Показать сообщение отдельно
Старый 26.02.2008, 21:24   #14
Ruslik
Неактивный пользователь
 
Аватар для Ruslik
 
Пол:Мужской
Регистрация: 30.08.2007
Сообщений: 121
Репутация: 250
Unhappy Ответ: Соеденнение ISA 2004 c Win2003

Ну писать, так писать.
Во первых про то, кому писать 0.1, а кому 0.10 - исключительно дело вкуса и фантазии, хоть 0.254, я просто ненавязчиво описал на примере. А вот какой смысл сбивать теперь человека с мысли, мне, право, не понятно ;-)
Цитата:
Сообщение от PLAstic Посмотреть сообщение
Вот этого "плюсов не даст" я не понял. Кеширующий днс, во-первых, сокращает трафик к днс-серверам провайдера (что не критично), а, во-вторых, значительно сокращает время отображения страниц. Итак, на DC настраиваем форвардинг на IP шлюзовой машины (0.2). На шлюзе ставим днс, не создаём никаких зон, включаем форвардинг на провайдерские днс-сервера.

Объясняю. Наш DNS на DC и так уже является кэширующим DNS, какой смысл мудрить каскады? Как я и писал, только усложняет общую схему, ничего не давая взамен. Вообще ничего.

Цитата:
Сообщение от PLAstic Посмотреть сообщение
Создаём в ней запись PTR на сервер.

Нет. Находим записи PTR в прямой зоне, открываем и ставим галку - "Автоматичеки обновлять PTR". (видимо, никогда не сталкивались с проблемами этого обновления в дальнейшем из-за прав на PTR запись, просто тогда уже поздно).

Цитата:
Сообщение от PLAstic Посмотреть сообщение
Непонятно, зачем пустые днс. Пишем там днс провайдера.

Уже писал выше. Грубейшая ошибка. Будь то просто member server, будь он же машрутизатором, хоть кем! Все члены домена должны иметь прописанными DNS'ами только IP доменных AD'шных DNS'ов и только на внутренних, смотрящих на DC интерфэйсах. (не видели как в предложенном варианте ISA грузится с полчаса, а может и тупо перестать пользователей доменных авторизовать, а может и ещё много чего начать делать, или не делать)

Цитата:
Сообщение от PLAstic Посмотреть сообщение
В доп.возможностях в св-вах сетевого окружения ставим по приоритету сначала внутренний интерфейс, потом внешний.....Есть такая секретная штука в исе как System policy. Если включить её отображение, то мы увидим правило "Allow DNS from ISA Server to selected servers", которое разрешает запросы к DNS'ам во все сети. Т.ч. это правило создавать не нужно.

Ну если делать как я пишу выше, то это всё лишнее. Достаточно простого правила
Allow [proto DNS] (port 53) from [IP_DC] to [IPs_providerDNS]

Цитата:
Сообщение от PLAstic Посмотреть сообщение
Скажем проще. Выделяем ведь диапазон, со всеми серверами. Т.е. с 0.1 по, например, 0.63. А первые два адреса заносим в исключения (это следующий экран мастера выделения скопа).

А завтра мы забудем об этом и пропишем руками новому серверу/девайсу (неважно, IP-фону) IP 0.3, а он уже занят одним из DHCP клиентам. И мы полезем на форум, потому что изначально создали себе IP-бардак. А если мы пропишем scope 11-254 (тут расстояние варируем в зависимости от других наших условий - кол-ва предпологаемых DHCP клиентов, желанием зарезервировать кусок с конца и т.д.), то будем чётко знать - вот у нас шлюз 0.1, вот DC 0.10, а 2-9 у нас под наши сервисные дела. Но ещё раз повторюсь, как сетки себе разбивать - дело вкуса, но планировать это надо посерьёзнее и с запасом. (кстати, под шлюз(ы) просто исторически сложилось выделять IP с начала диапазона ;-))



style_dboy, по поводу WINS, а там будут машины Win9x/DOS или может несколько Exchange 5.х в разных сайтах? Что-то я так не думаю. И если я недумаю верно, WINS вообще тут не нужен, как класс.

Цитата:
Сообщение от style_dboy Посмотреть сообщение
как понять, можно ли по подробнее тут? (У меня Сетевуха смотряшяя на модем берет АйПи автоматом 192.168.1.33
255.255.255.0
192.168.1.1 как быть в этом случи?)

Вот так и быть, использовать внутри для себя подсеть 10.0.0.0, тогда они соответственно не будут пересекаться. Кстати можно и 192.168.2-255.0 с маской 255.255.255.255.0, любая из них это тоже будет другая подсеть. Да, тут есть ещё момент, неплохо бы узнать, какая адресация у самого провайдера во внутреней сети и внутри VPN (если есть), потому как крайне желательно, во избежание будущих проблем с роутингом в провайдерские сети, иметь и внутри (перед ISA), и между ISA и модемом подсети не пересекающиеся с провайдерскими! Так что этот момент нужно уточнить.

Цитата:
Сообщение от style_dboy Посмотреть сообщение
Пожалуйста, сдесь тоже откройте тему по яснне.

Чуть выше раскрыл ;-)
Пиши вопросы, мы тут в дисскуссиях с PLAstic ща много чего расскажем :-)

Добавлено через 6 минут
Цитата:
Сообщение от Hopeles Посмотреть сообщение
не рекомендую ставить DHCP на контроллер (да и сам майкрософт не рекомендует)

А вот тут я попрошу эту рекомендацию MS в студию, да хоть свою аргументацию, ибо это просто бред.

P.S. ALL Если статьи с MS'а, подтверждающие мои соображения, необходимы - пишите, накидаю ссылок, а вообще рекомендую Ф.Зубанова "AD. Подход профессионала" зачитать (в сети полно), очень доступно излагает и, что немаловажно, не через десятые руки и не после курсов, реальный внедренец продуктов MS, на первых порах внедрения AD книга незаменимая.
__________________
It's nice to be important, but it's more important to be nice (c)H.P.Baxxter aka Scooter

Последний раз редактировалось Ruslik; 26.02.2008 в 22:00.. Причина: синтаксис подправил ;-)
Ruslik вне форума
 
Ответить с цитированием Вверх
Сказали спасибо:
 
Время генерации страницы 0.09144 секунды с 9 запросами