Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
Вначале то, что ты хотел узнать 15.09.04 05:49 Число просмотров: 1870
Автор: void <Grebnev Valery> Статус: Elderman
|
Вначале то, что ты хотел узнать
*********************************************
# Domain controller tcp, udp ports
#
# 53 (dns)
# 88 (kerberos)
# 135 (loc-srv) epmap (if U'r going to use mmc)
# 389 (ldap)
# 464 (kpasswd) # Kerberos (v5)
# 1026 is used by MSRPC
# 3268 global catalog
#
*********************************************
dc_ports="53,88,135,389,464,1026,3268"
> Помогите,пожалуйста,неопытному админу.
Самая большая помощь и польза тебе будет, если я тебе скажу - не делай того, что ты задумал.
Не спрашивай почему.
> главная сеть, есть маленькая. Надо подключить маленькую в
> доменный лес большой сети.
> Имеются по одному ISA-серверу с
> каждой стороны. Итак, как установить доверительные
> отношения между доменами через 2 ISA-сервера?
1) Не понятно у тебя 2-домена в разных лесах? Если да, то делается, как обычно ... Посмотри оснастку Сайты... Там и трасты найдёшь. В таких случаях в DNS лучше не зону целиком держать того домена, с которым собираешься подружиться, а делигировать зону.
2) Как я тебе сказал, выкинь это из головы от греха по-дальше если речь идёт об ИНЕТ. Если речь идёт о доменах в ЛАН - то сделать можно и нужно. Только ИСА в этом случае - бред. Поставь FreeBSD (там ipfw есть), или Линух, да хоть MS RRAS взведи. Там тоже есть фильтрация пакетов.
> Переформулировав вопрос, какие порты используются в
> ActiveDirectory?
Я тебе ответил про порты в начале. Хотя если быть точным - никакие.
|
|
<sysadmin>
|
Как объединить две сети 14.09.04 18:20
Автор: Time Статус: Незарегистрированный пользователь
|
|
Помогите,пожалуйста,неопытному админу. Суть проблемы. Есть главная сеть, есть маленькая. Надо подключить маленькую в доменный лес большой сети. Имеются по одному ISA-серверу с каждой стороны. Итак, как установить доверительные отношения между доменами через 2 ISA-сервера? Переформулировав вопрос, какие порты используются в ActiveDirectory?
|
|
Ребята, всем большое спасибо. Теперь, вооруженный вашими... 20.09.04 12:57
Автор: Time Статус: Незарегистрированный пользователь
|
|
Ребята, всем большое спасибо. Теперь, вооруженный вашими советами, постараюсь все это воплотить в жизнь.
|
|
Подитожим? 18.09.04 21:50
Автор: Den <Денис Т.> Статус: The Elderman
|
1. В каждую из сетей ставиться по компу с *nix'ом (была предложена FreeBSD) на которых поднимается VPN и которые, естественно, используются в качестве gateway'ев для этих сетей.
2. В сетку без DC ставим BDC (ЖЕЛАТЕЛЬНО).
3. Выход в инет по HTTP и т.д. делаем только из одной сети - из той, которую проще контроллировать или у которой канал в инет очень широкий и надежный. Выход в инет из второй сети используем только под VPN.
|
| |
в 3 - тройной трафик будет, однако 19.09.04 13:28
Автор: whiletrue <Роман> Статус: Elderman
Отредактировано 19.09.04 13:40 Количество правок: 1
|
> 1. В каждую из сетей ставиться по компу с *nix'ом (была
> предложена FreeBSD) на которых поднимается VPN и которые,
> естественно, используются в качестве gateway'ев для этих
> сетей.
Кстати, настройка займет часа 2 отсилы, если учесть сюда еще чтение документации...
> 2. В сетку без DC ставим BDC (ЖЕЛАТЕЛЬНО).
Вот это может и нужно, но можно обойтись - меньше затрат (на сервак) и работы.
> 3. Выход в инет по HTTP и т.д. делаем только из одной сети
> - из той, которую проще контроллировать или у которой
> канал в инет очень широкий и надежный. Выход в инет из
> второй сети используем только под VPN.
Одни и теже данные будут гулять так:
1. Из малой сетки в большую - исходящий трафик
2. Из малой сетки в большую - входящий трафик
3. Трафик наружу
Лучше в малой сетке чтобы комп с VPN заодно бы и выпускал в инет. В большой, кстати, тоже комп с никсом должен выпускать и в инет наш ISA-сервак и обслуживать VPN из малой сетки.
2 Time - это правда не сложно взять два пеньтиума первых с двумя сетевухами на каждом и установить там FreeBSD.
|
| | |
В данном случае целесообразно принимать решение опираясь на... 19.09.04 20:28
Автор: Den <Денис Т.> Статус: The Elderman
|
> > 3. Выход в инет по HTTP и т.д. делаем только из одной
> сети
> > - из той, которую проще контроллировать или у которой
> > канал в инет очень широкий и надежный. Выход в инет из
> > второй сети используем только под VPN.
>
> Одни и теже данные будут гулять так:
> 1. Из малой сетки в большую - исходящий трафик
> 2. Из малой сетки в большую - входящий трафик
> 3. Трафик наружу
>
> Лучше в малой сетке чтобы комп с VPN заодно бы и выпускал в
> инет. В большой, кстати, тоже комп с никсом должен
> выпускать и в инет наш ISA-сервак и обслуживать VPN из
> малой сетки.
В данном случае целесообразно принимать решение опираясь на стоимость потери, фальсификации, или кражи информации внутри локальных сетей. Если информация стоит немало, то лучше всего делать один выход в инет (проще строить оборону).
|
|
Вначале то, что ты хотел узнать 15.09.04 05:49
Автор: void <Grebnev Valery> Статус: Elderman
|
Вначале то, что ты хотел узнать
*********************************************
# Domain controller tcp, udp ports
#
# 53 (dns)
# 88 (kerberos)
# 135 (loc-srv) epmap (if U'r going to use mmc)
# 389 (ldap)
# 464 (kpasswd) # Kerberos (v5)
# 1026 is used by MSRPC
# 3268 global catalog
#
*********************************************
dc_ports="53,88,135,389,464,1026,3268"
> Помогите,пожалуйста,неопытному админу.
Самая большая помощь и польза тебе будет, если я тебе скажу - не делай того, что ты задумал.
Не спрашивай почему.
> главная сеть, есть маленькая. Надо подключить маленькую в
> доменный лес большой сети.
> Имеются по одному ISA-серверу с
> каждой стороны. Итак, как установить доверительные
> отношения между доменами через 2 ISA-сервера?
1) Не понятно у тебя 2-домена в разных лесах? Если да, то делается, как обычно ... Посмотри оснастку Сайты... Там и трасты найдёшь. В таких случаях в DNS лучше не зону целиком держать того домена, с которым собираешься подружиться, а делигировать зону.
2) Как я тебе сказал, выкинь это из головы от греха по-дальше если речь идёт об ИНЕТ. Если речь идёт о доменах в ЛАН - то сделать можно и нужно. Только ИСА в этом случае - бред. Поставь FreeBSD (там ipfw есть), или Линух, да хоть MS RRAS взведи. Там тоже есть фильтрация пакетов.
> Переформулировав вопрос, какие порты используются в
> ActiveDirectory?
Я тебе ответил про порты в начале. Хотя если быть точным - никакие.
|
| |
уточнения 15.09.04 13:03
Автор: Time Статус: Незарегистрированный пользователь
|
во-первых, спасибо за совет.
сети уже существуют и функционируют. все с выходом в и-нет (через ISA). в малой сети пока что даже домен не установлен. задумка не моя, а от начальства: объеденить сети, не меняя их структуру (т.е. без переустановки систем в главной сети, без закупки серверов) в один лес или в одно дерево (я сам еще путаюсь). речь идет именно о доменах LAN, хотя тогда надо будет спросить у начальства, как и-нет будет фунцихлировать.
|
| | |
Может таки вот так сделаешь? 15.09.04 14:46
Автор: whiletrue <Роман> Статус: Elderman
Отредактировано 15.09.04 14:50 Количество правок: 1
|
> во-первых, спасибо за совет.
> сети уже существуют и функционируют. все с выходом в и-нет
> (через ISA). в малой сети пока что даже домен не
> установлен. задумка не моя, а от начальства: объеденить
> сети, не меняя их структуру (т.е. без переустановки систем
> в главной сети, без закупки серверов) в один лес или в одно
> дерево (я сам еще путаюсь). речь идет именно о доменах LAN,
> хотя тогда надо будет спросить у начальства, как и-нет
> будет фунцихлировать.
Ставишь 2 компа с FreeBSD. Один в большой сетке - наружу в инет (т.е. в ISA роутером прописан фревый, а фревый уже непосредственно выпускает в инет). Другой в малой. Настраиваешь между ними VPN. И в малой сетке совсем не мутишь виндового сервака, а включаешь всех в виндовый сервак в большой сетке... Затраты минимальны, т.к. фрюха будет замечательно работать и на полном Г
|
| | | |
Во второй сетке всегда хоошо иметь дополнительный контролле... 15.09.04 23:22
Автор: void <Grebnev Valery> Статус: Elderman
|
> > во-первых, спасибо за совет.
> > сети уже существуют и функционируют. все с выходом в
> и-нет
> > (через ISA). в малой сети пока что даже домен не
> > установлен. задумка не моя, а от начальства:
> объеденить
> > сети, не меняя их структуру (т.е. без переустановки
> систем
> > в главной сети, без закупки серверов) в один лес или в
> одно
> > дерево (я сам еще путаюсь). речь идет именно о доменах
> LAN,
> > хотя тогда надо будет спросить у начальства, как и-нет
> > будет фунцихлировать.
>
> Ставишь 2 компа с FreeBSD. Один в большой сетке - наружу в
> инет (т.е. в ISA роутером прописан фревый, а фревый уже
> непосредственно выпускает в инет). Другой в малой.
> Настраиваешь между ними VPN. И в малой сетке совсем не
> мутишь виндового сервака, а включаешь всех в виндовый
> сервак в большой сетке... Затраты минимальны, т.к. фрюха
> будет замечательно работать и на полном Г
Во второй сетке всегда хоошо иметь дополнительный контролле домена. Если во второй сетке будут прилаживать что-нибудь новое с использованием доменных акаутнов, то так проще и безопасней. А репликацию NTDS - вообще может по stmp сделать? Сам по СМТП не делал, но то что можно - точно.
И к тебе вопрос? Сам пробовал так сделать - ISA + VPN?
|
| | | | |
Идея хорошая, только сервак-то один. Может быть, сделать... 16.09.04 13:19
Автор: Time Статус: Незарегистрированный пользователь
|
> Во второй сетке всегда хоошо иметь дополнительный контролле
> домена. Если во второй сетке будут прилаживать что-нибудь
> новое с использованием доменных акаутнов, то так проще и
> безопасней. А репликацию NTDS - вообще может по stmp
> сделать? Сам по СМТП не делал, но то что можно - точно.
>
> И к тебе вопрос? Сам пробовал так сделать - ISA + VPN?
Идея хорошая, только сервак-то один. Может быть, сделать дополнительный (резервный) контроллер домена на каком-нибудь юзерском компе (слабоватый он)? Предвижу много геморроя с компами и юзерами.
ISA+VPN не пробовал.
|
| | | | | |
Это и имелось ввиду - дополнительный контроллер домена. Он... 17.09.04 03:35
Автор: void <Grebnev Valery> Статус: Elderman
Отредактировано 17.09.04 03:38 Количество правок: 1
|
> Идея хорошая, только сервак-то один. Может быть, сделать
> дополнительный (резервный) контроллер домена на
> каком-нибудь юзерском компе (слабоватый он)? Предвижу много
> геморроя с компами и юзерами.
Это и имелось ввиду - дополнительный контроллер домена. Он без мастер- и владельца ролей.
Все роли роли владельца операций - на котроллере в "большой" сетке.
Ред. Для того, чтоб взвести контроллер, и с учётом его "дополнительности", достаточно PII-350, 256 RAM. HDD 4 Gbt. Старая рабочка пойдёт.
|
| | | | |
Re: 16.09.04 10:27
Автор: whiletrue <Роман> Статус: Elderman
Отредактировано 16.09.04 10:34 Количество правок: 1
|
> > > во-первых, спасибо за совет.
> > > сети уже существуют и функционируют. все с
> выходом в
> > и-нет
> > > (через ISA). в малой сети пока что даже домен не
> > > установлен. задумка не моя, а от начальства:
> > объеденить
> > > сети, не меняя их структуру (т.е. без
> переустановки
> > систем
> > > в главной сети, без закупки серверов) в один лес
> или в
> > одно
> > > дерево (я сам еще путаюсь). речь идет именно о
> доменах
> > LAN,
> > > хотя тогда надо будет спросить у начальства, как
> и-нет
> > > будет фунцихлировать.
> >
> > Ставишь 2 компа с FreeBSD. Один в большой сетке -
> наружу в
> > инет (т.е. в ISA роутером прописан фревый, а фревый
> уже
> > непосредственно выпускает в инет). Другой в малой.
> > Настраиваешь между ними VPN. И в малой сетке совсем не
> > мутишь виндового сервака, а включаешь всех в виндовый
> > сервак в большой сетке... Затраты минимальны, т.к.
> фрюха
> > будет замечательно работать и на полном Г
> Во второй сетке всегда хоошо иметь дополнительный контролле
> домена. Если во второй сетке будут прилаживать что-нибудь
> новое с использованием доменных акаутнов, то так проще и
> безопасней. А репликацию NTDS - вообще может по stmp
> сделать? Сам по СМТП не делал, но то что можно - точно.
Ну, тебе видней. Так может и трафик меньше жрать будет... Работы просто больше.
> И к тебе вопрос? Сам пробовал так сделать - ISA + VPN?
(Не совсем понял кому вопрос...)
Какой VPN? Встроенный в ISA? Тогда нет. Че ужас?
А если речь про фревый VPN - то ему по-барабану че пропускать. Две сетки объединяются полноценно, как будто все воткнуто в один свич (только адреса чуть-чуть различаются и скорость ниже)
|
| | | | | |
1) Вряд ли мне видней ;)). Да и задача-то не моя, а того... 17.09.04 03:47
Автор: void <Grebnev Valery> Статус: Elderman
|
> Ну, тебе видней. Так может и трафик меньше жрать будет...
> Работы просто больше.
1) Вряд ли мне видней ;)). Да и задача-то не моя, а того парня, что пропостил вопрос в форум.
2) На счёт трафика, имхо, ошибаешься. Приустановкедополнительного контроллера - таки да, трафик будьте-нате. Потом (когда только обновляется AD, в том числе ресурсы DNS и прочая ) - копейки. Кроме того в случае того парня, имхо, разумно настроить репликацию - не чаще раза в час. Может и реже.
|
| | | |
ребята, в главной сети около тыщи компов, менять виду на... 15.09.04 17:26
Автор: Time Статус: Незарегистрированный пользователь
|
ребята, в главной сети около тыщи компов, менять виду на юникс никак нельзя - это парализует на какое-то время всю сеть, что недопустимо, да и время ограничено.
а виндовый сервак нужен обязательно для обеспечения личного дискового ресурса каждому юзеру.
|
| | | | |
не надо ее менять! 16.09.04 10:29
Автор: whiletrue <Роман> Статус: Elderman
Отредактировано 16.09.04 10:51 Количество правок: 2
|
> ребята, в главной сети около тыщи компов, менять виду на
> юникс никак нельзя - это парализует на какое-то время всю
> сеть, что недопустимо, да и время ограничено.
> а виндовый сервак нужен обязательно для обеспечения личного
> дискового ресурса каждому юзеру.
Я ж говорю оставь винду. Просто перед ней поставь юникс.
|
| | | | | |
Совершенно верно. Даже если нет ВПН, всё едино, надо чё-нить... 17.09.04 03:52
Автор: void <Grebnev Valery> Статус: Elderman
|
> > ребята, в главной сети около тыщи компов, менять виду
> на
> > юникс никак нельзя - это парализует на какое-то время
> всю
> > сеть, что недопустимо, да и время ограничено.
> > а виндовый сервак нужен обязательно для обеспечения
> личного
> > дискового ресурса каждому юзеру.
>
> Я ж говорю оставь винду. Просто перед ней поставь юникс.
Совершенно верно. Даже если нет ВПН, всё едино, надо чё-нить перед исой громоздить. Юникс - хорошее решение.
Короче, риспект.
|
| | | | |
и только?? 15.09.04 21:40
Автор: iokana <iokana jon> Статус: Member
|
|
|
| | | | | |
Все просто. Обращайтесь, за бабласы сделаем. 17.09.04 20:17
Автор: shakir Статус: Незарегистрированный пользователь
|
Все просто. Обращайтесь, за бабласы сделаем.
Репликация по SMTP? Придется поднимать сервер сертификатов. Хотя он наверное уже есть.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
