Всех приветствую!
есть один общий домен ade.local
Есть ЛВС 192.168.10.0/24
Решил поставить шлюз с двумя сетевыми картами (Fedora)(eth0=192.168.10.10/24,eth0=192.168.11.1/24)
С одной стороны к шлюзу подключена ЛВС 192.168.10.0/24, а с другой стороны ЛВС 192.168.11.0/24
При этом AD,DNS,DHCP развёрнуты на серваке ЛВС 192.168.10.0 , но при настройке маршрутизации и права доступа на fedore клиенты ЛВС 192.168.11.0 регистрируются в домене.
На клиентах ЛВС 192.168.11.0 прописан шлюз по умолчанию 192.168.11.1, а также DMS 192.168.10.1
Всё бы хорошо!!!НО!
прошли сутки и ....клиенты ЛВС 192.168.11.0 не могут войти на ресурсы ЛВС 192.168.10.0ЛВС 192.168.10.0 (Server(DNS,AD,DHCP)192.168.1.1) --- eth0 192.168.10.10--fedora---eth1 192.168.11.1 ---ЛВС 192.168.11.0
В чём может быть причина?Почему всё работает за какой-то промежуток времени?
Слышал вроде такое понятие как "время жизни" где-то в AD.Но лично затрудняюсь в этом.
Заранее благодарен за советы.
Доброго дня.>прошли сутки и ....клиенты ЛВС 192.168.11.0 не могут войти на ресурсы ЛВС
>192.168.10.0...
>Слышал вроде такое понятие как "время жизни" где-то в AD.Но лично затрудняюсь
>в этом.Похоже на время жизни билета службы или пользователя (600 минут.) Живет в политиках домена в политике Kerberos. http://www.kti.ru/data/136/Index.htm Возможно, недооткрыты нужные ему порты на Федоре...
Приветствую!Во-первых, спасибо за отзывчивость.
Во-вторых,> Живет в
>политиках домена в политике Kerberos.поподробнее можно этот момент, как до него добраться и что изменить?
>http://www.kti.ru/data/136/Index.htm
статья действительно хорошая, но однако врят ли я ей смогу воспользоваться, т.к. там расматривается объединение сайтов и механизм репликации между ними. А у меня ситуация проще: один домен, две подсети, один сервер(выполняющий роль dns,dhcp,AD),а также один шлюз fedora(соединяющая эти две подсети). правда сайты не были созданы, поэтому в "AD сайты" создал данные подсети и объединил в общий сайт(созданный по-умолчанию).
>Возможно, недооткрыты нужные ему порты
>на Федоре...на федоре открыты все порты к серверу(использовал разраничение трафика по адресам, а не по портам).
Доброго дня.>поподробнее можно этот момент, как до него добраться
на 2003 пуск-администрирование-политика безопасности домена -> политики учетных записей-политика Kerberos.
> и что изменить?
Ни к чему менять. Все это к тому, что, вероятнее всего, не произошло обновления билета. Наверное - пользователя. Соответствующие записи должны остаться в журналах безопасности клиента и/или сервера. Нужно искать отказы с участием Kerberos...
PS сталкиваться с такой ситуацией не приходилось, так что все - ИМХО...
попытался я отседить где-нибудь отказ, но вроде не нашёл...
попробывал изменить значение параметра время жизни билета-не определено...посмотрим, что из этого выйдет...
если это не kerberos, что ещё может быть?есть идей?
>попытался я отседить где-нибудь отказ, но вроде не нашёл...В той же политике безопасности домена-локальные политики-политики аудита включены аудит отказов для входа в систему, событий входа в систему? То же самое - в политике безопасности контроллера домена?
>>попытался я отседить где-нибудь отказ, но вроде не нашёл...
>
>В той же политике безопасности домена-локальные политики-политики аудита включены аудит отказов для
>входа в систему, событий входа в систему? То же самое -
>в политике безопасности контроллера домена?какие на Opennet WIN админы и как все обьяснят а если кто с Linux/unix вопросом в этой форме так мордой в Man