none
Организация удаленного подразделения RRS feed

  • Вопрос

  •  

    Есть центральный офис. Домен. ПК. Стоит сервер (W2K3), на котором поднят AD  и DNS.

    (зона 192.168.0.х)

    Стоит задача:

    Организовать удаленное подразделение для работы в базе центрального офиса (зона 192.168.30.х). Домен один и тот же.

     

     

    Офис и удаленное  подразделение соединены между собой посредством VPN. Друг - друга видно.

     

    Есть сервер (W2K3), который пока не настроен и 12 рабочих станций (WinXP Pro).

     

    Нужно чтобы ПК быстро заходили в домен и могли терминально подключаться к серверу, находящемуся в центральном офисе.

     

    Подскажите:

    1. Где должен размещаться сервер терминальных лицензий? Есть возможность разместить его и на удаленном подразделении и на центральном офисе?

    2. Нужно ли поднимать АД на сервере удаленного подразделения, чтобы быстрее осуществлялся вход в домен?

     

     

    Все варианты, которые я делал позволяют без проблем видеть все ПК обоих доменов, но терминальный вход осуществляется на сервер только один раз. При последующем входе выскакивает ошибка удаленного доступа.

    Удаляем ветку реестра HKLM - Software - Microsoft - MSLicensing  можно зайти на сервер снова, но снова только один раз. ;(

     

    Подскажите что может быть и как лучше организовать работу такого удаленного подразделения...

     

    Буду благодарен за любые советы.. Спасибо...

     

     

     

     

Ответы

  •  Angelius написано:

    В мониторе ISA 2006  я вижу как проходит весь трафик про правилам, которые я создал... Так как у меня в исе стоит Allbound all protocol...  Единственное, что у меня блокируется (кстати не понятно почему), так это обращения на 0 порт (тоже кстати не понятно, что за такой порт). Весь остальной трафик нормально бегает.

    Что касается терминальных подключений, так вот я думаю, может нужен какой-нибудь сертификат, чтобы постоянно заходить на сервер терминалов? Может такое быть, что где-то в групповых политиках может быть указано, что терминально заходить только из локальной сети?

     

    0 - это ping

     

    Как вариант:

     

    1)Оставте правило разрешающее всё всем.

    2)Включайте остальные правила по одному и смотрите где ошибка.

     

    Cisco в главном офисе ? может проще EasyVPN настроить ?

Все ответы

  •  Angelius написано:

     

    Есть центральный офис. Домен. ПК. Стоит сервер (W2K3), на котором поднят AD  и DNS.

    (зона 192.168.0.х)

    Стоит задача:

    Организовать удаленное подразделение для работы в базе центрального офиса (зона 192.168.30.х). Домен один и тот же.

     

     

    Офис и удаленное  подразделение соединены между собой посредством VPN. Друг - друга видно.

     

    Есть сервер (W2K3), который пока не настроен и 12 рабочих станций (WinXP Pro).

     

    Нужно чтобы ПК быстро заходили в домен и могли терминально подключаться к серверу, находящемуся в центральном офисе.

     

    Подскажите:

    1. Где должен размещаться сервер терминальных лицензий? Есть возможность разместить его и на удаленном подразделении и на центральном офисе?

    2. Нужно ли поднимать АД на сервере удаленного подразделения, чтобы быстрее осуществлялся вход в домен?

     

     

    Все варианты, которые я делал позволяют без проблем видеть все ПК обоих доменов, но терминальный вход осуществляется на сервер только один раз. При последующем входе выскакивает ошибка удаленного доступа.

    Удаляем ветку реестра HKLM - Software - Microsoft - MSLicensing  можно зайти на сервер снова, но снова только один раз. ;(

     

    Подскажите что может быть и как лучше организовать работу такого удаленного подразделения...

     

    Буду благодарен за любые советы.. Спасибо...

     

     

     

     

     

    1)Поднимать контроллер в подразделении имеет смысл если канал связи плохой.

     

    2)Зоны должны быть в одном сайте AD. Там и назначается сервер лицензирования.

  •  

    Канал связи нормальный...

    Я уже пробовал по разному:

     

    1 вариант... Домен не поднимал...

    При этом вход ПК в домен осуществлялся достаточно долго...

    Хотя пинг на сервер проходит за 53 мс, пакетами по 1500.

    Все равно при запуске терминального подключения один заходит на сервер, а со второго раза ругается...

    Удаляю MSLicensing - могу снова зайти один раз...

     

    2 вариант... Поднял домен...

    При настройке указал, что нужно добавить домен в существующий...

    Если на всех ПК указываю в качестве основного сервера ДНС контролер домена удаленного подразделения, то вход осуществляется быстро... Но...

    При запуске  Active Directory Users and Computers на контролере домена удаленого подразделения открывается mmc центрального офиса, а не его... При этом изменения в его вкладке не синхронизуются с центральным офисом... Такое ощущение, что не работает синхронизация...

    Из удаленного подразделения пингуются все ПК сети центрального офиса, но терминально зайти на сервер я могу снова только один раз... Для повторного входа нужно опять удалять MSLicensing...

  •  Angelius написано:

     

    Канал связи нормальный...

    Я уже пробовал по разному:

     

    1 вариант... Домен не поднимал...

    При этом вход ПК в домен осуществлялся достаточно долго...

    Хотя пинг на сервер проходит за 53 мс, пакетами по 1500.

    Все равно при запуске терминального подключения один заходит на сервер, а со второго раза ругается...

    Удаляю MSLicensing - могу снова зайти один раз...

     

    А скорость канала какая ? А на самом сервере лицензирования терминалов оснастка Terminal Server Licensing не ругается ?

     

    2 вариант... Поднял домен...

    При настройке указал, что нужно добавить домен в существующий...

    Если на всех ПК указываю в качестве основного сервера ДНС контролер домена удаленного подразделения, то вход осуществляется быстро... Но...

    При запуске  Active Directory Users and Computers на контролере домена удаленого подразделения открывается mmc центрального офиса, а не его... При этом изменения в его вкладке не синхронизуются с центральным офисом... Такое ощущение, что не работает синхронизация...

    Из удаленного подразделения пингуются все ПК сети центрального офиса, но терминально зайти на сервер я могу снова только один раз... Для повторного входа нужно опять удалять MSLicensing...

     

    А DNS установлен на втором контролере ? Что в логах ?

     

  • Скорость 1МБ/с. На сервере лицензирования терминалов оснастка не ругается.. Сервер активирован и выдает лицензии... самое прикольное, что из зоны центрального офиса (192.168.0.х) все ПК нормально работают в терминале... А вот из зоны (192.168.30.х) возникают такие проблемы... При чем свой ноутбук я втыкнул в сеть удаленного подразделения и зайти на терминальный сервер тоже не смог... Опять же только после удаления ветки реестра.. и снова только на один раз... Я думаю, может что-то связано с безопасностью или шифрованием, но я ничего такого найти не могу...

     

    На сервере удаленого офиса я DNS поднял... В логах ошибок нет... Единсвенная ошибка есть в  разделе Application...

    Source: AutoEnrollment

    EventID: 13

     

    Automatic certificate enrollment for local system failed to enroll for one DC certificate. The RPC server is unavailable.

     

     

     

  •  Angelius написано:

    Скорость 1МБ/с. На сервере лицензирования терминалов оснастка не ругается.. Сервер активирован и выдает лицензии... самое прикольное, что из зоны центрального офиса (192.168.0.х) все ПК нормально работают в терминале... А вот из зоны (192.168.30.х) возникают такие проблемы... При чем свой ноутбук я втыкнул в сеть удаленного подразделения и зайти на терминальный сервер тоже не смог... Опять же только после удаления ветки реестра.. и снова только на один раз... Я думаю, может что-то связано с безопасностью или шифрованием, но я ничего такого найти не могу...

     

    На сервере удаленого офиса я DNS поднял... В логах ошибок нет... Единсвенная ошибка есть в  разделе Application...

    Source: AutoEnrollment

    EventID: 13

     

    Automatic certificate enrollment for local system failed to enroll for one DC certificate. The RPC server is unavailable.

     

     

     

     

    У Вас всего две подсети ? Сайты AD настроены ? Если нет, то надо настраивать.

     

    Firewalls есть на серверах ? VPN на чём построен ?

  • Одна сеть 192.168.0.х (Центральный офис)

    Вторая сеть 192.168.30.х (удаленное подразделение)

     

    В цетральном офисе стои шлюзовой сервер с ISA 2006. Создано ВПН соединение site-to-site с удаленным подразделением.

    Поднимается автоматически при запросе удаленного ПК. Протокол IPSec.

    В удаленном офисе стоит Cisco, которая является шлюзом для все ПК удаленного офиса.

     

    Все ПК одной сети пингуют все ПК другой сети.

     

    Сайт у меня один. Говорили, что если скорость между серверами нормальная, то нету смісла разделять их сайтами. Поєтому сервера центрального офиса (192.168.0.1)  находится в одном сайте с сервером удаленного офиса (192.168.30.2).

    Файрвол в данный момент на циске отключен вообще, а на ISA 2006 стоит правило, которое пропускает весь трафик c одной сети в другую...

     Забыл сказать, что терминально с сервера удаленого подразделения я могу заходить на сервера центрального офиса нормально. На ней стоит Win2K3 Standart.

  •  Angelius написано:

    Одна сеть 192.168.0.х (Центральный офис)

    Вторая сеть 192.168.30.х (удаленное подразделение)

     

    В цетральном офисе стои шлюзовой сервер с ISA 2006. Создано ВПН соединение site-to-site с удаленным подразделением.

    Поднимается автоматически при запросе удаленного ПК. Протокол IPSec.

    В удаленном офисе стоит Cisco, которая является шлюзом для все ПК удаленного офиса.

     

    Все ПК одной сети пингуют все ПК другой сети.

     

    Сайт у меня один. Говорили, что если скорость между серверами нормальная, то нету смісла разделять их сайтами. Поєтому сервера центрального офиса (192.168.0.1)  находится в одном сайте с сервером удаленного офиса (192.168.30.2).

    Файрвол в данный момент на циске отключен вообще, а на ISA 2006 стоит правило, которое пропускает весь трафик c одной сети в другую...

     Забыл сказать, что терминально с сервера удаленого подразделения я могу заходить на сервера центрального офиса нормально. На ней стоит Win2K3 Standart.

     

    А что в логах ISA ? запустите мониторинг ip адреса ПК с которого заходите на терминал и посмотрите что происходит

  • В мониторе ISA 2006  я вижу как проходит весь трафик про правилам, которые я создал... Так как у меня в исе стоит Allbound all protocol...  Единственное, что у меня блокируется (кстати не понятно почему), так это обращения на 0 порт (тоже кстати не понятно, что за такой порт). Весь остальной трафик нормально бегает.

    Что касается терминальных подключений, так вот я думаю, может нужен какой-нибудь сертификат, чтобы постоянно заходить на сервер терминалов? Может такое быть, что где-то в групповых политиках может быть указано, что терминально заходить только из локальной сети?

  •  Angelius написано:

    В мониторе ISA 2006  я вижу как проходит весь трафик про правилам, которые я создал... Так как у меня в исе стоит Allbound all protocol...  Единственное, что у меня блокируется (кстати не понятно почему), так это обращения на 0 порт (тоже кстати не понятно, что за такой порт). Весь остальной трафик нормально бегает.

    Что касается терминальных подключений, так вот я думаю, может нужен какой-нибудь сертификат, чтобы постоянно заходить на сервер терминалов? Может такое быть, что где-то в групповых политиках может быть указано, что терминально заходить только из локальной сети?

     

    0 - это ping

     

    Как вариант:

     

    1)Оставте правило разрешающее всё всем.

    2)Включайте остальные правила по одному и смотрите где ошибка.

     

    Cisco в главном офисе ? может проще EasyVPN настроить ?

  • Чего я уже добился:

     

    1. Два сервера (контролеры домена) находятся на разных подразделениях.

    2. Скорость между ними около 800КБт\с

    3. Синхронизация доменов проходит, хотя есть ряд непонятных вещей см.ниже

    4. Синхронизация DNS тоже проходит нормально

    3. С сервера на удаленном подразделении териминально захожу без проблем на сервера центрального офиса. Отсюда делаю вывод, что никакой файрвол не режет трафик и запретов никаких нет.

     

    Проблемы:

    1. При перегрузке сервера изменяется транспорт между серверами с IP на RDP. При этом синхронизация нарушается.

    2. Терминальный вход с рабочих станций по прежнему происходит один раз, для второго терминального входа нужно убивать ветку MSLicensing

     

    Сегодня попробую поставить SP3 на Win XP Pro машины и попробую еще раз протестировать терминальный вход.

     

  • После установки SP3 - все заработало...

     

    Хотя и тормозит при входе на сервер.

     

    Кто-то знает как ускорить загрузку входа на терминальный сервер?