URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4308
[ Назад ]

Исходное сообщение
"AD(server 2003)-Fedora-Client(XP) не стабильно работает"

Отправлено serzh_hight , 27-Июл-09 09:19 
Всех приветствую!
есть один общий домен ade.local
Есть ЛВС 192.168.10.0/24
Решил поставить шлюз с двумя сетевыми картами (Fedora)(eth0=192.168.10.10/24,eth0=192.168.11.1/24)
С одной стороны к шлюзу подключена ЛВС 192.168.10.0/24, а с другой стороны ЛВС 192.168.11.0/24
При этом AD,DNS,DHCP развёрнуты на серваке ЛВС 192.168.10.0 , но при настройке маршрутизации и права доступа на fedore клиенты ЛВС 192.168.11.0 регистрируются в домене.
На клиентах ЛВС 192.168.11.0 прописан шлюз по умолчанию 192.168.11.1, а также DMS 192.168.10.1
Всё бы хорошо!!!

НО!
прошли сутки и ....клиенты ЛВС 192.168.11.0 не могут войти на ресурсы ЛВС 192.168.10.0

ЛВС 192.168.10.0 (Server(DNS,AD,DHCP)192.168.1.1)   ---    eth0 192.168.10.10--fedora---eth1 192.168.11.1    ---ЛВС 192.168.11.0


В чём может быть причина?Почему всё работает за какой-то промежуток времени?
Слышал вроде такое понятие как "время жизни" где-то в AD.Но лично затрудняюсь в этом.
Заранее благодарен за советы.


Содержание

Сообщения в этом обсуждении
"AD(server 2003)-Fedora-Client(XP) не стабильно работает"
Отправлено DenSha , 27-Июл-09 12:37 
Доброго дня.

>прошли сутки и ....клиенты ЛВС 192.168.11.0 не могут войти на ресурсы ЛВС
>192.168.10.0

...
>Слышал вроде такое понятие как "время жизни" где-то в AD.Но лично затрудняюсь
>в этом.

Похоже на время жизни билета службы или пользователя (600 минут.) Живет в политиках домена в политике Kerberos. http://www.kti.ru/data/136/Index.htm Возможно, недооткрыты нужные ему порты на Федоре...


"AD(server 2003)-Fedora-Client(XP) не стабильно работает"
Отправлено serzh_hight , 28-Июл-09 05:12 
Приветствую!Во-первых, спасибо за отзывчивость.
Во-вторых,

> Живет в
>политиках домена в политике Kerberos.

поподробнее можно этот момент, как до него добраться и что изменить?

>http://www.kti.ru/data/136/Index.htm

статья действительно хорошая, но однако врят ли я ей смогу воспользоваться, т.к. там расматривается объединение сайтов и механизм репликации между ними. А у меня ситуация проще: один домен, две подсети, один сервер(выполняющий роль dns,dhcp,AD),а также один шлюз fedora(соединяющая эти две подсети). правда сайты не были созданы, поэтому в "AD сайты" создал данные подсети и объединил в общий сайт(созданный по-умолчанию).

>Возможно, недооткрыты нужные ему порты
>на Федоре...

на федоре открыты все порты к серверу(использовал разраничение трафика по адресам, а не по портам).


"AD(server 2003)-Fedora-Client(XP) не стабильно работает"
Отправлено DenSha , 28-Июл-09 09:51 
Доброго дня.

>поподробнее можно этот момент, как до него добраться

на 2003 пуск-администрирование-политика безопасности домена -> политики учетных записей-политика Kerberos.

> и что изменить?

Ни к чему менять. Все это к тому, что, вероятнее всего, не произошло обновления билета. Наверное - пользователя. Соответствующие записи должны остаться в журналах безопасности клиента и/или сервера. Нужно искать отказы с участием Kerberos...

PS сталкиваться с такой ситуацией не приходилось, так что все - ИМХО...


"AD(server 2003)-Fedora-Client(XP) не стабильно работает"
Отправлено serzh_hight , 28-Июл-09 11:02 
попытался я отседить где-нибудь отказ, но вроде не нашёл...
попробывал изменить значение параметра время жизни билета-не определено...посмотрим, что из этого выйдет...
если это не kerberos, что ещё может быть?есть идей?

"AD(server 2003)-Fedora-Client(XP) не стабильно работает"
Отправлено DenSha , 28-Июл-09 16:42 
>попытался я отседить где-нибудь отказ, но вроде не нашёл...

В той же политике безопасности домена-локальные политики-политики аудита включены аудит отказов для входа в систему, событий входа в систему? То же самое - в политике безопасности контроллера домена?


"AD(server 2003)-Fedora-Client(XP) не стабильно работает"
Отправлено ANONIM123 , 30-Июл-09 02:28 
>>попытался я отседить где-нибудь отказ, но вроде не нашёл...
>
>В той же политике безопасности домена-локальные политики-политики аудита включены аудит отказов для
>входа в систему, событий входа в систему? То же самое -
>в политике безопасности контроллера домена?

какие на Opennet WIN админы и как все обьяснят а если кто с Linux/unix вопросом в этой форме так мордой в Man