Openvpn DNS + DHCP + AD DC + RODC
-
А что вам мешает, в ДХЦП задать нужные ДНС сервера?
-
2. Как в рамках такой сети настроить AD
Самое разумное в головном офисе поставить PDC/BDC, а в удаленном BDC. Хотя сейчас на 2003/2008 это условное деление. В удаленном офисе на DC также поднимаем DHCP на свою подсеть и DNS с указанием DNS-PDC, как вышестоящего. Вторичными вышестоящими в DNS серверах можно указать DNS провайдера/гугла/etc. Так при падении VPN останется интернет-доступ из подсети.
-
Есть еще вопросы:
1. Правильная ли она с точки зрения распределения ролей между компонентами сети
2. Как правильно в рамках такой сети настроить DNS и поднять Active Directory с ADDC на сервере 10.0.0.2 и и RODC на 10.1.0.2
3. Правильно ли использовать один DNS суффикс для всех подсетей или нужно в удаленной (сеть филиала) использовать другой? например в сети 10.0.0.0.24 - dclan, а в 10.1.0.0 - subnet1.dclanМожно ли ответы подкрепить ссылками на мануалы, так как в AD, PDC, BDC я subzero ::)
удаленном офисе на DC также поднимаем DHCP на свою подсеть
так вроде там роль dhcp играет pfsense?
-
Можно ли ответы подкрепить ссылками на мануалы, так как в AD, PDC, BDC я subzero ::)
удаленном офисе на DC также поднимаем DHCP на свою подсеть
так вроде там роль dhcp играет pfsense?
В случае использования AD правильным будет поднять DHCP на DC, так как он интегрирован с AD/DNS.
-
То есть отключать функцию DHCP сервера на pfsense как в 10.0.0.0 так и 10.1.0.0? и поднимать их на WS2K8?
Я просто где то читал что DHCP на DC совсем не обязательно… Хотелось бы все таки сохранить функцию DHCP именно на pfsense'ах ??? Дело в том что фактически на данный момент сервера WS2K8 в сети 10.1.0.0 нет, так как не имею возможности достать доп компьютер дома, а именно тут настраиваю.
Если не сложно подскажите что прописать в настройках обоих pfsense (General, DNS Forwarder), в WS 10.0.0.2 чтобы нормально заработал DNS сервер и я мог без проблем пользоваться именами в обоих сетках. DNS сервер пока только в 10/24 Спасибо заранее ОГРОМНОЕ :D
-
То есть отключать функцию DHCP сервера на pfsense как в 10.0.0.0 так и 10.1.0.0? и поднимать их на WS2K8? А как тогда быть с gateway?
Причем здесь гейтвей? В DHCP все прописываем как есть, гейтвей есть PFSENSE.
Я просто где то читал что DHCP на DC совсем не обяхательно… Хотелось бы все таки сохранить функцию DHCP именно на pfsense ???
Ну это на ваш выбор. Мнение просили - мнение высказано.
-
не сочтите за грубость, но по-моему надо задавать вопросы не "как прописать…" а:
- что я хочу построить?
- как это работает?
Как только 1) и 2) отвечены, тогда можно и подумать над реализацией.
-
Я не в коем случае не считаю это грубость ;D продолжим по теме:
1. На данный момен мне надо построить рабочюю конфигурацию в соответствии со схемой, но без сервера в сети 10.1/24, поднять AD на сервере 10.0.0.2. Естественно для всего этого должен адекватно работать DNS. Как временный вариант можно рассмотреть статические IP в сети 10.1/24. Хотелось бы чтобы пользователи из этой сети могли логиниться в AD. Или не очень хорошо будет без контроллера домена (огромный трафик)?Есть ли тогда смысл вообще пока ставить AD на сервере 10.0.0.2? В принципе на данеый момент он нужен для прав к папкам file server'а. Посоветуйте пожалуйста.
Про gateway затупил, вечер уже и день был тяжелый :)
2. Как вы считаете, заработает? Через некоторое время планирую все таки поставить RODC в сеть офиса и действительно вместе с AD поставить на него dhcp. и DNS сервер. Спасибо за совет!
Как это реализовать?
-
По опыту скажу, что при отсутствии DC в локальной сети доменные пользователи будут очень сильно зависеть от качества интернет-соединения.
-
Да, я это уже понял. Натолкните пожалуйста на мысль как правильно сейчас настроить DNS на роутерах pfsense и окошках, чтобы имена нормально проходили в обоих подсетках до того как ставить AD. Сейчас единственный DNS сервер настроен на WS2K8 который в сети 10.0/24. Может быть есть смысл пока его не использовать а как то настроить DNS на самих роутерах, а когда появится второй DC уже заморачивать все на Windows (dhcp, DNS и т.д.) Хотелось бы иметь какое то эллегантное временнное решение без костылей ;D
В принципе на сколько я понял для небольшого файл сервера доступ к папкам можно оформить в виндоус через локальные группы и пользователей, пока поработать так, а уже потом… :)
Схема пока будет выглядеть вот так:
потом как на первом скрине, кроме DHCP, который будет перенесен на плечи WS в обоих подсетках