У меня есть два сегмента сети, соединенные между собой с помощью компьютера с двумя сетевыми картами. В первом сегменте установлен proxy-сервер для доступа в Internet, а во втором - станция Windows 2000 Pro с сервером удаленного доступа. Дозвонившись по модему и зарегистрировавшись в сети, я вижу proxy-сервер, но выйти в Internet не удается. Как настроить сервер удаленного доступа, чтобы все заработало?
Сергей. violets@belpost.by.
Проблема, скорее всего, не в сервере удаленного доступа, а в неправильной настройке удаленного клиента для работы с proxy. Если в качестве браузера используется Internet Explorer, то его нужно правильно настроить на работу с proxy в режиме удаленного доступа. При этом параметры proxy нужно прописывать в настройках именно телефонного соединения, а не локальной сети. В этом случае путь для настройки следующий: Internet Explorer -> Сервис -> Свойства обозревателя -> Подключения. Далее в окне необходимо выбрать используемое удаленное подключение и нажать кнопку «Свойства». В открывшемся диалоговом окне нужно выбрать «использовать Proxy Server» и указать параметры своего proxy. Еще одной из причин может быть неверная настройка DNS на удаленном компьютере. В этом случае не будут восприниматься имена сайтов, хотя проверить работу соединения через proxy-сервер можно, задав в браузере непосредственного IP-адрес сайта, а не его имя.
В нашей организации первоначально была сеть с одним сегментом под NT 4.0 из одного домена. С расширением сети и увеличением количества клиентов решено было переделать структуру сети и заменить серверное ПО на Windows 2000 Server. Сеть поделили пополам, в каждой подсети установили по серверу, в серверы добавили еще по одной сетевой карточке для организации моста между ними, и там установили свои машины, сервер почты и доступа в Internet. Серверы подсети сделали контроллерами домена для того, чтобы они как можно меньше зависели один от другого. В первой подсети создали домен ras.ru, во второй - dva.ru, а между ними разместили рабочую группу tri, в которую входят машины разработчиков и сервер почты и доступа в Internet. В каждом домене свои требования к программному обеспечению и доступу в Internet, поэтому вариант с одним контроллером с двумя сетевыми карточками не подходит, так как нам нужно было уменьшить нагрузку на сервер. Поэтому серверов два. Старые проблемы решить удалось, зато появились новые.
- В сетевом окружении на рабочей станции одной подсети не видно компьютеров другой подсети.
- Если устанавливать второй контроллер домена, входящий в лес первого, то все доверительные отношения устанавливаются, но такой вариант нам не подходит. Поэтому я устанавливаю контроллер второго домена, не входящий в лес и дерево первого, а потом пробую установить между доменами нетранзитивные доверительные отношения. Отношения как будто устанавливаются, но при проверке выдается сообщение об ошибке: «Сервер RPC недоступен».
- На рабочих станциях с Windows 2000 Pro в журнале событий появляется сообщение, что userenv (id:1000) не смогла обновить групповую политику.
Планируется дальнейшее расширение, связь с другим зданием. Хотелось бы в следующих выпусках журнала увидеть статью, где был бы описан механизм создания и применение групповых политик в Windows 2000 Server для рабочих станций 2000ProNT4Win9x или вообще услышать ваше мнение по этому вопросу.
Бахрамов Андрей.
Сеть, созданная автором письма, получилась довольно сложная и неудобная в управлении, хотя основной упор делался на надежность. Основная ошибка состоит в том, что не была учтена возможность создания в Windows 2000 (в отличие от NT4.0) равноправных контроллеров домена в одном домене. При этом пользователей достаточно было распределить по группам, а если необходимо применение различных политик, то и по организационным подразделениям (ОП). Процесс построения сети в данном случае выглядит примерно так.
При установке Windows 2000 Server на первую машину даем серверу имя ras. Запустив утилиту DCPROMO, создаем контроллер домена в новом домене ru (условно), не забывая указать смешанный режим работы. В результате после установки Active Directory (AD) полное имя компьютера будет ras.ru. Второй сервер получает имя dva. Устанавливая на нем AD, выбираем функцию добавления контроллера к существующему домену (ru.). По завершении установки его полное имя будет dva.ru. С третьим сервером (имя tri,? учитывая будущее расширение) делаем то же самое, что и со вторым. Его полное имя tri.ru. В результате у нас получилось три равноправных контроллера домена в одном домене.
Вот здесь-то и начинают проявляться все преимущества AD. Так, в ходе репликации через 5-10 мин происходит полная синхронизация баз данных о пользователях, группах, ОП, общих ресурсах, политиках и т. д. В результате на всех контроллерах домена хранятся одинаковые данные. Администратору это дает возможность вносить необходимые изменения на любом контроллере домена, которые автоматически реплицируются на остальные. Если по каким-то причинам один из контроллеров домена вышел из строя, другие будут продолжать нормально работать. Пользователи, за исключением тех, которые работают непосредственно с ресурсами отказавшего сервера, не заметят никаких изменений, и, более того, произошедшие за время восстановления неисправного контроллера изменения в AD автоматически реплицируются, когда он снова возобновит работу.
Правда, между контроллерами все-таки есть некоторые различия. Так, один из них играет роль хозяина операций (по умолчанию это первый установленный контроллер домена). На уровне домена на него возложены следующие роли:
- хозяин относительных идентификаторов (RID), отвечает за присвоение вновь создаваемым объектам уникального кода безопасности;
- эмулятор основного контроллера домена (PDC), играет роль основного контроллера домена Windows NT, если домен работает в смешанном режиме, а при работе в обычном режиме имеет преимущество при репликациях изменений пароля, выполненных на других контроллерах домена;
- хозяин инфраструктуры, отвечает за обновление ссылок «группа - пользователь» при изменении состава группы или переименовании ее членов.
Но еще раз отмечу, что, во-первых, эти полномочия можно всегда передать любому другому контроллеру (через оснастку AD Users and Computers), а если этот компьютер вышел из строя внезапно и надолго, то полномочия можно захватить оставшимися контроллерами. И при этом все будет продолжать работать! Правда, после принудительного захвата полномочий систему на бывшем хозяине операций нужно будет переустанавливать заново с форматированием системного диска (это связано с присвоенным ей уникальным идентификатором).
Мне кажется, что более устойчивую систему трудно вообразить, учитывая появившиеся, кроме всего прочего, и три сервера DNS.
Естественно, на каждом сервере должно стоять по две сетевые карты. По одной мы связываем контроллеры между собой и подсоединяем к ним другие серверы и машины администраторов, а через вторую подключаем сегменты с компьютерами пользователей и настраиваем маршрутизацию.
Что касается просмотра сетевого окружения по всем сегментам, то, поскольку в сети имеются клиенты на базе Windows 9x и Windows 2000 Pro, без сервера Wins здесь не обойтись. Его следует установить на компьютер, имеющий только одну сетевую карту.
Наша сеть состоит из станций с Windows 98 и маршрутизатора в Internet на FreeBSD. Станции на Windows 98 связываются с Internet без проблем. Я установил Windows 2000 Pro с SP2. Сетевые настройки сделал один в один, как на компьютере с Windows 98. Все работает, но почту отправить невозможно. Программа TheBat сообщает об успешном соединении с почтовым сервером провайдера, начинается передача данных, потом все «отваливается», и в журнале TheBat появляются две записи: «Не смог отправить некоторые письма» и «Сервер ответил: далее пусто». Мой сценарий на Perl, отправляющий нашим заказчикам почту, вообще не может соединиться с почтовым сервером провайдера. Канал выделенный. Самое интересное, что pop, www и ftp работают. Но при запуске ping для почтового сервера система сообщает, что сеть недоступна. В то же время службы www, ftp доступны. Видимо, какая-то установка отключает smtp. Картина одинаковая и для администратора и для пользователя. Как быть?
Анатолий Голоколос, avg@amur.rosnet.ru.
На мой взгляд, дело здесь отнюдь не в протоколе TCP/IP и сетевых настройках, а в работе программы TheBat и Вашей программы на Perl в среде Windows 2000 Pro. Почему не проходит ping, а WWW, FTP и POP3 работают? Вероятно, у Вашего провайдера либо включены фильтры на маршрутизаторах, либо на FireWall закрыты для внешнего мира все порты, кроме 80 (WWW); 21(FTP); 25(SMTP); 110 (POP3). Подробнее об этом Вам лучше узнать у самого провайдера. Поэтому в ответ на команды ping и tracert, посылающие эхозапросы на порт 7, Вы получаете сообщение о недоступности сети (причем независимо от вида операционной системы). В том, что порт 25 открыт, можно легко убедиться, например, при помощи команды telnet <имя вашего почтового сервера или его IP> 25. Судя по Вашему письму, соединение с почтовым сервером все же происходит, даже часть писем отправляется. В качестве альтернативы, для проверки работоспособности почтового сервера и Windows 2000 Pro, попробуйте использовать, вместо TheBat, имеющийся в системе Outlook Express. Возможно, проблему можно решить, установив одну из последних версий программы TheBat.
ОЛЕГ ПОГОРЕЛЫЙ - системный администратор издательства «Открытые системы». С ним можно связаться по адресу: opog@osp.ru.