none
targetdomain-linux router-source domain RRS feed

  • Вопрос

  • у меня такая инфраструктура: http://193.219.88.11/shema.jpg  делаю миграцию из NT в w2k3, но серверы один другого "не видят" и даже не PING'уются. установить между ними доверительные отношения сделать миграцию юзеров получилось только после того как IP обеих серверов поменял на 192.168.0.x. поменял IP на прежние и опять никакого контакта. как правильно выполнить миграцию при такой структуре?
     кстати из любого компа из локальной сети у которого IP 192.168.0.x PING на исходный домен 193.219.88.3 тоже не отвечает хотя он и управляет этой локальной сетью. на вашем сайте однажды упомянули о том что между доменом и клиентами роутер нежелателен. но NT все-таки прекрасно работает. может есть какие-нибудь предложения?

Ответы

  • при помощи утилит DCPROMO и ntdsutil
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    • Помечено в качестве ответа pavliuccio 19 мая 2009 г. 7:18
    Модератор

Все ответы

  • Если верить вашей схеме, то роутер находится не между контроллерами (в этом случае они были бы в разных подсетях) а в одной подсети с ними обоими. Или же контроллеры разнесены территориально и роутер обеспечивает связь между ними по VPN? Опять таки - к какому интерфейсу роутера подключены сервера? к тому, что смотрит в сеть 193.219.88.х или к тому, что смотрит в сеть 192.168.0.х ? Схема указывает на второй вариант, и в таком случае понятно, почему сервера не видят друг друга. Но что-то подсказывает, что вы просто неаккуратно нарисовали схему. Почему не пингуется исходный сервер - скорее всего у него установлен запрет на прием эхо-запросов по протоколу ICMP (а команда ping использует именно этот протокол), либо сам роутер блокирует прохождение эхо-запросов. Страшного тут ровным счетом ничего, если не считать того что диагностировать какую-либо проблему удаленно будет немного сложнее. По поводу миграции с NT на 2003 было очень хорошее обсуждение на этом форуме
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    Модератор
  • Да,все они трое находятся в одной сети и не разбросаны территориально, все в одном здании. на вопрос про интерфесы отвечаю скриншотом: http://193.219.88.11/tracert.jpg (У обоих серверов скриншоты аналогичны.) А это скриншот http://193.219.88.11/tracert1.jpg из любого компьютера из  локальной сети у которых IP 192.168.0.x.

  • укажите более подробные данные на схеме..
    необходимо присутствие данных об ip/масках/шлюзах.. желательно и физическая схема.. интерфейсы/сегменты..
    mcp, mcdba, mcsa, mcse, ccna
  • укажите пожалуйста маски подсети и шлюзы прописанные на контроллерах домена..
    mcp, mcdba, mcsa, mcse, ccna
  • Роутеры у вас, судя по трассировке, вообще в обмене информацией не участвуют либо для серверов они полностью прозрачны. Опять же, судя по схеме ваши сервера из сети .213.88.х включены напрямую в сеть .168.0.х мимо роутеров. При таком раскладе они не будут видеть друг друга, что вполне естественно... Подключите сервера к роутерам со стороны интерфейса .213.88.х, сам роутеры - в свичи интерфейсом .168.0.х- при такой топологии все должно быть видно. Хотя смысл разноса серверов и клиентов по разным сетям мне несколько непонятен, особенно, если они находятся в одном здании.
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    Модератор
  • ipconfig/all из целевого сервера: http://193.219.88.11/ipconfig.jpg
    ipconfig/all из исходного: hostname ........cb.mab.lt
                                          DNS Servers.....193.219.80.11
                                                                  193.219.61.11
                                                                  193.219.80.2
                                          Node Type.........Broadcast
                                          IP Routing.............no
                                          Wins Proxy............no
                                          DHCP...................no
                                          IP Adr..............193.219.88.3
                                          Subnet mask....255.255.255.240
                                          Default getaway..193.219.88.1
    На роутер 193.219.88.8 с сетью 192.168.1x можно вообще не обращать внимания, это уже другая контора.

  • P.S. в этот linux роутер входит только один интернет-кабель, в нем только одна сетевая плата, вторая там как бы виртуально.
  • так как они в одной подсети и широковещательном домене им шлюз и не нужен для обмена информацией друг с другом..
    покажите tracert 193.219.88.11 с winnt4 и tracert 193.219.88.3 с wins2k3
    также неплохо было бы увидеть таблицу маршрутизации.. route print
    mcp, mcdba, mcsa, mcse, ccna
  • tracert 193.219.88.11 c winNT http://193.219.88.11/7.jpg
    193.219.88.3 c w2k3 чуть позже.
    я не знаю как сделать route print.

  • вы говорили про ICMP. как это выключить?
  • tracert 193.219.88.3. c w2k3:
    Tracing route to 193.219.88.11 over a maximum of 30 haps
    1  <10ms    <10ms    <10ms    193.219.88.11
    Trace complete
  • ничо не понятно..
    у вас же win2k3 это 193.219.88.11 зачем бы делаете на нем же trace 193.219.88.11???
    а с winnt4 пытаетесь сделать трэйс себя же..
    mcp, mcdba, mcsa, mcse, ccna
  • tracert 193.219.88.11 c winNT http://193.219.88.11/7.jpg
    193.219.88.3 c w2k3 чуть позже.
    я не знаю как сделать route print.

    в командной строке набрать route print)) Более подробный синтаксис команды route  -в командной строке наберите route /?
    вы говорили про ICMP. как это выключить? Если прохождение этих пакетов блокировано маршрутизатором, то смотрите в руководстве по маршрутизатору - так с ходу не скажу, да и у каждого маршрутизатора есть свои тонкости в командном языке. Вообще, примерный вид правила на межсетевом экране (а именно эту роль берет на себя роутер): <any> ICMP -> IP-адрес_контроллера_домена = allow
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    Модератор
  • может я несовсем корректно написал, но здесь все правильно. этот скриншот http://193.219.88.11/7.jpg сделан на компьютере у которого ип 193.219.88.11, на нем я выполнял tracert 193.219.88.3
    А этот результат:
    Tracing route to 193.219.88.11 over a maximum of 30 haps
    1  <10ms    <10ms    <10ms    193.219.88.11
    Trace complete
     я получил на компьютере у которого ип 193.219.88.3. на нем я выполнил tracert 193.219.88.11.
  • по результатам tracert 193.219.88.11 с 193.219.88.3 видно что связь есть.. она прямая..
    по результатам tracert 193.219.88.3 с 193.219.88.11 видно что не проходят или не приходят пакеты udp..
    tracert не посылает icmp пакеты.. а использует udp.. возможно проблема с tracert связана с настройками фаервола..

    mcp, mcdba, mcsa, mcse, ccna
  • Kernel IP routing table

    Destination           Gateway      Genmask               flags       metric     Ref          Use Iface
    vartai.mab.lt             *            255.255.255.255       UH           0          0             0  eth0
    193.219.88.0             *            255.255.255.240       U             0          0             0  eth0
    193.168.0.0              *            255.255.255.0           U             0          0             0  eth0
    127.0.0.0                  *           255.0.0.0                  U             0          0             0  l0
    default              dgw.mab.lt     0.0.0.0                     UG           0          0             0  eth0

    Эта таблица из роутера.
      Файервол нужно настраивать на NT или на w2k3? как правильно его нужно настроить?
  • Kernel IP routing table

    Destination           Gateway      Genmask               flags       metric     Ref          Use Iface
    vartai.mab.lt             *            255.255.255.255       UH           0          0             0  eth0
    193.219.88.0             *            255.255.255.240       U             0          0             0  eth0
    193.168.0.0              *            255.255.255.0           U             0          0             0  eth0
    127.0.0.0                  *           255.0.0.0                  U             0          0             0  l0
    default              dgw.mab.lt     0.0.0.0                     UG           0          0             0  eth0

    Эта таблица из роутера.
      Файервол нужно настраивать на NT или на w2k3? как правильно его нужно настроить?
    тут роутер не играет роли.. они в одном домене широковещания.. и одной подсети..
    у вас же сервер wins2k3 в инет смотрит.. возможно какие/все порты прикрыты.. воспользуйтесь панелью управления.. в нем есть аплет для управления файеролом..

    mcp, mcdba, mcsa, mcse, ccna
  • если вы говорите о w2k3 то в нем файервол вообще отключен, а в настройках ICMP галочка стоит только на allow inconing echo request. А если вы говорите про файервол в NT то там его нет(или по крайней мере я его там не нахожу)
  • если вы говорите о w2k3 то в нем файервол вообще отключен, а в настройках ICMP галочка стоит только на allow inconing echo request. А если вы говорите про файервол в NT то там его нет(или по крайней мере я его там не нахожу)
    точно.. тамже NT.. запамятовал..

    mcp, mcdba, mcsa, mcse, ccna
  • tracert не посылает icmp пакеты.. а использует udp.. возможно проблема с tracert связана с настройками фаервола..

    mcp, mcdba, mcsa, mcse, ccna
    Изначально речь шла про невозможность выполнить ping на NT Server)) не сбивайте человека с толку)). По теме - route print Геннадий предлагал сделать с серверов. Сделайте, пожалуйста, и выложите результат.

    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    Модератор
  • route print сервера у которого ип 193.219.88.11: http://193.219.88.11/routeprint.jpg
    второй чуть позже.
  • route print сервера у которого ип 193.219.88.3: http://193.219.88.11/routeprint1.jpg
  • с таблицей маршрутизации все в порядке...
    у вас на winnt-сервере нет какихнибудь фаерволов сторонних производителей?
    потому как коммуникация исходящая с winnt4 на win2k3 проходит без проблем.. а вот входящие коммуникации не проходят..

    mcp, mcdba, mcsa, mcse, ccna
  • пока не знаю, посмотрю. может вы знаете как они могли бы называться? а что вы думаете насчет этого?:http://support.microsoft.com/kb/179442

  • пока не знаю, посмотрю. может вы знаете как они могли бы называться? а что вы думаете насчет этого?:http://support.microsoft.com/kb/179442

    эта статья вам как раз и поможет настроить фаервол.. чтобы создать доверительные отношение и произвести миграцию..
    потому как это у вас разовые действия (миграция), то лучше лучше бы было отключить брэндмауэр.. и провести миграцию...


    mcp, mcdba, mcsa, mcse, ccna
  • В w2k3 уже выключен. а в NT как?
  • если мне не изменяет память, то команда netsh firewall set portopening с сервера W2k3 как раз позволит вам открыть порты, указанные в статье по вашей ссылке. В  NT вроде бы встроенного брандмауэра не было - только сторонние вроде Kerio Winroute, Jetico Firewall, Nowell FireWALL и прочие

    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    Модератор
  • нашел! нашел такой outpost firewall pro, отключил его, теперь с доверительными отношениями все ок. и миграция работает. но есть следующие проблемы: для пробы перекинул пару юзеров, миграция прошла успешно,они появились в списке юзеров на w2k3. почему-то при запуске компа не могу войти в домен с под этими ими именами. принимает только администратора. и войдя администратором я заметил что в my computer>properties>computer name показывает все же старый домен а не новый. нажав change и вписав новый домен и нажав ок, вместо того чтобы попросить пароль выкидывает ошибку: a domain controller for the domain MAB1 could not be contacted. в общем на сколько я понимаю миграция прошла только как в качестве списка юзеров на w2k3, но реально ничего не работает и в w2k3 в my network place>entire network>microsoft windows network в сети mab1 отображается сам сервер.
  • нашел! нашел такой outpost firewall pro, отключил его, теперь с доверительными отношениями все ок. и миграция работает. но есть следующие проблемы: для пробы перекинул пару юзеров, миграция прошла успешно,они появились в списке юзеров на w2k3. почему-то при запуске компа не могу войти в домен с под этими ими именами. принимает только администратора. и войдя администратором я заметил что в my computer>properties>computer name показывает все же старый домен а не новый. нажав change и вписав новый домен и нажав ок, вместо того чтобы попросить пароль выкидывает ошибку: a domain controller for the domain MAB1 could not be contacted. в общем на сколько я понимаю миграция прошла только как в качестве списка юзеров на w2k3, но реально ничего не работает и в w2k3 в my network place>entire network>microsoft windows network в сети mab1 отображается сам сервер.

    только сам сервер.
  • P.S. http://193.219.88.11/9.jpg это нормально что предлагает выбрать аж из трех?
  • Из двух ,а не из трех, причем первый пункт - для миграции пользователей внутри домена. После миграции роли контроллеров настроили?
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    Модератор
  • нет,ничего не настраивал.
  • http://193.219.88.11/10.jpg вы это имеете в виду?
  • Хммм? У вас показаны нормально настроенные трасты)) По крайней мере, насколько я вижу. В общем, вам нужно старый контроллер понизить до рядового и убрать, тот, на который мигрировали - поднять до первичного контроллера. И вот эту статью еще почитайте.
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    Модератор
  • я это уже все до миграции сделал. а как старый понизить до рядового и новый поднять до первичного?
  • при помощи утилит DCPROMO и ntdsutil
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    • Помечено в качестве ответа pavliuccio 19 мая 2009 г. 7:18
    Модератор