dns server iza routera i firewall-a

[ gogi100 @ 24.02.2012. 13:15 ] @

dakle imao sam mrezu pod win server 2003 i AD, DNS-om. bilo je oko 60 racunara u ovoj mrezi (192.168.0.0/24) i ubaceni su u domen contoso.local. pojavile se potrebe da odredjeni racunari budu premesteni u drugu mrezu 10.15.100.0/24. ovi racunari treba i dalje da se prijavljuju u domen. ja sam zakacio sliku ove konfiguracije mreza.od uredjaja kojim mogu upravljati je asa5505. izvrseno je rutiranje i mreze 192.168.0.0 i 10.15.100.0 se mogu medjusobno videti. na jednom racunaru koji je u mrezi 10.15.100.0 ,a koji je bio u domenu na ad-u je promenjen korisnicki password. kad pokusam da se prijavijm sa ovom lozinkom na racunar prijavljuje mi invalid user name and password. ja sam u dns postavkama stavio dns server, koji je u mrezi 192.168.0.0, a na kome je domen kontroler. inace na asa 5505 ruteru sam postavio natovanje na adresi 10.13.74.34 i napravio access pravila koja omogucavaju pristup domen kontroleru.
moze li mi ko reci kako da omogucim ovim racunarima da pristupaju domen kontroleru.

PS: kao prilog dostavljam sliku mrezne konfiguracije

[ rajco @ 24.02.2012. 13:27 ] @

Da li sa tog računara koji pravi problem možeš da pinguješ DC(nisi naveo IP adresu), možeš li da pinguješ contoso.local? Da li ti je dns server na tom računaru DC? Možeš se logovati sa starom lozinkom kad izvadiš mrežni kabl na njega ako nisi uspeo do sada.

[ bachi @ 24.02.2012. 13:53 ] @

Ma čim je contoso.local, to je iz knjige za vežbanje, aka. domaći zadatak.

[ rajco @ 24.02.2012. 13:56 ] @

Ne mora da znači, ja kad postavljam pitanje stavim test.lokal, contoso.local da ne bih privatne podatke odavao, pa je to možda i ovde slučaj.

[ gogi100 @ 24.02.2012. 14:04 ] @

domaci nije. naveo sam contoso.local samo kao primer. dakle, mogu da pringujem dns server sa tog problematicnog racunara po ip adresi i na njemu se nalazi dc. takodje mogu da pristupim remote desktopu, cak i da pristupim i nekim serovanim folderima na njemu,ali ne radi prijava na problematicnom racunaru sa novom lozinkom.

[ rajco @ 24.02.2012. 21:51 ] @

Nisi mi odgovorio da li možeš da pinguješ server po imenu ili contoso.local? Nije bitno da možeš da ga pinguješ po IP već uz pomoć DNS-a.

[ someone_bl @ 25.02.2012. 12:44 ] @

Nista meni jasno ovde nije.

Stace ti ovoliki ruteri... AD ti je na outside interfejsu od ase sto ni u kom slucaju nije dobro. Da li se mozes telnetovati na port 53 DNS-a? ili da li taj svoj racunar iz jednog subneta u drugi mozes da pongas preko FQDN ?

[ gogi100 @ 25.02.2012. 17:26 ] @

nije to moj plan mreze, nego prinudna situacija. u pitanju je s jedne strane orionova mreza, a sa druge privatnog provajdera. dakle moja firma ima internet preko te dve firme, tj moja mreza se nalazi iza rutera tih firmi. meni su deo mreze izmestili iz zgrade na drugu lokaciju, gde se nalazi privatni provajder,a u mojoj mrezi je orion internet 192.168.0.0/24. posto mi u zgradi dolazi internet od oba ja sam stavio asu da bi moju mrezu povezao. dakle i mreza 10.15.100.0/24 i 192.268.0.0/24 su sa lan strana provajdera. nisam probao sa pingovanjem po imenu samo po ip adresi i to radi. ja sam zakacio jos jednu sliku da bi jos jasnije docarao situaciju. pade mi nesto napamet. ja sam na asa-i napravio pravilo koje omogucava sav ip saobracaj ,prema serveru,ali nisam stavio tcp, da mozda to nije problem. nisam probao sa telenet-ingom.

[ rajco @ 25.02.2012. 17:44 ] @

Ono što sam ti prvo ja tražio a onda i someone_bl je da pinguješ domen(contoso.local) ili FQDN jer da bi ti radilo to što hoćeš mora i dns da ti radi. Prvi korak u troubleshoot-ingu je da proveriš to. Dakle pingovao si po ip adresi i ustanovio da ti mreža radi, sledeća stvar je da proveriš dns(npr. da bi mogao da učlaniš domen u računar, promeniš šifru to ti neće raditi ako je dns 8.8.8.8 već samo ako je dns AD i naravno radi :)). Dakle ne ide se dalje sa traženjem problema dok ovo ne uradiš.

[ gogi100 @ 25.02.2012. 18:10 ] @

ono sto sam uradio na tom racunaru je da sam u dns-u problematicnog racunara stavio dns server adresu, tj. njegovu nat adresu, ali kad pokusam da se prijavim sa novom lozinkom za tog korisnika, koju sam promenio na active directory, pojavljuje mi se invalid user or password, dok kesirana lozinka na rcunaru radi.

[ gogi100 @ 29.02.2012. 13:34 ] @

pokusao sam sa nslookup ali ne vidi se dns server. kad ukucam nslookup, dobijem unknow server 10.13.74.34

[ gogi100 @ 29.02.2012. 14:33 ] @

uspeo sam da pingujem dns po imenu ,ali tek sto sam ubacio connection suffix , i host fajlu dao liniju za moj server, ali i dalje ne mogu se prijavim sa drugom lozinkom

[ gogi100 @ 29.02.2012. 14:34 ] @

takodje ne mogu da se telnetujem na port 53 na server

[ rajco @ 29.02.2012. 16:57 ] @

Kao što sam predpostavio posle prvog posta imaš problem sa DNS-om, da si odgovorio odmah na moje prvo pitanje predpostavljam da bi problem do sada bio rešen. Inače to nećeš rešiti time što edituješ host fajl. U cmd na serveru i na tom računaru upiši

Code:
ipconfig /all

pa nam output daj u code tagovima. Takođe nemoj pisati više postova jedan za drugim već edituj poslednji, tako tema ostaje preglednija, a i ne narušavaš pravila.

[ gogi100 @ 29.02.2012. 18:21 ] @

ipconfig /all na serveru je

Code:
Windows IP Configuration
         host name      ime-servera
         primary dns suffix       imedomena
         node type       unknow
         ip routing enabled    no
         wins proxy enabled  no
         dns suffix search list    imedomena
     ethernet adapter local area connection
         ip address        192.168.0.20
         subnet mask     255.255.255.0
         default gatway  192.168.0.254
         dns server 127.0.0.1

ipconfig /all na problematicnoj masini

Code:
Windows IP Configuration
         host name      imeradne stanice
         primary dns suffix       imedomena
         node type       unknow
         ip routing enabled    no
         wins proxy enabled  no
         dns suffix search list    imedomena
     ethernet adapter local area connection
         ip address        10.15.100.109
         subnet mask     255.255.255.0
         default gatway  10.15.100.1
         dns server 10.13.74.34

[ gogi100 @ 29.02.2012. 20:21 ] @

posto mi je problematicni racunar pod win 7 pro. pokusao sam da ga ponovo uclanim u domen preko mycomputer/properties/computer name/network id. medjutim on ne vidi korisnicki nalog, nudi mi prijavu preko imena racunara, ali kad unesem ime racunara i domen izbaci mi poruku

Code:
The following error occurred when DNS was queried for the service location (SRV) resource record used to locate an Active Directory Domain Controller (AD DC) for domain "imedomena":

The error was: "DNS name does not exist."
(error code 0x0000232B RCODE_NAME_ERROR)

The query was for the SRV record for _ldap._tcp.dc._msdcs.imedomena
Common causes of this error include the following:

- The DNS SRV records required to locate a AD DC for the domain are not registered in DNS. These records are registered with a DNS server automatically when a AD DC is added to a domain. They are updated by the AD DC at set intervals. This computer is configured to use DNS servers with the following IP addresses:

10.8.2.5
10.34.74.34

- One or more of the following zones do not include delegation to its child zone:

imedomena
LOCAL
. (the root zone)

iz ove poruke kapiram da nije nadjen srv zapis-record koji odredjuje domen kontroler

[ rajco @ 01.03.2012. 07:55 ] @

Nema razloga da komplikuješ a rešenje je jednostavno, dns ti ne valja na klijentskom računaru.

[ valjan @ 01.03.2012. 11:41 ] @

Pošto tu imaš nekoliko rutera između, da li si na svima forwardovao odgovarajuće portove?

Mala digresija, nije vezano za tvoj problem, ali ti može kasnije praviti sitne probleme - ovo je tipična greška prilikom konfigurisanja DC-a:

Citat:

gogi100: ipconfig /all na serveru je

Code:
...
dns server 127.0.0.1

Na svim računarima u domenu mora stajati IP adresa domenskog DNS-a, i to važi i za sam DC, jer je on ujedno i DNS server i DNS klijent. Znači, stavi tu njegov full IP, a ne IP loopback adaptera.

[ rajco @ 01.03.2012. 12:00 ] @

valjan je u pravu, to sam zaboravio da kažem a hteo sam pomenuti. Loopback adresa se ne stavlja na prvi DNS jer možeš imati probleme sa replikacijom već stavi samu IP adresu DC-a. Loopback možeš staviti kao sekundarnu adresu.

[ gogi100 @ 01.03.2012. 12:41 ] @

to sam uradio, ali mi to ne resava problem. na problematicnoj stanici sam stavio dns server nat adresu servera 10.13.73.34. ali to ne radi. ja ne upravljam ruterima sem asa5505. tako da ne znam da li je izvrseno forwardovanje

[ someone_bl @ 01.03.2012. 19:10 ] @

Citat:

gogi100: to sam uradio, ali mi to ne resava problem. na problematicnoj stanici sam stavio dns server nat adresu servera 10.13.73.34. ali to ne radi. ja ne upravljam ruterima sem asa5505. tako da ne znam da li je izvrseno forwardovanje

kakvu nat adresu ??? IP adresa DNS-a treba da bude 192.168.0.20 koliko ja pratim konverzaciju ....

[ gogi100 @ 01.03.2012. 19:19 ] @

ja sam izvrsio natovanje racunara sa adresom 192.168.0.20 na kome mi je ad,dns i on ima adresu 10.13.74.34. znam da to nije dobro, ali je sve ovo sto vidite na slici koju sam zakacio je u lokalu. natovanje je izvrseno na firewall-u asa5505

[ someone_bl @ 01.03.2012. 19:53 ] @

Koliko si ti puta u zivotu koristio CISCO ASA???

Nisam ja bas siguran da ti uopste znas sta radis, niti sta zelis da uradis...

[ gogi100 @ 01.03.2012. 23:13 ] @

ne mnogo,ali sam uspeo da preko natovanja i access rules omogucio da saobracaj prema serveru ide. korisnici mogu pristupati deljenim folderima na serveru, intranetu u ovoj mrezi gde je server,ali mi ne ide ovo logovanje na domen. mozete li mi pomoci. hvala

_{[Ovu poruku je menjao gogi100 dana 02.03.2012. u 08:28 GMT+1]}

[ valjan @ 02.03.2012. 11:37 ] @

Ti si poslao dete u kuhinju po čašu vode, a ne znaš da li su sva vrata između tvoje sobe i kuhinje otključana i da li će dete moći da prođe, i onda se čudiš što voda ne stiže? Sa toliko rutera između, bez tunela nema ništa od normalnog AD pristupa, znači uzmi neko VPN rešenje (da li ćeš neki Hamachi, da li ćeš konfigurisati ASA, da li ćeš na samom DC-u konfigurisati RRAS, to je na tebi), omogući VPN klijentima da dobiju odgovarajuće adrese iz 192.168.0.x opsega, i onda bi već trebalo da imaš neke osnove za normalan rad...

[ gogi100 @ 02.03.2012. 14:08 ] @

problem sam resio. cackati, cackati po podesavanjima ase i nasao sam opciju u nat pravilu za moj server "translate dns replies for rule". cim sam selektovao ovu opciju. konektovanje na ad je profunkcionisalo odmah. ljudi puno vam hvala
pozdrav