадать - тусть вопрошавший сам меня поправит.
прочел еще несколько раз корневой пост и созвал консилиум ;))) 17.12.02 21:01  
Автор: StR <Стас> Статус: Elderman
<"чистая" ссылка>
выводы:
1. читать внимательно надо тебе ;)))
поскольку по тексту описана физическая структура сети в виде двух стеков, соединенных двумя оптическими гигабитными (еэернетовскими) линками...
"кольцо" эзернетовское, реданданси работает, видимо, по STP...
проблемный сервер подключен по тому же ээернету...

2. ип-подсети либо не связаны (роутером), тогда надо ставить в сервер вторую карту и смотреть варианты по подключению их к свитчам, либо их нет ;))) т.е. все в одной ип-сети и тогда вторая карта нафиг не нужна (если все же есть роутер, то тоже не нужна) и проблема сводится только к настройке аккаунтов на сервере или доверительных отношений между доменами...
а мне созывать некого :-(, ты вJob спрашивал как-то раз. 18.12.02 02:45  
Автор: babay <Andrey Babkin> Статус: Elderman
Отредактировано 18.12.02 02:46  Количество правок: 1
<"чистая" ссылка>
> выводы:
> 1. читать внимательно надо тебе ;)))

Без проблем, прочел опять, не поленился ;-)))

> поскольку по тексту описана физическая структура сети в
> виде двух стеков, соединенных двумя оптическими гигабитными
> (еэернетовскими) линками...
> "кольцо" эзернетовское, реданданси работает, видимо, по
> STP...
> проблемный сервер подключен по тому же ээернету...
>
> 2. ип-подсети либо не связаны (роутером), тогда надо
> ставить в сервер вторую карту и смотреть варианты по
> подключению их к свитчам, либо их нет ;))) т.е. все в одной
> ип-сети и тогда вторая карта нафиг не нужна (если все же
> есть роутер, то тоже не нужна) и проблема сводится только к
> настройке аккаунтов на сервере или доверительных отношений
> между доменами...

Да не написано там что сервак в домене, зачем траст нужен ?
А по поводу подсетей - см. ниже.
Пляшем от первоисточника:
__________________________________________________________________
Ситуевина собссно: есть ethernet network IT и industrial ethernet network, два домена с домен контроллерами и бэкап домен контроллерами сответственно, между подсетками гигабитный линк, со стороны IT сетки HP прокурвы 4000-е, со стороны industrial сетки два аваевских свитча в стэке - итого кольцо с редандэнси, в индастриал сетке кроме всего прочего есть сервер, включенный в аваевский стэк по оптоволокну, который должон присутствовать и в IT сетке
__________________________________________________________________

поскакали ? (то что буду выдерать из его текста будет жирным );-)) :
1 -у него есть ethernet network IT, какая она, 10/100,1000 нас пока не колебет, в ней два контроллера доменов, эта подсеть воткнута в procurve switch 4000
2 - у него есть industrial ethernet network, в ней два контроллера доменов, эта подсеть воткнута в два аваевских свитча в стэке - итого кольцо с редандэнси, оптоволоконное кольцо есть только в подсетке индастриал .
3 - у него есть между подсетками гигабитный линк
4 - у него есть в индастриал сетке кроме всего прочего есть сервер, включенный в аваевский стэк по оптоволокну, который должон присутствовать и в IT сетке - ethernet карточки в нем нет, я советовал поставить. Он пишет что сервер должен бытьвиден и из второго сегмента, так какие проблемы взять и воткнуть вторую карту, дать ей адрес второго сегмента, если на серваке не крутится обозревателя сети, винсов, DHCP или ДНС или WWW, то проблем не будет.
Законно предполодить что обе эти подсетки не единого адресного пространства, т.к. во первых автор говорил что подсетки 2, а не одна разделенная подсеть,во вторых - при разработке адресации наверняка учли что может косяк выйти как нефига делать, если системы удаленные - кофликты отлавливать заколебешься, особенно если у офиса парк машин обновляется (пополняется), но как там все на самом деле сделано только автор корневого поста может знать. Хотя - ХЗ, зачем тогда эти подсети, при условии что их номера разные вообще связаны, если подсети разных номеров и не маршрутизируются на кой это?
А на счет карты отдельно может я и не прав, но на кой хрен по кольцу гонять трафик из другого сегмента если можно напрямую на свич вывалиться, а те задачи что для кольца - так на нем и остануться.

З.Ы. В общем-то два решения нами представлены, пусть сам по ситуации выбирает обойтись кольцом или ещё одну карту влепить. А все разногласия только от недостатка инфы.

З.З.Ы. Извини, на счет своего однозначного высказывания что роутер стоит а не прозрачный мост я погорячился.
да и у меня не ученый совет ;))) так, пара админов под пиво :))) 18.12.02 09:40  
Автор: StR <Стас> Статус: Elderman
<"чистая" ссылка>
>> только к настройке аккаунтов на сервере или доверительных
>> отношений между доменами...
> Да не написано там что сервак в домене, зачем траст нужен ?
ключевое слово "или"... поскольку "не написано"...

> А по поводу подсетей - см. ниже.
> Пляшем от первоисточника:
> поскакали ? (то что буду выдерать из его текста будет
поскакали :)) во-первых, это не он, а она :)))

> 1 -у него есть ethernet network IT,
> 2 - у него есть industrial ethernet
> 3 - у него есть между подсетками гигабитный
ждем разъяснений...

> 4 - у него есть в индастриал сетке кроме всего
> прочего есть сервер, включенный в аваевский стэк по
> оптоволокну, который должон присутствовать и в IT
> сетке
- ethernet карточки в нем нет,
опять же ждем, но по опыту оптическая карта в сервере - это оптический гигабит эзернет... или в крайнем случае фаст..

> А на счет карты отдельно может я и не прав, но на кой хрен
> по кольцу гонять трафик из другого сегмента если можно
> напрямую на свич вывалиться, а те задачи что для кольца -
> так на нем и остануться.
а на кой оно вообще нужно, если по нему ничего не гонять??? ;)))
прочти еще раз корневой сабж 17.12.02 20:37  
Автор: StR <Стас> Статус: Elderman
<"чистая" ссылка>
> > из описания не ясно как сейчас общаются подсети...
> через
> > роутер или никак?
>
> Так и общаются, сами железки - через магистральное кольцо в
> Индастриал которая соединена с ИТ через застекованные свичи
> ! Читай внимательней !
речь была про гигабит (я так понимаю эзернет)

> > если никак, то интерфейсы сервера будут смотреть в
> разные
> > сети и проблемы не возникнет, если через роутер, то и
> > вторая карта не нужна
>
> Ессно через роутер, а как по твоему можно 802.3 и FDDI или
> ATM, оптику - короче, соединить без маршрутизатора, можно
> конечно мостом, но покажи мне современные аппаратные
> решения в виде моста !, я не видел таких, ну да это не
> вопрос.
> Вопрос в том как это по твоему не нужна вторая карта если
> нужно работать в сегменте ИТ с UTP а в серваке только карта
> для работы с оптоволоконным кольцом ?
> Может я чего не понял ?, Не будем гадать - тусть
похоже ;))) ждем первоисточник...
и вопросивший(ая), как всегда, пропал... :))) 22.12.02 12:05  
Автор: StR <Стас> Статус: Elderman
<"чистая" ссылка>
всем бааальшущее мерси... как всегда забыла подумать:) девушка знаете ли:)) 23.12.02 11:54  
Автор: УбьюЛюбого Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Ох и понаписали вы тут:)) Даже не ожидала... Попытаюсь объяснить все более толково...
Стоит прокурва 8000-я... От нее два линка гигабитного эзернета в разные стороны по метров двести, на концах которых две 4000-х прокурвы, между ними тоже гигабитный эзернет - итого - кольцо с реданданси. От всех прокурв - клиенты. Это то, что имеем сейчас - ИТ нетворк.
Теперь в связи с постройкой еще одного помещения, равноудаленного от обоих 4000-х прокурв еще метров на двести, необходимо развернуть там нетворк. Часть объектов, находящихся там, должны принадлежать к сети ИТ, а часть - к сети производства... причем сеть производства никак не завязана с сетью ИТ. Меджу этими двумя сетями ничего не должно ходить... До этого момента задача состояла в том, как развязать две сетки минимальными затратами... Идеально в данной ситуации подходят два аваевских Р333-х маршрутизирующих коммутатора в стэке, позволяющих подключить как объекты сети ИТ, так и организовать сеть производства - к каждому объекту сети производства в данной ситуации будет подходить два хвоста - от каждого из коммутаторов, что позволит в течении требуемых десяти минут пробежаться по всем объектам в случае реального факапа и переключить сетку. При этом сети между собой общаться не будут никак. Тут тоже все ясно.
А вопрос возник вместе с возникновением потребности в бэкапном сервере, на который будут бэкапиться базы из сети производства и к которому необходим доступ из сети ИТ. Напрашивающееся решение - заменить аваю 9000-м HP, позволяющим также прописать для отдельного порта, в который включен бэкапный сервак, возможность общаться с сетью ИТ. Но дороговато знаете ли... Пошли в ход извращения типа двух сетевушек в одной машине... потому и спрашивала, имеет ли кто-то подобный опыт.
НО! Правильно поставленный вопрос отпадает сам собой:) Углубившись в описания авайи, обнаружила, что мой будущий аваевский стек легко позволяет сделать то же самое что и 9000-й хьюлетт - то есть разрешить для отдельных портов доступ к второй сети. Ура! Аминь, товарищи:)
Всем спасибо за отзывчивость. Читайте матчасть, господа - иногда очень пользительно:)
С уважением,
Брю.
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach