none
Windows 2008 R2 a Windows 7 ( problém s NAT )

    Dotaz

  • Dobrý den, mám takový problém se sdílením internetu ze serveru na klientská stanice, jsem v tomto oboru zčátěčník, zatím trénuju na virtuálech. Na serveru mám AD, DHCP, DNS, Tiskový a Souborový server. Všechno funguje až na polofunkční nasdílený internet. Na klientovi můžu načíst webové stránky jen s *.cz doménou, *.com fungujou jenom nějaké a některé weby se nezobrazí vůbec (třeba www.microsoft.com se ani nenačte o_O ), na Windows 2k8r2 jede vše nádherně, každý web se zobrazí, ale na W7 nikoliv :/ nevím kde dělám problém. Do NIC1 přiveden net (od providera "UPC" DHCP) na serveru zapnut NAT který sdílí net na NIC2. Klient obdrží z 2K8R2 ip (192.100.100.10-20) masku (255.255.255.0) getway (192.100.100.1) dhcp server (192.100.100.1) a dns (192.100.100.1) což je dle mne v pořádku. Na WIN2K8 s Vista tento postup fungoval naprosto v pořádku. Netuším, třeba nějaké nové zabezpečení tomu brání, možná také ne. Budu rád za jakoukoliv radu (jinak připomínám, moc s MS SERVER produkty neumím, dík za braný ohled na mne)

    //oprava
    Do NIC1 přiveden net (od providera "UPC" DHCP) na serveru zapnut NAT který sdílí net na NIC2. Klient obdrží z 2K8R2 ip (192.168.10.10-20 ) masku (255.255.255.0) getway (192.168.10.2 ) dhcp server (192.168.10.2 ) a dns (192.168.10.2 ) což je dle mne v pořádku. Na WIN2K8 s Vista tento postup fungoval naprosto v pořádku. Netuším, třeba nějaké nové zabezpečení tomu brání, možná také ne. Budu rád za jakoukoliv radu (jinak připomínám, moc s MS SERVER produkty neumím, dík za braný ohled na mne)
    • Upravený ksajtak 18. září 2009 14:48 oprava
    17. září 2009 20:13

Odpovědi

  • Obavam se ze v tom pripade je cas na nejaky chytry analyzator packetu (MS Network Monitor nebo Wireshark)

    Pokud se NEKTERE adresy resolvuji a nektere ne je to opravdu divne, nicmene i to jsem jednou zazil na ADSL - NEKDY chodily poskozene packety s DNS odpovedmi. GTS (grin) to nakonec svedla na O2

    MP
    19. září 2009 17:23
    Moderátor

Všechny reakce

  • Problem je s HTTP, DNS nebo NAT? Jak je nastaveno DNS  na Win2008 (pomoci forwarders - nedoporucuji nebo rekurzivne)?

    Tzn. co nslookup, tracert, wireshark a dalsi nastroje (ktere funguji stejne na MS i ne-MS produktech :-P )

    MP

    18. září 2009 5:55
    Moderátor
  • Řekl bych že bude problém s DNS, když jsem zadal do DHCP serveru i dodatečnou (sekundární DNS) DNS IP providera (UPC) aby byl přidělěn i klientum, tak net najednou funguje skvěle. Ale nepřipadá mi to jako dobré řešení. Co se týče té vaší rady ohledně nastavení DNS, nevím jak docílím aby bylo "rekurzivní" Rád bych aby klienti měli čiště jednu DNS a ( jen tu serverovou "192.100.100.1" ) takhle mají klienti jak tu serverovou tak i tu providerskou "213.xxx.xxx.36" Díky za další radu a udělání si času na to tu číst mé posty x)
    18. září 2009 6:27
  • Aha.

    SILNE NEDOPORUCUJI POUZIVAT DNS PROVIDERA. Pokud mas na Win2008 serveru nainstalovany DNS je v defaultnim nastaveni rekurzivni (prohledava od korenovych serveru az po autoritativni) proste predej pomoci DHCP jeho adresu (adresu sitovky smerem do vnitrni site!) klientovi. Pokud chapu dobre je to adresa 192.100.100.1.

    Dale zkontroluj ze i server je "svym dns klientem", ze nepouziva zadny jiny DNS server a ze DNS bezi jen na "intranetove" sitovce
    Vypis ipconfig /all ze serveu a nejakejho nemocneho klienta by napovedel.

    Otestuj nejprve na serveru a pak na klientu prikazy:
    > nslookup
    > server 192.100.100.1
    > set q=A
    > www.microsoft.com

    Vrati se ti spravne jedna ci vice adres (A zaznamu)?

    MP
    18. září 2009 7:25
    Moderátor
  • Jeste pro jistotu: predpokladam (dle adres) ze NEpouzivas jednoduche Internet connection sharing ale "plnou verzi", tzn. RRAS ve funkci NAT + dalsi servery/sluzby jako je DNS a DHCP

    MP
    18. září 2009 7:28
    Moderátor
  • Tak tady je screen serveru
    http://img29.imageshack.us/img29/7093/83581324.png

    Klienta
    http://img3.imageshack.us/img3/1682/12724527.png

    Jinak roli používám "služba síťové zásady a přístup" a v něm zapnut NAT

    Tentokrát jsem zkusil nainstalovat WIN2K8R2 i na železo a nastavil mu IP

    192.168.10.2 ip
    255.255.255.0 mask
    127.0.0.1 dns

    a na klient. je zas nastavena ip (viz screen)

    ... stejný postup na WIN2K8 funkční na WIN2K8R2 nic :/ jenom některé stránky fungují.

    KS


    18. září 2009 11:25
  • Co znamena ANGLICKY "služba síťové zásady a přístup"? To je RRAS?

    Nemas na klientu zapnuty autotuning TCP/IP?

    Nicmene je divne ze nslookup neresolvuje ani primo na serveru. Rikal jsi ze NEKTERE adresy NEKDY zresolvuje, zkus to na serveru nekolikrat pro ruzne adresy (myslim nslookup).

    Jak presne mas nataveno DNS server? Krom toho ze ti napr. chybi reverzni/PTR zony? Bez toho se asi nehneme.


    MP

    18. září 2009 11:46
    Moderátor
  • Tak jsem udělal screen, snad pomohu jím více
    http://img196.imageshack.us/img196/4746/93036491.png

    Viz jsem přidal pár UPC DNS adres a najednou jde vše tak jak má... snad je to nastavené dobře ... uvidím jak dlouho s tímto nastavením vydržím

    KS

    //edit: Tak si říkám že jsem vlastně asi nevyřešil svůj problém, jenom jsem tedy předal problém na jiný DNS, takže moje DNS není zřejmně v pořádku. Jinak se doopravdy omlouvám v mé nízké znalosti DNS atp.
    • Upravený ksajtak 18. září 2009 12:44 edit
    18. září 2009 12:34
  • To je prave to co jsem ti nedoporucoval, ale da se s tim zit.

    Posli printscreeny:
    - zony dopredneho vyhledavani (NESMI tam byt zona .)
    - zony zpetneho vyhledavani (chybi ti tam 100.100.192)
    - odkazy na korenove servery (melo by jich tam byt 13)

    MP

    P.S. 192.100 je VEREJNA sit. Nechtel jsi nahodou sit 192.168.100?

    18. září 2009 13:27
    Moderátor
  • Screeny:
    * Dopřed. vyhledávání - http://img40.imageshack.us/img40/1/92467483.png
    * Zpětné vyhledávání - http://img19.imageshack.us/img19/3383/33287960.png
    * Kořenové servery - http://img27.imageshack.us/img27/8125/23933620.png


    18. září 2009 14:29
  • V tomto pripade by ti DNS melo fungovat i bez forwarders. Over u providera zda neblokuje DNS dotazy (ale to by ho uskrtilo hodne uzivatelu!)

    Nezapomen si vytvorit zonu pro reverz - nejprve si ale ujasni zda opravdu chces pouzivat adresu 192.100.100.1 ktera patri "Naval Ocean Systems Center" v Kansasu?

    MP
    18. září 2009 14:34
    Moderátor
  • Dumám nad tím, ja někde používám 192.100.100.1? To sem se udělal chybky v textu, měl jsem namysli 192.168.10.2 ( asi jsem Vás musel zmást ) ... ohledně vytvoření té "reverz" zóny, jak toho docílím?

    P.S. Tak jsem opravil popis mé chyby v prvním postu
    • Upravený ksajtak 18. září 2009 14:48 oprava
    18. září 2009 14:41
  • Hned 1. prispevek "Klient obdrží z 2K8R2 ip (192.100.100.10-20)". Doufal jsem ze jde o preklep :)

    Proste prave tlac na reverznich zonach - nova zona  - primarni - AD integrated (je-li daleuvedena sit primarne pro cleny AD) - NetworkID 192.168.10 (vytvori se zona 10.168.192.in-addr.arpa) - povolit jen secure updates (predpokladam ze se jedna o win domenu/servery)

    Nezapomen hned vytvorit PTR zaznam pro server!

    MP

    P.S. proc pouzivas IPV6? Resp opravdu pouzivas? Pokud ne vypni.
    P.P.S Administroval jsi nekdy *nixovy bind pomoci text. editoru? Doporucuji si to zkusit, uvidis jak budes vdecny za MS DNS a klikatka :)

    18. září 2009 14:48
    Moderátor
  • Takže pokud jste měl namysli abych vytvořil toto budu zpokojen, že aspoň něco jsem udělal dobře x)
    http://img19.imageshack.us/img19/1613/98974311.png

    Co se týče IPv6 , tak taktéž jsem už dumal jak vypnout ( bohužel netuším :/ )
    18. září 2009 15:02
  • http://img19.imageshack.us/img19/1613/98974311.png
    Ted kdyz spustis nslookup na staici uz ti to nepise UnKnOwn ze :) ? Tedy pokud ses nepreklepl / ja neprekoukl

    K IPV6: Nemusis vypinat. Proste si otevri prislusny adapter a ve vazbach IPV6 odskrtni

    MP
    18. září 2009 18:13
    Moderátor
  • Máte pravdu, UnKnOwn už mi to nepíše :-) Jen je škoda, že pořád nejde ta většina .com stránek bez zapnutého předávání na providerský DNS :-/

    KS

    P.S. Jinak jsem velmi rád za Vaši ochotu mi tu pomáhat x)
    19. září 2009 12:23
  • Obavam se ze v tom pripade je cas na nejaky chytry analyzator packetu (MS Network Monitor nebo Wireshark)

    Pokud se NEKTERE adresy resolvuji a nektere ne je to opravdu divne, nicmene i to jsem jednou zazil na ADSL - NEKDY chodily poskozene packety s DNS odpovedmi. GTS (grin) to nakonec svedla na O2

    MP
    19. září 2009 17:23
    Moderátor