Домен контроллер + pfsense
-
Здравствуйте.
Не смог толком найти документацию. Если кто опытный скажите какие подводные камни в этой связке могут быть. Собираюсь настроить. Сеть у меня с OpenVPN каналом 2 филиала (на одной стороне и на второй pfsense). Както тут все вместе настраивали ))). Появилась необходимость в домен контроллере. Под него отдаю на серве сетевуху и ставлю в виртуальную машину Hyper-v.
Как правильно все сделать, или пните в сторону мануала хоть на англ. хоть на русском, все равно.
Заранее спасибо! -
Раскопал, тчо надо переделать VPN канал на TAP вместо TUN, разве через TUN нереально все это прокинуть? Как быть с сквидом, как быть, если еще и ipsec подключения есть?
-
Как я понял никто не подскажет что и как? Неужели никто не настраивал такую связку? Или ни у кого нет домена с ВПН каналом?
-
Если я правильно понял, требуется авторизация удаленных пользователей в OVPN через AD, находящуюся за pfSense ?
http://www.geeklk.com/2014/03/pfsense-configuring-windows-active-directory-authentication/
https://doc.pfsense.org/index.php/OpenVPN_with_RADIUS_via_Active_Directory
http://blog.stefcho.eu/?p=528 -
у нас в офисе 2 подсети. одна в головном офисе (192.168.0.0), вторая через впн настроена (192.168.1.0)
В головном оисе понятно что я укажу в настройка DHCP выдавать ДНС домена, а в домене укажу ДНС PFSense. Как быть с впн каналом? -
Как один из вариантов - два домена и доверительные отношения между ними, либо, что правильнее - DC филиала развернуть в режиме read-only.
http://technet.microsoft.com/en-us/library/cc772234%28v=ws.10%29.aspx
http://msdn.microsoft.com/en-us/library/bb891956%28v=vs.85%29.aspx -
Спасибо за пинок в нужную сторону, почитаю на досуге!
Я там создал веточку по повоу НАТ и SIP. Есть соображения? -
вам нужно компы ввести в общий домен, или авторизацию в OVPN через AD ??
Пишите проблему правильно, экстрасенсов нет.PS: DC на виртуалках плохая идея. Чревато. Будете потом волосы вырывать на мягком месте.
-
вам нужно компы ввести в общий домен, или авторизацию в OVPN через AD ??
Пишите проблему правильно, экстрасенсов нет.PS: DC на виртуалках плохая идея. Чревато. Будете потом волосы вырывать на мягком месте.
(оффтоп) А чем DC на виртуалках плохи?
-
(оффтоп)
корни проблем начинаются от того, что внутреннее время криво идёт по отношению к реальной тачке. Оттуда проблемы с токенами на авторизацию, керберос бесится, да и SID-ы плавают(приходится тачки выводить-вводить). Это так… верхушка айсберга. -
(оффтоп)
корни проблем начинаются от того, что внутреннее время криво идёт по отношению к реальной тачке. Оттуда проблемы с токенами на авторизацию, керберос бесится, да и SID-ы плавают(приходится тачки выводить-вводить). Это так… верхушка айсберга.За 5 лет на xen, vmware, kvm не было таких проблем.
корни проблем начинаются от того, что внутреннее время криво идёт по отношению к реальной тачке
NTP ?
-
sNTP как бы помогает, но не ликвидирует проблему. 1 секунда на виртуалке не равна 1 секунды на виртуалке.
У вас наверное просто объёмы не те, чтобы ловить эти проблемы. Или банально "пронесло".
Вообще, в интернете достаточно много материала по этому поводу. -
оффтоп :
NTP - это не как бы. NTP - это обязательно. "Пронести" за пять лет не могло.
Используйте правильные гипервизоры.P.s. Случаем hyper-v как РОЛЬ win-сервера не используется ли ? Т.е. не чистый core.
-
вот у меня лично проблемы с hyper-v и начались. Дублирующий был на VirtualBox. После чего следовали бессонные ночи, зубрёжка форумов и переезд на нормальный реальный сервак.
Но как переехал - испытал только 2 проблемы с уплывшим SID и чёртовой "потери доверия в домене". Раньше были еженедельно.
Я как бы никого не завставляю - на вкус и цвет как говорится… фломастеры разные.... -
2 derwin
Только один вопрос. Научился ли гипер-в пробрасывать usb (токены etc.) в ВМ? Нет?! Спасибо. И даром не надо.
-
Только один вопрос. Научился ли гипер-в пробрасывать usb (токены etc.) в ВМ? Нет?! Спасибо. И даром не надо.
Научился 2012 сервер. Через фоновую сессию RDP.
что то аналогичное можно самому сделать на старых версиях
сам не пробовал.Мне понравилось через USB Redirector.
и да, у меня DC в виртуалке. нет проблем.
проблемы могут быть если есть второй (резервный) DC , который живет на одном хосте с первым.
выход - не делать резервный. по этому поводу есть рекомендации. что резервный делать от 10 000 и выше объектов в AD.
кстати поэтому в филиалах желательно делать RO DC. Быстрее
стартуетреплицируется PDC. -
2 smils
Научился 2012 сервер. Через фоновую сессию RDP.
что то аналогичное можно самому сделать на старых версиях
сам не пробовал.Мне понравилось через USB Redirector
Т.е. нужно постоянно держать открытой сессию, чтобы тот же токен для 1с пробросить? А так, чтобы просто с хоста в ВМ, не?
KVM, XEN, VMWARE умеют это из-коробки и без стороннего платного ПО хрен знает сколько лет.и да, у меня DC в виртуалке. нет проблем.
У меня ,не поверите, тоже. На kvm,xen, vmware.
выход - не делать резервный. по этому поводу есть рекомендации. что резервный делать от 10 000 и выше объектов в AD
.
Вы такое только никому, кто занимается админством от 2 лет, не говорите - засмеют.
А что с бэкапами ВМ ?
-
выход - не делать резервный. по этому поводу есть рекомендации. что резервный делать от 10 000 и выше объектов в AD
Вы такое только никому, кто занимается админством от 2 лет, не говорите - засмеют.
не засмеют, потому что после 2-х лет не веришь слепо всему, а проверяешь сам.
и мой опыт говорит, второй DC в небольшой (500-800 объектов) среде больший вред, чем польза.
Бекап системы, это да.
-
В кач-ве BDC смотрите в сторону Zentyal (samba). Он как раз в связке с DС на Win в кач-ве RODC и работает.
-
2 derwin
Только один вопрос. Научился ли гипер-в пробрасывать usb (токены etc.) в ВМ? Нет?! Спасибо. И даром не надо.
токены какие? для чего?
Для 2х факторной авторизации в win2008R2 etocken заводится без проблем через rdp(типа обычный сертификат на смарткарте). Из коробки.
Насчёт ключей для 1Ски не знаю. Слышал что то подобное где то в инете… У меня 1Ска крутится на реальных тачках, стоимостью цифрой с 5 нулями каждая. С деньгами у меня проблем нет :)