VPN + DHCP Relay + DHCP на Windows 2008



  • Здравствуйте!
    Подскажите как правильно настроить связку. Тут вопрос скорее по настройке винды, нежели pfsense, но всё же решил создать тему здесь.
    В общем имеются филиалы, которые связаны с главным офисом через openvpn. В главном офисе стоит контроллер домена. Поскольку есть задача загнать в домен и филиалы, я решил, что лучше адреса компам филиалов получать от dhcp КД.
    Про DHCP Relay вроде бы всё понятно. Но как настроить дальше? Допустим в главном офисе сетка 192.168.1.0 а в филиале 192.168.2.0. Правильно ли я понимаю, что на DHCP сервере КД мне нужно создать область 192.168.2.0 и на сетевухе КД создать статический адрес из этой подсети. А далее просто направить релей на это адрес? При этом клиенты филиала начнут получать адреса из области 192.168.2.0? Или тут ещё какие-нибудь нюансы есть? Подскажите пожалуйста.



  • А вас не пугает, что в случае недоступности DC главного офиса работа филиалов будет ммм... сильно затруднена?
    Присмотритесь к Read-Only (RODC)
    http://winitpro.ru/index.php/2010/11/21/rabota-s-kontrollerami-domena-read-only-rodc-chast-1/
    https://zen.yandex.ru/media/id/5a3211a177d0e6afcba2adfd/dlia-chego-nujen-kontroller-domena-na-chtenie-rodc-ustanovka-i-nastroika-rodc-v-windows-server-2016-5b08eec42f578c07bf3cea7e



  • Несколько пугает, но денег на ещё один вин-сервер точно не дадут. Как вариант конечно можно использовать в филиалах статику и прописать эти адреса руками в виндовом dns, но это уже не так интересно :)



  • Еще есть нюанс с работой DHCP relay через OpenVPN - tun интерфейсы не воспринимаются DHCP relay, так как у них нет мак-адресов. Чтобы схема работала - нужно использовать tap.
    Читайте второй комментарий в этой ветке - https://forum.netgate.com/topic/130092/dhcp-relay-over-tun-openvpn/2



  • @vladimirlind А если через IPsec?



  • @rline said in VPN + DHCP Relay + DHCP на Windows 2008:

    А если через IPsec?

    В IPsec, IMHO, вы тоже не получите работы на уровне L2 (MAC).



  • @rline через routed IPsec не получится, так как VTI не имеет мак-адреса.



  • Добрый.

    @rline
    Дополнительный DC КРАЙНЕ необходим. И точка. В филиалах - RODC.
    ИМХО, поднять "левый" ADC\BDC менее "грешно", чем поиметь вот-прям-щас-проблем в НЕработе ВСЕГО домена в случае падения PDC.
    В чем проблема поднять ВСЁ в вирт. среде и тупо выключить\удалить ВМ с ADC\BDC в случае чего (имея бэкап, ес-но)? По вирт-ции https://forum.netgate.com/topic/120102/proxmox-ceph-zfs-pfsense/

    Странная позиция у ТС, чесслово.

    Зы. Сам настраивал по http://sanotes.ru/windows-2012r2-1st-kontroller-domena-v-lesu/
    Зы2. На Univention Corporate Server (UCS) и Nethserver обратите внимание, если нет возможности "пользовать" MS.



  • Про желательность КД и в филиалах и возможности организовывать RODC @rline было сказано в первом же ответе. В свое время еще на NT4 в виду отсутствия альтернатив городил отдельные домены с доверительными отношениями, это даже работало.
    По вашей замечательной ссылке рассматривается второй КД на версии Server Core на котором тоже можно организовать RODC .



  • Я так понимаю самый дешёвый вариант это использование Windows Server Core в качестве RODC?



  • @rline said in VPN + DHCP Relay + DHCP на Windows 2008:

    Я так понимаю самый дешёвый вариант это использование Windows Server Core в качестве RODC?

    Если использовать продукты Микрософт - да. Или, как писал выше @werter - бесплатные варианты на Linux с поддержкой АД.



  • А можно чуть подробней про варианты на Linux? Особенно интересно как групповые политики там будут работать.



  • @rline said in VPN + DHCP Relay + DHCP на Windows 2008:

    Особенно интересно как групповые политики там будут работать.

    Тут начинается непаханное поле. Для вас. Я дальше экспериментов в этом направлении не ходил. Тогда совместимость\функциональность были, мягко говоря, неполными.



  • @rline
    Пройти по ссылкам + гугл + гугл ютуб, не ?



  • This post is deleted!


  • @pigbrother said in VPN + DHCP Relay + DHCP на Windows 2008:

    @rline said in VPN + DHCP Relay + DHCP на Windows 2008:

    Особенно интересно как групповые политики там будут работать.

    Тут начинается непаханное поле. Для вас. Я дальше экспериментов в этом направлении не ходил. Тогда совместимость\функциональность были, мягко говоря, неполными.

    Что-то между 2008 и 2012 будет точно. Если не городить кучу Групповых политик с извращениями - вполне функционально (а как доп DC - тем более)

    @rline
    И откроете для себя RSAT заодно.


Log in to reply