none
Какое доменное имя выбрать для локальной сети

    Question

  • Планирую развертывать сеть на основе SBS2003 Standart. Сеть - 4 хоста и один сервер + приходящие клиенты Wi-Fi, падкие на интернет и печать на доменном принтере. Можно обойтись и рабочей группой, но я хочу, чтобы все было красиво. Вопросы:

    1 Имеется зарегистрированное доменное имя company.ru. В локальной сети мне также развертывать домен company.ru или лучше, как советуют в книге, company.local? Я вот что думаю (при развертывании домена company.ru): если юзер в браузере будет набирать http://company.ru, то он будет попадать на вэб-морду сервера или на сайт компании, кот. хостится далеко? Читал, что при развертывании домена, имя кот. зарегано, возможны проблемы адресации. И правда - что будет выдавать ping company.ru из внутренней сети? Хотя, как я понял, траблы возможны с доступом пользователей домена к веб-ресурсу с именем домена, кот. хостится не на локальном сервере, а удаленно. По-моему это единственная проблема. Прав ли я?

    2 В интернет сеть выходит посредством DSL-маршрутизатора D-Link DSL-500T. Как лучше организовать доступ в инет: маршрутизатором раздавать инет на всю сетку либо использовать сервер как шлюз?

    3 Как реализовать сеть периметра в SBS2003 Standart. Имеется три сетевых интерфейса: локальная сеть, интернет и Wi-Fi сетевая карта для взаимодействия с приходящими людьми, работающими в интернете. Из сети периметра нужно только лазить в инет и печатать на принтерах домена. Как сие организовать, ибо в SBS2003 standart ISA сервера нет?

    4 Можно ли для различных сетевых интерфейсов назначать различные зоны DHCP? В локальную сеть буду давать адреса 192.168.10.0/24, в DMZ 192.168.12.0/29.

    • Moved by Michael Gotch Thursday, December 03, 2009 10:53 AM 1 (От:Windows Server 2003/2000/NT)
    Saturday, November 25, 2006 9:16 AM

Answers

  • 1. Если вы поднимете внутри домен company.ru, то изнутри, естественно, будете попадать на внутренний сервер. ping company.ru будет пинговать ваш внутренний сервер. Так что если нужен изнутри доступ к сайту компании, который хостится далеко, то используйте другое имя домена для внутренней сети (company.local, к примеру).

    2. Если вы хотите учитывать трафик, фильтровать его, проверять http-контент на вирусы на лету, в общем, если нужен какой-то функционал, который нельзя реализовать аппаратными средствами DSL-роутера, тогда лучше использовать сервер как шлюз (с установленным на него соответствующим ПО).

    3. Если в качестве принт-сервера используется тот же сервер, то можно просто не настраивать маршрутизацию между сетью Wi-Fi и внутренней сетью.

    4. В Windows Server 2000/2003 можно, в SBS, к сожалению, не знаю. Попробуйте.

    Saturday, November 25, 2006 9:56 AM
  • насчет дисковой подсистемы, думаю RAID5 было бы идеально.

    "Many would argue that a server should really have two spindlesone for the operating system and one for data. The reasoning behind this is that if something were to happen to the drives containing the operating system, the data is still intact, and the server can be brought back to life fairly quickly by reinstalling and restoring the operating system configuration from backup. If the budget permits, each of the two spindles could be configured as separate RAID 5 arrays, or even a mirror for the OS spindle and RAID 5 for the data spindle."

    Microsoft® Small Business Server 2003 Unleashed
    By Eriq Oliver Neale

    Бэкап, если вы уж делаете на жесткий диск, не советую делать на этом же сервере, лучше съемный или на крайний случай сетевой.

     "Не слишком ли опасно, когда главный сервер компании повернут сетевым интерфейсом к интернету?"

    При грамотной настройке ничего опасного в этом нет, хотя если конечно там суперсекретная информация, то там ему делать нечего, выводите к интернету другой сервер. Дефолтная конфигурация практически хорошо обеспечивает безопасность. Другое дело, что RRAS фильтрует трафик только на сетевом уровне, лучше поставить ISA (2006 стоит 1700 баксов, так что отдельно дешевле не выйдет, лучше обновиться до премиум, а сиквел можете и не устанавливать).

    Wednesday, November 29, 2006 11:08 AM
  • 12. POP3 connector, поставляемый с SBS  позволяет подключаться к серверу почты по POP3 не чаще 1 раз в 15 минут. Будет всё брать от прова и раскладывать по ящикам Exchange. Причём не зависимо от того, валит пров всю твою почту в 1 ящик или тоже раскладывает по разным.

    13. Со спамом борюсь при помощи Intelligent Message Filtering в Exchange путём его включения, настройки и регулярного обновления. Ещё там же включена проверка по бесплатному black list. А ещё путём использования фильтра нежелательной почты в MS Outlook 2003. Получается прямо скажем как у всех, то есть хреновенько.

    Thursday, January 11, 2007 10:17 PM
  • 5. Там в поставке идет Exchange, проще организовать почтовый сервер у себя , но нужно помнить следующее:

    - нужна антивирусная защита сервера

    - т.к. на него будет валится почта, нужно у хостера перезаписывать MX на вашь сервер, и просить его сделать запись о вашем сервере в своей обратной зоне, если хостер это не может(бывают такие) тогда нужно обратится к своему провайдеру.

    плюсы ссвоего внутреннего почтового сервера описывать не буду.. можете почитать соответствующую ветку форума, минусы возрастет интернет трафик.

    7. Кроме стандартных решений я бы порекомендовал вам посмотреть возможности других Вендеров(например Symantec). я бы рекомендовал бы вам делать не Инкрементальную, а Диференциальную архивацию.. так меньше времени на восстановление.

    9. у сервера должен быть один интерфейс, с несколькими интерфейсами Доменная структура работает стабильно лишь в SBS Premium, в остальных ОС  сетевой интерфейс должен быть один, если стоит на нем Active Directory. А SBS это только Active Directory. Так что я не представляю как у вас будут два интерфейса на сервере, хотите иметь один сервер тогда SBS Premium.

    10. Вам нужно различать Фаерволы и Брендмауэры(персоональные фаерволы). вот то что вы написали это персоональные фаерволы,они не годятся для защиты предприятия, ибо защищают лишь компьютер на котором они установлены.

    11. можно..поставить все что угодно, если хотите использовать ISA Server 2004 то это SBS Premium, т.к. эта система заточена на работу с двумя интерфейсами.

     

    Monday, February 05, 2007 4:48 PM

All replies

  • 1. Если вы поднимете внутри домен company.ru, то изнутри, естественно, будете попадать на внутренний сервер. ping company.ru будет пинговать ваш внутренний сервер. Так что если нужен изнутри доступ к сайту компании, который хостится далеко, то используйте другое имя домена для внутренней сети (company.local, к примеру).

    2. Если вы хотите учитывать трафик, фильтровать его, проверять http-контент на вирусы на лету, в общем, если нужен какой-то функционал, который нельзя реализовать аппаратными средствами DSL-роутера, тогда лучше использовать сервер как шлюз (с установленным на него соответствующим ПО).

    3. Если в качестве принт-сервера используется тот же сервер, то можно просто не настраивать маршрутизацию между сетью Wi-Fi и внутренней сетью.

    4. В Windows Server 2000/2003 можно, в SBS, к сожалению, не знаю. Попробуйте.

    Saturday, November 25, 2006 9:56 AM
  •  caveman2k написано:

    Планирую развертывать сеть на основе SBS2003 Standart. Сеть - 4 хоста и один сервер + приходящие клиенты Wi-Fi, падкие на интернет и печать на доменном принтере. Можно обойтись и рабочей группой, но я хочу, чтобы все было красиво. Вопросы:

    1 Имеется зарегистрированное доменное имя company.ru. В локальной сети мне также развертывать домен company.ru или лучше, как советуют в книге, company.local? Я вот что думаю (при развертывании домена company.ru): если юзер в браузере будет набирать http://company.ru, то он будет попадать на вэб-морду сервера или на сайт компании, кот. хостится далеко? Читал, что при развертывании домена, имя кот. зарегано, возможны проблемы адресации. И правда - что будет выдавать ping company.ru из внутренней сети? Хотя, как я понял, траблы возможны с доступом пользователей домена к веб-ресурсу с именем домена, кот. хостится не на локальном сервере, а удаленно. По-моему это единственная проблема. Прав ли я?

    2 В интернет сеть выходит посредством DSL-маршрутизатора D-Link DSL-500T. Как лучше организовать доступ в инет: маршрутизатором раздавать инет на всю сетку либо использовать сервер как шлюз?

    По второму вопросу - однозначно шлюз. Не вижу плюсов маршрутизатора, кроме простоты настройки.

    По первому - последним веяниям МС, если уже есть публичный домен, внутpеннее
    именование надо делать на его основании или поддоменом, т.е., напpимеp,
    microsoft.com - публичный, local.microsoft.com - AD

    70-297

    Supporting Registered DNS Names

    Since Active Directory and DNS namespaces are linked and you are almost certain
    to be connecting most networks to the Internet, you need to take into account
    how your naming strategy fits into the Internet namespace and works with the
    company's registered DNS name.

    You have several options at your disposal, including:

    ■ Use the registered DNS name of the company as the name of the Active
    Directory root domain. This is the most common configuration and the one
    recommended most often by Microsoft. It is also the easiest option to plan and
    implement. The only real drawback to this method is that it requires that your
    DNS system be able to use service (SRV) records, which may be an issue if you
    are running DNS servers on platforms other than Windows 2003 servers.

    Lesson 2 Defining a Naming Strategy 3-21

    Exam Tip Because using the registered DNS name as the name of the Active
    Directory root domain is the choice recommended by Microsoft, you should start
    any related exam questions by assuming that this is the choice you will make
    and then look for requirements that might change your mind. Usually, these
    requirements are security needs that are met by using a subdomain of the
    registered name as the root domain.

    ■ Use a subdomain of the registered DNS name as the root domain for Active
    Directory. For example, a company might have the registered name fabrikam.com.
    You could use a subdomain of that (e.g., internal.fabrikam.com) as the root
    domain for the forest. You could then use another DNS zone to hold resource
    records for public hosts. This method provides an additional level of security
    because Active Directory data is separated from public resources.

    ■ Use a different internal and external name. This option is really only a
    possibility if you do not plan to connect a network to the Internet and use a
    registered DNS name. Given that domain name registration is a simple process,
    you are almost always better off using a registered name, even if you do not
    host any publicly available resources.

    Choosing Domain Names

    Although it is possible to change domain names after deployment, it can be
    difficult. It's better just to get things right from the start. When you are
    deciding on domain names to use, keep the following guidelines in mind:

    ■ Use only Internet standard characters, including: a-z, 0-9, and hyphen (-).
    Although the Windows Server 2003 implementation of DNS supports other
    characters, using standard characters ensures interoperability with other DNS
    implementations.

    ■ Use short domain names that are easily identifiable and that conform to
    NetBIOS naming requirements.

    ■ Use only registered domain names as the base for your root. Even if you don't
    use the registered DNS domain as the forest root name, it will help prevent
    confusion. For example, a company might have the registered domain contoso.com.
    Even if you don't use contoso.com as the root domain name for your forest, you
    should still use a name that is derived from that name (e.g.,
    sales.contoso.com).

    ■ Do not use the same domain name twice. Even though it is possible to use the
    same domain name on networks that do not communicate (e.g., you could create
    a domain named microsoft.com on a private network not connected to the
    Internet), it is not a good practice. It always causes confusion at some point.

    3-22 Chapter 3 Planning an Active Directory Structure

    ■ For added security, create separate external and internal namespaces to help
    prevent unauthorized access to private resources. Base the internal name on the
    external name (e.g., contoso.com and local.contoso.com) rather than creating
    separate names.

    Saturday, November 25, 2006 5:54 PM
  • 5 Как лучше организовать отправку почты: посредством встроенного SMTP-Сервера SBS либо через смарт-хост (SMTP-сервер провайдера)? В чем плюсы и минусы того и другого способа?

    6 Как лучше организовать дисковую подсистему? Я сделал два IDE жестких в зеркале - разбил на три логических: 15ГБ - система, 25ГБ - данные пользователей (профили, включая документы), 40ГБ - раздел для бэкапа. Кто как поступает?

    7 Как оптимальнее организовать резервное копирование данных? Я собираюсь так: раз в неделю полная архивация профилей (включая документы) и почтовых ящиков, раз в день - добавочная. Планирую архивировать System State (есть в стандартной утилите backup), но не знаю - реально ли это поможет при сбое системы?

    8 Кто как использует перемещаемые профили и монтирование папок "мои документы"?

    Sunday, November 26, 2006 9:54 PM
  • 9 Система безопасности. Не слишком ли опасно, когда главный сервер компании повернут сетевым интерфейсом к интернету? Может уже по соображениям безопасности спрятать его за маршрутизатор, а на нем разрешить проброс только нужных портов (25, 110, 3389, 80)?

    10 Какой фаервол использовать для сервера? Имеется встроенный брандмауэр, но по-моему в нем куча дыр. Слышал, что SBS не хочет работать с чужими фаерволами (wingate, traffic inspector, usergate) (работает нестабильно). Верно ли это?

    11 Можно ли ставить ISA Server 2004 на SBS2003Standart? Получится ли дешевле SBS2003Premium (т.к. мне не нужен SQL Server 2000)?

    12 Для зарегистрированного доменного имени компании я делаю две MX-записи: ИП SBS с приоритетом 20 и ИП почтового сервера провайдера с приоритетом 10. В SBS настроено принимать почту прямо на сервер. Упал инет - почта пошла на сервак прова. Как ее оттуда потом вытягивать - через POP3 или SMTP - коннектор? Как SBS-серверу сказать, чтобы он раз в полчаса проверял почту на сервере прова, в то время как Мастером настроен непосредственный прием почты?

    13 Как бороться со спамом? Рассматриваю два варианта: сервер без Исы и с оной.

    Tuesday, November 28, 2006 9:00 AM
  • насчет дисковой подсистемы, думаю RAID5 было бы идеально.

    "Many would argue that a server should really have two spindlesone for the operating system and one for data. The reasoning behind this is that if something were to happen to the drives containing the operating system, the data is still intact, and the server can be brought back to life fairly quickly by reinstalling and restoring the operating system configuration from backup. If the budget permits, each of the two spindles could be configured as separate RAID 5 arrays, or even a mirror for the OS spindle and RAID 5 for the data spindle."

    Microsoft® Small Business Server 2003 Unleashed
    By Eriq Oliver Neale

    Бэкап, если вы уж делаете на жесткий диск, не советую делать на этом же сервере, лучше съемный или на крайний случай сетевой.

     "Не слишком ли опасно, когда главный сервер компании повернут сетевым интерфейсом к интернету?"

    При грамотной настройке ничего опасного в этом нет, хотя если конечно там суперсекретная информация, то там ему делать нечего, выводите к интернету другой сервер. Дефолтная конфигурация практически хорошо обеспечивает безопасность. Другое дело, что RRAS фильтрует трафик только на сетевом уровне, лучше поставить ISA (2006 стоит 1700 баксов, так что отдельно дешевле не выйдет, лучше обновиться до премиум, а сиквел можете и не устанавливать).

    Wednesday, November 29, 2006 11:08 AM
  • 14 Ввел в сеть сервер SBS2003Standart SP1. Возникли некоторые заминки. Например, на многих хостах учетная запись пользователя является учетной записью администратора по умолчанию. Импортируя этот профиль в доменную уч. запись при коннекте машины в домен возникают проблемы. Во-первых, без расшаривания папки профиля на сеть профиль копироваться не хочет. Во-вторых, профиль так и не импортировался, а создался новый. Может быть, это связано с тем, что по политике безопасности домена я переимновываю админскую учетку?

    15 Монтирование "моих документов" на сервер. Если в дефолтную папку (C:\Users Shared Folders), то все хорошо: документы переносятся, синхронизируются и доступы автономно. Но! эта папка находится на системном разделе. Я создаю на другом диске папку D:\documents и выставляю на нее разрешения по книге MS Press по SBS. Папки юзеров монтируются, синхронизируются, но я не могу их сделать доступными автономно. в чем трабл?

    Friday, December 01, 2006 7:22 PM
  • 12. POP3 connector, поставляемый с SBS  позволяет подключаться к серверу почты по POP3 не чаще 1 раз в 15 минут. Будет всё брать от прова и раскладывать по ящикам Exchange. Причём не зависимо от того, валит пров всю твою почту в 1 ящик или тоже раскладывает по разным.

    13. Со спамом борюсь при помощи Intelligent Message Filtering в Exchange путём его включения, настройки и регулярного обновления. Ещё там же включена проверка по бесплатному black list. А ещё путём использования фильтра нежелательной почты в MS Outlook 2003. Получается прямо скажем как у всех, то есть хреновенько.

    Thursday, January 11, 2007 10:17 PM
  • A15: В свойствах сетевого ресурса необходимо разрешить кэширование.

    Friday, January 26, 2007 10:41 AM
  • 5. Там в поставке идет Exchange, проще организовать почтовый сервер у себя , но нужно помнить следующее:

    - нужна антивирусная защита сервера

    - т.к. на него будет валится почта, нужно у хостера перезаписывать MX на вашь сервер, и просить его сделать запись о вашем сервере в своей обратной зоне, если хостер это не может(бывают такие) тогда нужно обратится к своему провайдеру.

    плюсы ссвоего внутреннего почтового сервера описывать не буду.. можете почитать соответствующую ветку форума, минусы возрастет интернет трафик.

    7. Кроме стандартных решений я бы порекомендовал вам посмотреть возможности других Вендеров(например Symantec). я бы рекомендовал бы вам делать не Инкрементальную, а Диференциальную архивацию.. так меньше времени на восстановление.

    9. у сервера должен быть один интерфейс, с несколькими интерфейсами Доменная структура работает стабильно лишь в SBS Premium, в остальных ОС  сетевой интерфейс должен быть один, если стоит на нем Active Directory. А SBS это только Active Directory. Так что я не представляю как у вас будут два интерфейса на сервере, хотите иметь один сервер тогда SBS Premium.

    10. Вам нужно различать Фаерволы и Брендмауэры(персоональные фаерволы). вот то что вы написали это персоональные фаерволы,они не годятся для защиты предприятия, ибо защищают лишь компьютер на котором они установлены.

    11. можно..поставить все что угодно, если хотите использовать ISA Server 2004 то это SBS Premium, т.к. эта система заточена на работу с двумя интерфейсами.

     

    Monday, February 05, 2007 4:48 PM
  •  spavlov написано:

    9. у сервера должен быть один интерфейс, с несколькими интерфейсами Доменная структура работает стабильно лишь в SBS Premium, в остальных ОС  сетевой интерфейс должен быть один, если стоит на нем Active Directory. А SBS это только Active Directory. Так что я не представляю как у вас будут два интерфейса на сервере, хотите иметь один сервер тогда SBS Premium.

    10. Вам нужно различать Фаерволы и Брендмауэры(персоональные фаерволы). вот то что вы написали это персоональные фаерволы,они не годятся для защиты предприятия, ибо защищают лишь компьютер на котором они установлены.

    11. можно..поставить все что угодно, если хотите использовать ISA Server 2004 то это SBS Premium, т.к. эта система заточена на работу с двумя интерфейсами.

    9. Кто Вам сказал, что AD "работает стабильно только в SBS Prem" и это зависит от сетевых интерфейсов??

    Почитайте руководства по SBS. Вам будет известно, что типичный SBS имеет два интерфейса - один во внутреннюю сеть, другой во внешнюю. и никаким образом это ни на AD, ни на чем-то еще негативно не сказывается.

    Вы говорите "SBS это только AD"? Забыли по меньшей мере про Sharepoint services, Remote web workplace, Outlook Web Access и многое другое. Может вы знаете, как их использовать без внешнего интерфейса? 

    10. то, что было перечислено, скорее прокси со статистикой.

    11. без комментариев. см.9.

    Tuesday, February 06, 2007 6:16 AM
  • 1. Если вы поднимете внутри домен company.ru, то изнутри, естественно, будете попадать на внутренний сервер. ping company.ru будет пинговать ваш внутренний сервер. Так что если нужен изнутри доступ к сайту компании, который хостится далеко, то используйте другое имя домена для внутренней сети (company.local, к примеру).

    Доброго дня, помогите с проблемой, еже был сервер с доменным именем company.com.ua, появился сайт с таким же именем company.com.ua, и теперь нельзя на него зайти с внутренний  сети, есть ли какое то решение? интернет раздаёт роутер.
    Tuesday, August 03, 2010 1:44 PM