> > во-первых, спасибо за совет. > > сети уже существуют и функционируют. все с выходом в > и-нет > > (через ISA). в малой сети пока что даже домен не > > установлен. задумка не моя, а от начальства: > объеденить > > сети, не меняя их структуру (т.е. без переустановки > систем > > в главной сети, без закупки серверов) в один лес или в > одно > > дерево (я сам еще путаюсь). речь идет именно о доменах > LAN, > > хотя тогда надо будет спросить у начальства, как и-нет > > будет фунцихлировать. > > Ставишь 2 компа с FreeBSD. Один в большой сетке - наружу в > инет (т.е. в ISA роутером прописан фревый, а фревый уже > непосредственно выпускает в инет). Другой в малой. > Настраиваешь между ними VPN. И в малой сетке совсем не > мутишь виндового сервака, а включаешь всех в виндовый > сервак в большой сетке... Затраты минимальны, т.к. фрюха > будет замечательно работать и на полном Г Во второй сетке всегда хоошо иметь дополнительный контролле домена. Если во второй сетке будут прилаживать что-нибудь новое с использованием доменных акаутнов, то так проще и безопасней. А репликацию NTDS - вообще может по stmp сделать? Сам по СМТП не делал, но то что можно - точно.
И к тебе вопрос? Сам пробовал так сделать - ISA + VPN?
Помогите,пожалуйста,неопытному админу. Суть проблемы. Есть главная сеть, есть маленькая. Надо подключить маленькую в доменный лес большой сети. Имеются по одному ISA-серверу с каждой стороны. Итак, как установить доверительные отношения между доменами через 2 ISA-сервера? Переформулировав вопрос, какие порты используются в ActiveDirectory?
Ребята, всем большое спасибо. Теперь, вооруженный вашими...20.09.04 12:57 Автор: Time Статус: Незарегистрированный пользователь
1. В каждую из сетей ставиться по компу с *nix'ом (была предложена FreeBSD) на которых поднимается VPN и которые, естественно, используются в качестве gateway'ев для этих сетей.
2. В сетку без DC ставим BDC (ЖЕЛАТЕЛЬНО).
3. Выход в инет по HTTP и т.д. делаем только из одной сети - из той, которую проще контроллировать или у которой канал в инет очень широкий и надежный. Выход в инет из второй сети используем только под VPN.
в 3 - тройной трафик будет, однако19.09.04 13:28 Автор: whiletrue <Роман> Статус: Elderman Отредактировано 19.09.04 13:40 Количество правок: 1
> 1. В каждую из сетей ставиться по компу с *nix'ом (была > предложена FreeBSD) на которых поднимается VPN и которые, > естественно, используются в качестве gateway'ев для этих > сетей.
Кстати, настройка займет часа 2 отсилы, если учесть сюда еще чтение документации...
> 2. В сетку без DC ставим BDC (ЖЕЛАТЕЛЬНО).
Вот это может и нужно, но можно обойтись - меньше затрат (на сервак) и работы.
> 3. Выход в инет по HTTP и т.д. делаем только из одной сети > - из той, которую проще контроллировать или у которой > канал в инет очень широкий и надежный. Выход в инет из > второй сети используем только под VPN.
Одни и теже данные будут гулять так:
1. Из малой сетки в большую - исходящий трафик
2. Из малой сетки в большую - входящий трафик
3. Трафик наружу
Лучше в малой сетке чтобы комп с VPN заодно бы и выпускал в инет. В большой, кстати, тоже комп с никсом должен выпускать и в инет наш ISA-сервак и обслуживать VPN из малой сетки.
2 Time - это правда не сложно взять два пеньтиума первых с двумя сетевухами на каждом и установить там FreeBSD.
В данном случае целесообразно принимать решение опираясь на...19.09.04 20:28 Автор: Den <Денис Т.> Статус: The Elderman
> > 3. Выход в инет по HTTP и т.д. делаем только из одной > сети > > - из той, которую проще контроллировать или у которой > > канал в инет очень широкий и надежный. Выход в инет из > > второй сети используем только под VPN. > > Одни и теже данные будут гулять так: > 1. Из малой сетки в большую - исходящий трафик > 2. Из малой сетки в большую - входящий трафик > 3. Трафик наружу > > Лучше в малой сетке чтобы комп с VPN заодно бы и выпускал в > инет. В большой, кстати, тоже комп с никсом должен > выпускать и в инет наш ISA-сервак и обслуживать VPN из > малой сетки.
В данном случае целесообразно принимать решение опираясь на стоимость потери, фальсификации, или кражи информации внутри локальных сетей. Если информация стоит немало, то лучше всего делать один выход в инет (проще строить оборону).
Вначале то, что ты хотел узнать15.09.04 05:49 Автор: void <Grebnev Valery> Статус: Elderman
Вначале то, что ты хотел узнать
********************************************* # Domain controller tcp, udp ports
#
# 53 (dns)
# 88 (kerberos)
# 135 (loc-srv) epmap (if U'r going to use mmc)
# 389 (ldap)
# 464 (kpasswd) # Kerberos (v5)
# 1026 is used by MSRPC
# 3268 global catalog
#
********************************************* dc_ports="53,88,135,389,464,1026,3268"
> Помогите,пожалуйста,неопытному админу. Самая большая помощь и польза тебе будет, если я тебе скажу - не делай того, что ты задумал.
Не спрашивай почему.
> главная сеть, есть маленькая. Надо подключить маленькую в > доменный лес большой сети. > Имеются по одному ISA-серверу с > каждой стороны. Итак, как установить доверительные > отношения между доменами через 2 ISA-сервера? 1) Не понятно у тебя 2-домена в разных лесах? Если да, то делается, как обычно ... Посмотри оснастку Сайты... Там и трасты найдёшь. В таких случаях в DNS лучше не зону целиком держать того домена, с которым собираешься подружиться, а делигировать зону.
2) Как я тебе сказал, выкинь это из головы от греха по-дальше если речь идёт об ИНЕТ. Если речь идёт о доменах в ЛАН - то сделать можно и нужно. Только ИСА в этом случае - бред. Поставь FreeBSD (там ipfw есть), или Линух, да хоть MS RRAS взведи. Там тоже есть фильтрация пакетов.
> Переформулировав вопрос, какие порты используются в > ActiveDirectory? Я тебе ответил про порты в начале. Хотя если быть точным - никакие.
уточнения15.09.04 13:03 Автор: Time Статус: Незарегистрированный пользователь
во-первых, спасибо за совет.
сети уже существуют и функционируют. все с выходом в и-нет (через ISA). в малой сети пока что даже домен не установлен. задумка не моя, а от начальства: объеденить сети, не меняя их структуру (т.е. без переустановки систем в главной сети, без закупки серверов) в один лес или в одно дерево (я сам еще путаюсь). речь идет именно о доменах LAN, хотя тогда надо будет спросить у начальства, как и-нет будет фунцихлировать.
Может таки вот так сделаешь?15.09.04 14:46 Автор: whiletrue <Роман> Статус: Elderman Отредактировано 15.09.04 14:50 Количество правок: 1
> во-первых, спасибо за совет. > сети уже существуют и функционируют. все с выходом в и-нет > (через ISA). в малой сети пока что даже домен не > установлен. задумка не моя, а от начальства: объеденить > сети, не меняя их структуру (т.е. без переустановки систем > в главной сети, без закупки серверов) в один лес или в одно > дерево (я сам еще путаюсь). речь идет именно о доменах LAN, > хотя тогда надо будет спросить у начальства, как и-нет > будет фунцихлировать.
Ставишь 2 компа с FreeBSD. Один в большой сетке - наружу в инет (т.е. в ISA роутером прописан фревый, а фревый уже непосредственно выпускает в инет). Другой в малой. Настраиваешь между ними VPN. И в малой сетке совсем не мутишь виндового сервака, а включаешь всех в виндовый сервак в большой сетке... Затраты минимальны, т.к. фрюха будет замечательно работать и на полном Г
Во второй сетке всегда хоошо иметь дополнительный контролле...15.09.04 23:22 Автор: void <Grebnev Valery> Статус: Elderman
> > во-первых, спасибо за совет. > > сети уже существуют и функционируют. все с выходом в > и-нет > > (через ISA). в малой сети пока что даже домен не > > установлен. задумка не моя, а от начальства: > объеденить > > сети, не меняя их структуру (т.е. без переустановки > систем > > в главной сети, без закупки серверов) в один лес или в > одно > > дерево (я сам еще путаюсь). речь идет именно о доменах > LAN, > > хотя тогда надо будет спросить у начальства, как и-нет > > будет фунцихлировать. > > Ставишь 2 компа с FreeBSD. Один в большой сетке - наружу в > инет (т.е. в ISA роутером прописан фревый, а фревый уже > непосредственно выпускает в инет). Другой в малой. > Настраиваешь между ними VPN. И в малой сетке совсем не > мутишь виндового сервака, а включаешь всех в виндовый > сервак в большой сетке... Затраты минимальны, т.к. фрюха > будет замечательно работать и на полном Г Во второй сетке всегда хоошо иметь дополнительный контролле домена. Если во второй сетке будут прилаживать что-нибудь новое с использованием доменных акаутнов, то так проще и безопасней. А репликацию NTDS - вообще может по stmp сделать? Сам по СМТП не делал, но то что можно - точно.
И к тебе вопрос? Сам пробовал так сделать - ISA + VPN?
Идея хорошая, только сервак-то один. Может быть, сделать...16.09.04 13:19 Автор: Time Статус: Незарегистрированный пользователь
> Во второй сетке всегда хоошо иметь дополнительный контролле > домена. Если во второй сетке будут прилаживать что-нибудь > новое с использованием доменных акаутнов, то так проще и > безопасней. А репликацию NTDS - вообще может по stmp > сделать? Сам по СМТП не делал, но то что можно - точно. > > И к тебе вопрос? Сам пробовал так сделать - ISA + VPN?
Идея хорошая, только сервак-то один. Может быть, сделать дополнительный (резервный) контроллер домена на каком-нибудь юзерском компе (слабоватый он)? Предвижу много геморроя с компами и юзерами.
ISA+VPN не пробовал.
Это и имелось ввиду - дополнительный контроллер домена. Он...17.09.04 03:35 Автор: void <Grebnev Valery> Статус: Elderman Отредактировано 17.09.04 03:38 Количество правок: 1
> Идея хорошая, только сервак-то один. Может быть, сделать > дополнительный (резервный) контроллер домена на > каком-нибудь юзерском компе (слабоватый он)? Предвижу много > геморроя с компами и юзерами. Это и имелось ввиду - дополнительный контроллер домена. Он без мастер- и владельца ролей.
Все роли роли владельца операций - на котроллере в "большой" сетке.
Ред. Для того, чтоб взвести контроллер, и с учётом его "дополнительности", достаточно PII-350, 256 RAM. HDD 4 Gbt. Старая рабочка пойдёт.
> > > во-первых, спасибо за совет. > > > сети уже существуют и функционируют. все с > выходом в > > и-нет > > > (через ISA). в малой сети пока что даже домен не > > > установлен. задумка не моя, а от начальства: > > объеденить > > > сети, не меняя их структуру (т.е. без > переустановки > > систем > > > в главной сети, без закупки серверов) в один лес > или в > > одно > > > дерево (я сам еще путаюсь). речь идет именно о > доменах > > LAN, > > > хотя тогда надо будет спросить у начальства, как > и-нет > > > будет фунцихлировать. > > > > Ставишь 2 компа с FreeBSD. Один в большой сетке - > наружу в > > инет (т.е. в ISA роутером прописан фревый, а фревый > уже > > непосредственно выпускает в инет). Другой в малой. > > Настраиваешь между ними VPN. И в малой сетке совсем не > > мутишь виндового сервака, а включаешь всех в виндовый > > сервак в большой сетке... Затраты минимальны, т.к. > фрюха > > будет замечательно работать и на полном Г > Во второй сетке всегда хоошо иметь дополнительный контролле > домена. Если во второй сетке будут прилаживать что-нибудь > новое с использованием доменных акаутнов, то так проще и > безопасней. А репликацию NTDS - вообще может по stmp > сделать? Сам по СМТП не делал, но то что можно - точно.
Ну, тебе видней. Так может и трафик меньше жрать будет... Работы просто больше.
> И к тебе вопрос? Сам пробовал так сделать - ISA + VPN?
(Не совсем понял кому вопрос...)
Какой VPN? Встроенный в ISA? Тогда нет. Че ужас?
А если речь про фревый VPN - то ему по-барабану че пропускать. Две сетки объединяются полноценно, как будто все воткнуто в один свич (только адреса чуть-чуть различаются и скорость ниже)
1) Вряд ли мне видней ;)). Да и задача-то не моя, а того...17.09.04 03:47 Автор: void <Grebnev Valery> Статус: Elderman
> Ну, тебе видней. Так может и трафик меньше жрать будет... > Работы просто больше.
1) Вряд ли мне видней ;)). Да и задача-то не моя, а того парня, что пропостил вопрос в форум.
2) На счёт трафика, имхо, ошибаешься. Приустановкедополнительного контроллера - таки да, трафик будьте-нате. Потом (когда только обновляется AD, в том числе ресурсы DNS и прочая ) - копейки. Кроме того в случае того парня, имхо, разумно настроить репликацию - не чаще раза в час. Может и реже.
ребята, в главной сети около тыщи компов, менять виду на...15.09.04 17:26 Автор: Time Статус: Незарегистрированный пользователь
ребята, в главной сети около тыщи компов, менять виду на юникс никак нельзя - это парализует на какое-то время всю сеть, что недопустимо, да и время ограничено.
а виндовый сервак нужен обязательно для обеспечения личного дискового ресурса каждому юзеру.
не надо ее менять!16.09.04 10:29 Автор: whiletrue <Роман> Статус: Elderman Отредактировано 16.09.04 10:51 Количество правок: 2
> ребята, в главной сети около тыщи компов, менять виду на > юникс никак нельзя - это парализует на какое-то время всю > сеть, что недопустимо, да и время ограничено. > а виндовый сервак нужен обязательно для обеспечения личного > дискового ресурса каждому юзеру.
Я ж говорю оставь винду. Просто перед ней поставь юникс.
Совершенно верно. Даже если нет ВПН, всё едино, надо чё-нить...17.09.04 03:52 Автор: void <Grebnev Valery> Статус: Elderman
> > ребята, в главной сети около тыщи компов, менять виду > на > > юникс никак нельзя - это парализует на какое-то время > всю > > сеть, что недопустимо, да и время ограничено. > > а виндовый сервак нужен обязательно для обеспечения > личного > > дискового ресурса каждому юзеру. > > Я ж говорю оставь винду. Просто перед ней поставь юникс.
Совершенно верно. Даже если нет ВПН, всё едино, надо чё-нить перед исой громоздить. Юникс - хорошее решение.
Короче, риспект.
и только??15.09.04 21:40 Автор: iokana <iokana jon> Статус: Member
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
