Установка двух контроллеров домена
Модератор: Модераторы
Сообщений: 3
• Страница 1 из 1
- Arhitektor
- Новый участник
- Сообщения: 14
- Зарегистрирован: 29 ноя 2004, 12:10
Arhitektor » 06 ноя 2005, 17:32
Ситуация:
Имеем два физических сервера (server1 и server2), один из которых требуется сделать основным контроллером домена (server1), а второй - резервным (server2). Оба контроллера имеют по 2 сетевые платы, одна из которых смотрит внутрь локальной сети, а другая наружу - в Интернет.
На server1 (файловый сервер) планируется установить AD, DNS, DHCP (диапазон адресов 192.168.100.17-192.168.100.100) и все авторизации пользователей проводить на нем.
На server2 (интернет-сервер) планируется установить AD, DNS, DHCP (диапазон адресов 192.168.100.101-192.168.100.200), MDaemon и UserGate и использовать его для коллективного выхода в Интернет и почтовый сервер.
server1:
локальная сетевая карта
IP - 192.168.100.201
Маска - 255.255.255.0
Шлюз - нет
DNS-1 - 192.168.100.201
внешняя сетевая карта (снят флаг Регистрировать данное подключение в DNS)
IP - 192.168.1.201
Маска - 255.255.255.0
Шлюз - 192.168.1.1
DNS-1 - 192.168.100.201
DNS-2 - 192.168.100.202
server2:
локальная сетевая карта
IP - 192.168.100.202
Маска - 255.255.255.0
Шлюз - нет
DNS-1 - 192.168.100.202
внешняя сетевая карта
IP - 192.168.1.202
Маска - 255.255.255.0
Шлюз - 192.168.1.1
DNS-1 - 192.168.100.201
DNS-2 - 192.168.100.202
Программное обеспечение:
- Windows 2003 Standart Edition SP1
- MDaemon 8.13
- UserGate 3.17
Порядок действий
1) На server1 с помощью типовой настройки первого сервере (Управление данным сервером->Добавить/удалить роль) разворачиваю DNS-сервер, AD, DHCP - перезагружаюсь.
2) После перезагрузки проверяю список интерфейсов, которые обслуживает DNS - оставляю только 192.168.100.201
Кроме того прописываю пересылку DNS-запросов на DNS-сервера провайдера xxx.xxx.xxx.xxx и yyy.yyy.yyy.yyy
3) Проверяю авторизацию DHCP-сервера и диапазон исключенных адресов. Также у DHCP-сервера ввожу пользователя, под которым он работает
4) Перезагружаюсь и вижу, что в журнале событий все синие записи, т.е. все ок.
5) Разворачиваю AD на server2; перезагружаюсь
6) Ожидаю появления записи в журнале событий на server2, что ланный сервер теперь является контроллером домена и проверяю наличие расшеренных ресурсов SYSVOL и NETLOGON - все в порядке.
7) Перезагружаю server2 и вижу, что все ок.
8) Если теперь перезагрузить server1, то загрузка происходит очень долго. Более пяти минут происходит "Подключение сетевых интерфейсов". В журнале событий на server1 появляются ошибки
Event ID: 40960
Source LsaSrv
Type Error
Description The Security System detected an attempted downgrade attack for server <server name>. The failure code from authentication protocol Kerberos was "There are currently no logon servers available to service the logon request. (0xc000005e)".
Event ID: 1059
Source DhcpServer
Type Error
Description The DHCP service failed to see a directory server for authorization.
Причем вторая ошибка появляется, затем пояляется запись о том, что DHCP сервер обнаружил, что он авторизован и теперь может обслуживать клиентов, а через 30 секунд снова появляется запись
Event ID: 1059
Source DhcpServer
Type Error
Description The DHCP service failed to see a directory server for authorization.
Буду рад любому содействию и помощи с Вашей стороны. Заранее благодарен.
Имеем два физических сервера (server1 и server2), один из которых требуется сделать основным контроллером домена (server1), а второй - резервным (server2). Оба контроллера имеют по 2 сетевые платы, одна из которых смотрит внутрь локальной сети, а другая наружу - в Интернет.
На server1 (файловый сервер) планируется установить AD, DNS, DHCP (диапазон адресов 192.168.100.17-192.168.100.100) и все авторизации пользователей проводить на нем.
На server2 (интернет-сервер) планируется установить AD, DNS, DHCP (диапазон адресов 192.168.100.101-192.168.100.200), MDaemon и UserGate и использовать его для коллективного выхода в Интернет и почтовый сервер.
server1:
локальная сетевая карта
IP - 192.168.100.201
Маска - 255.255.255.0
Шлюз - нет
DNS-1 - 192.168.100.201
внешняя сетевая карта (снят флаг Регистрировать данное подключение в DNS)
IP - 192.168.1.201
Маска - 255.255.255.0
Шлюз - 192.168.1.1
DNS-1 - 192.168.100.201
DNS-2 - 192.168.100.202
server2:
локальная сетевая карта
IP - 192.168.100.202
Маска - 255.255.255.0
Шлюз - нет
DNS-1 - 192.168.100.202
внешняя сетевая карта
IP - 192.168.1.202
Маска - 255.255.255.0
Шлюз - 192.168.1.1
DNS-1 - 192.168.100.201
DNS-2 - 192.168.100.202
Программное обеспечение:
- Windows 2003 Standart Edition SP1
- MDaemon 8.13
- UserGate 3.17
Порядок действий
1) На server1 с помощью типовой настройки первого сервере (Управление данным сервером->Добавить/удалить роль) разворачиваю DNS-сервер, AD, DHCP - перезагружаюсь.
2) После перезагрузки проверяю список интерфейсов, которые обслуживает DNS - оставляю только 192.168.100.201
Кроме того прописываю пересылку DNS-запросов на DNS-сервера провайдера xxx.xxx.xxx.xxx и yyy.yyy.yyy.yyy
3) Проверяю авторизацию DHCP-сервера и диапазон исключенных адресов. Также у DHCP-сервера ввожу пользователя, под которым он работает
4) Перезагружаюсь и вижу, что в журнале событий все синие записи, т.е. все ок.
5) Разворачиваю AD на server2; перезагружаюсь
6) Ожидаю появления записи в журнале событий на server2, что ланный сервер теперь является контроллером домена и проверяю наличие расшеренных ресурсов SYSVOL и NETLOGON - все в порядке.
7) Перезагружаю server2 и вижу, что все ок.
8) Если теперь перезагрузить server1, то загрузка происходит очень долго. Более пяти минут происходит "Подключение сетевых интерфейсов". В журнале событий на server1 появляются ошибки
Event ID: 40960
Source LsaSrv
Type Error
Description The Security System detected an attempted downgrade attack for server <server name>. The failure code from authentication protocol Kerberos was "There are currently no logon servers available to service the logon request. (0xc000005e)".
Event ID: 1059
Source DhcpServer
Type Error
Description The DHCP service failed to see a directory server for authorization.
Причем вторая ошибка появляется, затем пояляется запись о том, что DHCP сервер обнаружил, что он авторизован и теперь может обслуживать клиентов, а через 30 секунд снова появляется запись
Event ID: 1059
Source DhcpServer
Type Error
Description The DHCP service failed to see a directory server for authorization.
Буду рад любому содействию и помощи с Вашей стороны. Заранее благодарен.
GifteD » 07 ноя 2005, 14:03
У тебя сейчас на двух серверах DHCP авторизованы?
Сеты часом не перекрываются?
Сеты часом не перекрываются?
- slz
- Активный пользователь
- Сообщения: 1229
- Зарегистрирован: 08 июл 2004, 06:17
- Откуда: Новосибирск
slz » 07 ноя 2005, 22:35
Arhitektor
Зачем оба сервера подлючать к инету? И UserGate на DC - вещь сомнительная.
server1:
локальная сетевая карта
IP - 192.168.100.201
Маска - 255.255.255.0
Шлюз - нет
DNS-1 - 192.168.100.201
DNS-2 - 192.168.100.202
внешняя сетевая карта (снят флаг Регистрировать данное подключение в DNS)
IP - 192.168.1.201
Маска - 255.255.255.0
Шлюз - 192.168.1.1
DNS-1 - 127.0.0.1
Смотрим Adapters&Bindings - первым должен быть интерфейс смотрящий в локальную сеть.
На внешнем интерфейсе отключаем NetBIOS, клиента для сетей MS, File & Printer Shares for MS.
В настройках DHCP оставить привязку только в внутреннему интерфейсу.
Зачем оба сервера подлючать к инету? И UserGate на DC - вещь сомнительная.
server1:
локальная сетевая карта
IP - 192.168.100.201
Маска - 255.255.255.0
Шлюз - нет
DNS-1 - 192.168.100.201
DNS-2 - 192.168.100.202
внешняя сетевая карта (снят флаг Регистрировать данное подключение в DNS)
IP - 192.168.1.201
Маска - 255.255.255.0
Шлюз - 192.168.1.1
DNS-1 - 127.0.0.1
Смотрим Adapters&Bindings - первым должен быть интерфейс смотрящий в локальную сеть.
На внешнем интерфейсе отключаем NetBIOS, клиента для сетей MS, File & Printer Shares for MS.
В настройках DHCP оставить привязку только в внутреннему интерфейсу.
| Цитата |
| После перезагрузки проверяю список интерфейсов, которые обслуживает DNS - оставляю только 192.168.100.201
[/quote] А реально в зоне прямого просмотра есть записи c адресом внешнего интерфейса? Все тоже самое на втором DC, если его тоже надо воткнуть в инет 
Когда пондял второй DC, надо было дождаться завершения репликации. На втором DC поднять DNS и сделать его сервером GC. Можно и роли FSMO разнести.
Сообщений: 3
• Страница 1 из 1
Вернуться в Сетевые операционные системы Кто сейчас на конференцииСейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 5 |