none
Windows Server 2008 R2 DNS a VLANy - mišmaš

    Dotaz

  • Zdravím vás všechny, co děláte taky trochu do Windows Server. Chci se zeptat, zda-li jste také někdo neřešil následující problém. Ve škole používám 7 VLAN sítí s adresací 192.168.1x.0/24, kde X je číslo VLAN + 10. Infrastruktura je takováto:

    SWITCH (Cisco C2960/8) ---------- VLAN 11,12,13,14,15,16,17 -----> Windows Server

                                        ---------- VLAN 11 učebna

                                        ---------- VLAN 12 učebna .... atd.

    Windows Server mi plní funkci DC, DNS, DHCP a dalších podpůrných. Problém je takový, že mi na něm běží třeba i ESET update server, který je v DNS pojmenován jako ESET-NOD.domena.local .... To je všechno v cajku. Problém je, že když se PC ve VLAN 11 ptá DNS serveru ve VLAN 11, jakou IP adresu má ESET-NOD, často dostane A záznam třeba pro VLAN 14 nebo i jinou. Samotný ESET-NOD má v DNS 7x A záznam pro každou VLAN.

    Nevíte tedy někdo náhodou, jak zajistit, aby DNS na Windows Serveru poslalo do VLAN vždy adresu, která patří do daného adresního rozsahu ? PC je adresováno 192.168.11.100 - 192.168.11.1xx s výchozí bránou 1.254 Server má vždy 1. adresu v rozsahu. Výchozí bránu má pouze ve VLAN 17, přes kterou komunikuje ven.

    Klienti jsou Windows XP SP3 (ty to dělají pravidelně) a pár Windows 7 (tam jsem to zatím nepozoroval, ale máme jen 4 stanice s tímto systémem)

     

    Díky všem za rady

    čtvrtek 14. dubna 2011 21:02

Odpovědi

Všechny reakce

  • Mate problemy ktere vyplyvaji z konfigurace, ktere se rika multihome domain controller. DNS registruje sedm siti na sitovem portu domenoveho radice a tedy se objevi sedm "identit". Co jste tim chtel dosahnout?

    http://technet.microsoft.com/en-us/library/cc772564.aspx

    http://msmvps.com/blogs/acefekay/archive/2009/08/17/multihomed-dcs-with-dns-rras-and-or-pppoe-adapters.aspx

    http://technet.microsoft.com/en-us/library/cc771849(WS.10).aspx

     

     

    pátek 15. dubna 2011 7:09
    Vlastník
  • Ne, server vidí 7 síťových karet, které vytvoří VMWare ve virtualizéru. Traffic a všechno okolo chodí. Problém je jen a jen ten, že DNS občas do té VLANy pošle DNS záznam, který je platný pro jinou VLANu. Já právě chci, aby to dělalo DNS pro všechny VLANy. Aby traffic nemusel chodit přes router, ale v rámci 1 VLAN...
    pátek 15. dubna 2011 10:24
  • Kde se vzalo VMware? V puvodnim dotazu NIC TAKOVEHO NENI!? Nechcete nam poskytnout vsechny dulezite udaje najednou?

     

    pátek 15. dubna 2011 10:41
    Vlastník
  • Aha, máte pravdu. Na to jsem jaksi pozapomněl. Situace je tedy následující.

    1x fyzický server, na němž jede VMWare ESXi 4, pod nímž běží 1x Windows Server 2008 R2.

    Tento server plní funkci DNS, DHCP, AD, File Share a Print serveru. V konfiguraci VMWare má 7 virtuálních síťových karet, které tedy server vidí jako fyzické => 7 rozhranní v "ncpa.cpl".... Co rohzranní, to access přístup do VLAN. Tzn. VLAN 11-17, vždy každá síť na 1 rozhranní. Adresace je 192.168.xx.1/24, kde xx je číslo VLAN. Server má tedy v DNS záznamy, že srv-oa.skola.local se nachází na 192.168.11.1 ; 192.168.12.1 .... 192.168.17.1

    Výchozí brána je nastavena jen na 192.168.17.1 a její adresa je 192.168.17.254.... Všechno funguje jak má, ale kámen úrazu nastává při překladu DNS jmen na IP adresy. Na klientských stanicích (Windows XP , pár Windows 7) je nainstalován NOD 32 antivir a ten má svůj aktualizační server a ten jako tento má 7 síťových karet. a v DNS IP adresy 192.168.11.2 ... 192.168.17.2 a výchozí bránu též na 192.168.17.254.

    Problém je takový, že když PC ve VLAN 11 žádá DNS server na adrese 192.168.17.1 o překlad DNS jména eset-nod.skola.local, tak někdy dostane správnou IP , tzn. 192.168.11.2, ale mnohem častěji dostane IP např. 192.168.16.2 nebo 192.168.14.2... v tu chvíli by ten provoz musel jet přes router, kde mám routování mezi VLAN z bezpečnostních důvodů zakázané.

    A já se tedy ptám. Je možné nějako někde DNS nastavit tak, aby VŽDY dalo klientovi odpověď s IP adresou, která spadá do daného adresního rozsahu, ze kterého požadavek přišel ???? Myslel jsem si, že to jaksi tak bude chodit, no očividně jsem se mýlil. Pozoruju to zatim jen na XP klientech, ale je to možná tím, že ve škole máme Win 7 jen na 4 PC... Doufám, že jsem to teď vysvětlil pochopitelněji a přesněji

    Díky moc za radu, Vaňátko

    pátek 15. dubna 2011 14:16
  • PORAD CHYBI INFORMACE, PROC JSTE ZVOLIL TAKOVOU KONFIGURACI A PROC TOHLE VSECHNO NEMUZE BYT NA JEDNE SITI. NENI ZREJME JAKE BEZPECNOSTNI PROBLEMY RESITE, ZE SI KOMPLIKUJETE ZIVOT TAKOVYM ZPUSOBEM. PRECTETE SI VYSE UVEDENE ODKAZY TYKAJICI SE MULTIHOME KONFIGURACE SERVERU.
    pátek 15. dubna 2011 15:20
    Vlastník
  • Já výše poslané odkazy chápu. Jde o to, rozdělit síť do několika zcela nezávislých VLAN, kde by stejně AD a DHCP server měl být.. jde mi jen o to, zda-li se dá DNS nastavit tak, aby vracel primárně A záznamy pro adresní rozsah, ze kterého příjde dotaz... Nevím jak vy, ale já víc jak 20 počítačů do 1 sítě nedávám, protože broadcastový provoz to pak silně omezuje a nemam to rád.... Jestli to nejde, vyřešim to nějak jinak... Nějakou kličkou
    pátek 15. dubna 2011 16:33
  • DNS: Server DNS odpovida na IP adresach uvedenych v Properties > Interfaces

    BROADCAST: Proc broadcast omezuje provoz ve vasi siti?


    sobota 16. dubna 2011 10:05
    Vlastník
  • Je mi jasné, že DNS odpovídá tam, kde má..... Vzhledem k tomu, že na Win 7 to se MS S 2008 R2 chodí už v pohodě, vyřešim si problém vracení špatných A záznamů nějak jinak přes IPTABLES v Linuxu. Jen jsem čekal, že DNS primárně vrací záznamy, které patří do sítě, ze které přišly....

    Co se týče broadcastu, tak akorát zbytečně spomaluje provoz na síti, protože všechny stanice musí každý broadcast přečíst a zpracovat a v 99% případů zahodit. => zbytečné plýtvání časem té stanice => snížení propustnosti jiných uzlů sítě. Proto dělím na VLANy co to jde... problém je pouze a jen s DNS, jako ve 80 % případů v sítích s MS...

    Štve mě i to (nevim jestli i Vás), že nelze upřednostnit interface, přes který má DNS odpovídat ve chvíli, když příjde DNS požadavek ze sítě, která není přímo připojená na některý interface serveru. Ano, dá se to vyřešit přes IPTABLES v linuxu pomocí DNAT a SNAT, ale proč to dělat složitě, když by to mohlo jít i jednodušeji.

    pondělí 18. dubna 2011 13:02
  • 1. Zajimalo by mne, jaky je mechanismus tak velkeho obsahu broadcastu ve vasi siti. Tipoval bych to na spatnou konfiguraci. Muzete poskytnout vypis komunikace z MS Network Monitoru nebo Wiresharku?

    2. DNS mne opravdu netrapi. Multihome DC se vyhybam (krome SBS).

    3. Pokud vam technologie MS nevyhovuje, muzete pouzit Sambu v prostredi Linuxu.

    pondělí 18. dubna 2011 19:27
    Vlastník
  • 1. Není to žádné obrovské množství. Dělám to kvůli tomu, že chci, aby počítače nebyly otravovány zbytečným provozem. Navíc pro segmentaci do VLAN mám i jné důvody, jako např. snadnější správa sítě, možnost jednodušší konfigurace FW apod...

     

    2. Tak jak tedy řešíte síť, kde jsou použity VLAN sítě a doména jede na Windows Server ? Jako škola fakt nemůžeme mít v každé síti 1 samostatný server nebo nějakou podobnou bláznovinu.

     

    3. Mně MS technologie vyhovuje plně a zastávám názor, že Linux je dobrý systém, ale jak na co... Firewally, routery, proxy apod.. jedině na Linuxu, ale doménové služby jedině na MS.

    pondělí 18. dubna 2011 20:04
  • 1. Zatim zadne rozumne vysvetleni nevidim.

    2. Mel byste mit alespon DVA domenove radice bez ohledu na konfiguraci. Slozitejsi struktury se resi pomoci AD SITE & SERVICES

    3. IMHO To moc profesionalni pristup neni, ale chapu, ze to je z rozpoctovych duvodu.

    Pokud je podle vas rozliseni jmena serveru pro ESET_NOD jedinym problemem, pak muzete pouzit soubor hosts.

     

     


    úterý 19. dubna 2011 6:40
    Vlastník
  • několik poznámek na shrnutí dosavadní komunikace:

    a) DC rozhodně NEdělejte více-síťovkové. prostě ho dejte do nějaké IP sítě/VLANy.mít více síťovek je složité a znestabilňuje to celé řešení. sice to jde zařídit, ale obvykle je to cesta ke komplikacím. potom zařiďte směrování (routing) tak, aby se na každé DC dalo dostat ze všech klientů.

    b) pokud budete mít různá DC ve více IP rozsazích, tak si musíte v AD udělat pomocí konzole Sites and Services příslušné IP rozsahy, vytvořit pro ně samostatné Sites a DCčka rozházet do příslušných Sites. Tím pádem budou klienti vědět, které DC mají preferovat a ostatní budou používat pouze jako záložní. KLienti vždycky preferují DC ze svého rozsahu, pakliže je to správně nastaveno v AD Sites and Services.

    takto se to dělá správně. DNS sice také preferuje IP adresu sítě klienta, pokud byste se ptal přímo na jméno, které má více A záznamů (bitmask ordering), ale v případě DC se vždycky ptáte jen jeden záznam a tedy se tahle fíčura neuplatní.

    ondra.

     

    středa 20. dubna 2011 11:50
  • Ok.. díky za vysvětlení... Ale tohle se mi prostě nezdá. co přesně je na tomto řešení špatného... více DC než 1 mít nebudu, protože ho nepotřebuju. Jinak o Sites samozřejmě vím :-) ... Nicméně DNS mi už funguje naprosto stabilně... problém byl ve špatně nastaveném DHCP... Kolega dostal poučující přednášku a já se zase naučil něco nového.. Jinak, jediná nevýhoda by byla v tom, kdy se ptá PC z nějakého rozsahu někde v kšá na IP adresu toho DC serveru.. pak se samozřejmě nějak DNS odpovědi mění, podle toho, který A záznam si DNS vybere a pošle mu... Jinak ve vnitřní síti to vůbec žádný problém nedělá a ještě šetřím kapacitu routeru :-)

    Vy rodilí MS admini mi určitě řeknete, že je to naprosto špatné řešení, ale já to tak opravdu nevidím :-) Jak si tak čtu vaše reakce, tak máte asi i pravdu v tom, že to ušetří jednoznačně problémy s DNS.. ono asi není dobré mít 1 počítač dostupný na vícero IP adresách.. horší je, jak to zařídit tak, aby DHCP mohlo běžet na tomto DC serveru a přitom se propagovalo do zbytku sítě ? DHCP přeci využívá broadcasty. Z toho důvodu si nemůžu dovolit dát DC jinam.

    středa 20. dubna 2011 14:15

  • presne jste prisel na ten duvod, proc je to problem mit multi-home DC.
    proste si by-default registruje pro svuj A zaznam moc ruznych IP adres.
    nerekl bych, ze to je definitivne spatne reseni, jen proste je to komplikovanejsi. IT jeste
    neni tak usedle jako jine obory, takze se porad jeste neda hovorit o nejakych
    prilis zabehnutych use-case :-)

    k tomu tedy nekolik poznamek:

    - vubec by nevadilo, ze ma vice IP adres, pokud jsou vsechny dostupne ze vsech klinetu
      tzn. i kdyz by klient nahodou dostal najekou "hnusnou" adresu, stejne by se tam dostal

    - DNS server dela prave i kvuli tomuto problemu tzv. netmask ordering. Tzn. klient dostane
      vzdycky primarne IP adresu ze sveho subnetu. Horsi to je pokud klient neni na
      stejnem subnetu, jako je nejaka IP adresa toho DC - tedy je dale jeste pres jeden router.
      To potom netmask ordering nefunguje a klient dostane vsechy adresy DCcka v nahodnem poradi

    - pokud chcete, je mozne vypnout dynamickou registraci tech IP adres uplne. Tim byste
      zpusobil, ze v DNS by byla treba jen jedina A adresa toho DC. Pokud by se vsichni klienti
      na tuto adresu byli schopni dostat, tak by to jelo hladce.
         - stejne mate to DCcko "on-the-stick" na nejakem L3 switchi, ne? takze by to nemel byt
         problem aby se tam vsichni klienti dostali v pohode.

    - pochopil jsem, ze jediny duvod, proc to musi mit vice sitovek je, aby to mohlo poskytovat
      DHCP do vsech tech podsiti? tohle se ale da vyresit i jinak. Mohl byste mit jen jednu
      sitovku v jedne jedine z tech vasich VLAN. Na L3 switchi byste si zapnul tzv.
      DHCP Relay Agenta (jmenuje se to ruzne, ale je to porad to stejne), ktery by jen preposilal
      DHCP dotazy z klientu na to DC/DHCP v jedne z tech vasich VLAN. Tim byste se zbavil
      vicesitovkovani a pritom by to jelo naprosto standardne.
         - ani rekonfigurace toho stavajiciho DHCP by nebyla problem - jen byste vytvoril tzv.
           Superscope

    - upozornuju, ze mezi klienty a DCckem NEsmi byt NAT. to neni podporovane, i kdyz by to zrejme
      mohlo chodit

    - pokud se chcete zbavit premiry broadcastu, tak vypnete NetBIOS, muzete to udelat i pomoci
      DHCP. NetBIOS je na nic, jedine na co to nekdo potrebuje je "Okolni pocitace" ale nevim
      jestli je lepsi mit takovou megahruzu v siti, nebo radeji nevidet okolni pocitace, coz je
      ficura pro domaci pracovni skupiny


    tot vse :-)

    ondra.

    středa 20. dubna 2011 19:02
  • Lide v IT se rozdeluji na dve skupiny, na ty, kteri o data prisli a na ty, kteri o data prijdou.

    A tak je to s jednim DC. Uvazujte tak, ze musite v pripade vypadku DC obnovit provoz do nejake rozumne doby, jinak by vas ucitele a sefove "roznesli na kopytech". Stalo se dobrym zvykem, ze tam, kde o neco jde, tak DVA domenove radice jsou standardem.

    DHCP nemusite mit pro vsechny pocitace, kdyz se bojite broadcastu. Skriptem se da nastavit IP na desktopech velmi snadno a pro notebooky muzete mit pridelovani IP pres DHCP v oddelene siti.

    Stejne tak jsou i napady s NATovanim divoke. MS to nepodporuje. Muzete kontaktovat technickou podporu MS (tak to take MS radi) a dozvite se vice.

    Nevim kdo vam poradil strukturu site a to, ze routovani je nebezpecne, nebo kde jste to nacetl, ale reseni po kterem se pidite je netradicni a privodi vam vic problemu nez uzitku.

     

    středa 20. dubna 2011 19:17
    Vlastník
  • jen test psani.
    středa 20. dubna 2011 20:28
  • Děkuji za perfektní analýzu.

    - Já vůbec nemám problémy s DC jako samotným. To chodí naprosto v cajku a chodí to jako hodinky. Jak sám píšete. DNS server dělá "netmask ordering".. tzn. pokud příjde požadavek ze subnetu např. 192.168.1.0/24, tak vrátí primárně A záznam z 1.0/24 sítě, že ? Pokud není, vybere nějaký náhodný... V tom případě by ale multi-homing problémy nedělal. Dělalo by to problémy, pokud by právě byl ten DC DCčkem i pro klienty, které na to DC nejsou přímo připojeni. => problém, o kterém se tu bavíme je ten, že to bude zlobit jen pro klienty mimo sítě, které nejsou přímo přivedeny na DC. Ale nebude to zlobit u klientů, kteří jsou přímo připojeni. => použití VLAN a třeba 20 síťovek problémy dělat nebude a DNS bude vracet správné záznamy. Horši teda bude obludně velká tabulka A záznamů pro každou podsíť.

     

    - Pochopte, my jsme střední škola a to ještě netechnického typu.. L3 switche u nás naprosto neexistuje :-D.. počítače kupujeme repasovaná HPčka a díky starosti některých PC v učebnách jedeme stále na Win XP. Nemůžu tu řešit nějaké bláznoviny s DHCP typu nějakých totálně zbytečných skriptů, na NATy a podobné bláznoviny.. vůbec ne. Musí s tím umět pracovat i kolegové, co ITE přímo vyučují a ne jen já. Až já ze školy odejdu, musí to umět tak nějak základně spravovat i oni. Nemůžu vymýšlet složitosti, když to jde jednodušeji.

    - Co se týče 2 serverů. Podle licenčních podmínek můžeme mít 2 virtuální servery v edici Standart. To samozřejmě máme. 1 dělá právě DC a 1 dělá Exchange, WSUS a File server. Zálohy jedou do Linuxu přes program 3. strany, protože Windows Zálohování je v 2008 silně na prd. Na prázdniny plánuju, že síť totálně překopu a přejdu na 2 DC, kde 1 bude sloužit jako pro DC služby, DHCP, DNS, WDS apod.. a na 2. pojede WSUS, Exchange a File server. To snad je čistější řešení.

    - Pokud NetBIOS neovlivní sdílení (což by teda neměl), tak mi okolní počítače jsou celkem buřt. Ty fakt vidět nemusím. Stejně, veškerá sdílení mám zatím udělány přes login skripty a až přejdem na Win 7, udělám si to přes předvolby. Jinak, na obrázek sítě můžete mrknout sem http://data.oatrutnov.cz/topologie.png . Je to tam i s VLANy

    středa 20. dubna 2011 21:08
  • pokud máte opravdu všechny klienty v "přilehlých sítích", tak to máte ok :-)

    předvolby můžete používat aji s XPčkama:

    http://oldweb.sevecek.com/index.php?id=97

    o.

     

    středa 20. dubna 2011 21:14
  • Ano, defacto všichni klienti jsou přímo připojeni na server. Ten DC server se fyzicky tváří jako že má pod sebe připojeno 7 VLAN a to chodí naprosto bez jediné chybičky.. Jediný problém je obrovské množství A záznamů v DNS, ale to není problém funkčnosti, spíše jen praktičnosti.. O tom KB balíčku pro předvolby pro XP vím, ale občas se mi stávalo, že to nedělalo dobrotu. Při stejné konfiguraci s Win 7 to ale chodilo bez nejmenšího problému, takže čekám na prázdniny a jakmile bude čas, tak 2 hlavní učebny snad na Win 7 otočíme... holt, v netechnickém školství nejsou peníze ani na repasovaná PC
    středa 20. dubna 2011 23:49