Mikrotik + Win Server 2019 в домашней сети

Обсуждение ПО и его настройки
Ответить
danbankir
Сообщения: 18
Зарегистрирован: 06 мар 2019, 08:04

Приветствую.
Народ есть вопрос у меня, подскажите, помогите, пожалуйста.
Решил дома по тестить сервер, по ковырять AD, политики и прочие плюшки Win Srv.
Дома у меня три пользователя, 4 компа + 1 сервер.
Возможно ли как-то реализовать схему след образом : DHCP, DNS на Mikrotik, AD на Win Srv ?
Т.к. сервер не будут включён постоянно, а будет включаться только в свободное вечернее время, да по пятницам (с пивком по ковырять), то нужно чтоб инет работал без включённого сервера, юзеры будут заходить в ПК благодаря закэшированным паролям от учётных записей (на крайняк под локальными - посмотреть youtube, да послушать музыку пойдёт).
В данный момент, сервер включён в бридж , создана AD, DNS, DHCP (думаю что нужно будет удалить два последних компонента ) на нём, в настройках микрота поставил вторым DNS - адрес сервера, на ПК сетевые настройки подтянулись, но в домен всё равно не могу добавить.

Если написал , бред, сорри))) :-) НО как говорится , всё бывает в первый раз и учиться никогда не поздно.


В данный момент: RB4011 + cAP ac
В прошлом: RB951G-2HnD, hEX S
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Я не виндовозник, но знаю, что для работы АД - DHCP и DNS должны быть виндовые только,
это связано с процессом авторизации и логирования.
Поэтому реально дома такое извращение не рекомендую делать.
Если хотите играться, заводите виртуальную машину и играйтесь, или один компьютер
выносите в АД и его используйте для игр/тестов, но другие машины трогать не надо,
пусть они работают с микротиком напрямую и постоянно.

И тем более если у Вас будет АД + там будет свой DHCP сервер, то как минимум Вам
надо АД-сервер и один комп в АД который будет = физически отделить от своей сети,
иначе два сервера DHCP в одной сети = очень плохо будет для всех клиентов.

Физическое разделение можно сделать ещё на базе VLAN'ов, но не знаю,
ближе оно Вам или нет.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
danbankir
Сообщения: 18
Зарегистрирован: 06 мар 2019, 08:04

Всё понял.

Vlan , либо в отдельный бридж загнать два порта с сервером и ПК, тоже же должно сработать?


В данный момент: RB4011 + cAP ac
В прошлом: RB951G-2HnD, hEX S
Lion
Сообщения: 17
Зарегистрирован: 04 май 2018, 20:40

У меня AD без своего DHCP уже несколько лет супер работает. DNS на серваке и роутере, DHCP только на роутере. Только клиентам нужно в DNS настроиках сетевой карты IP сервера прописать.


Andrey.S.
Сообщения: 16
Зарегистрирован: 22 апр 2019, 19:46

Не нужно городить огород на ровном месте :hi_hi_hi: Не нужен DNS на серваке... Достаточно прописать статический DNS -- и будет вам счастье с авторизацией в AD.

Код: Выделить всё

/ip dns
set allow-remote-requests=yes cache-max-ttl=5h servers=8.8.8.8
/ip dns static
add address=192.168.118.250 name=router.lan
add address=192.168.118.15 name=mynameAD.local
add address=192.168.1.17 name=mynameAD.local
/ip dhcp-server
add add-arp=yes address-pool=default-dhcp authoritative=after-2sec-delay disabled=no interface=bridge \
    lease-time=4h name=defconf
/ip dhcp-server network
add address=192.168.118.0/24 comment=defconf dns-server=192.168.118.250 gateway=192.168.118.250 netmask=24
ну, как-то так...


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

danbankir писал(а): 29 апр 2019, 10:29 Всё понял.
Ну коллеги более полно дополнили, им виднее и ближе.
danbankir писал(а): 29 апр 2019, 10:29 Vlan , либо в отдельный бридж загнать два порта с сервером и ПК, тоже же должно сработать?
Да, Вы правы, или Вилан, или отдельный бридж, туда два порта привязать, один порт = сервер,
другой порт = компьютер который будет авторизовываться в АД.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
danbankir
Сообщения: 18
Зарегистрирован: 06 мар 2019, 08:04

Тааак, это уже интересно, как раз то, что мне нужно.
Т.е. действуем след. образом, поправьте, что не так:
1. на Сервере ставим роль AD (DNS и DHCP удаляю)
2. Сервер включён в Бридж и имеет ip от DHCP Mikrotik
3. Иду на микротик и прописываю:
/ip dns static
add address=192.168.118.250 name=router.lan - адрес роутера в моём случае это 192.168.33.1
add address=192.168.118.15 name=mynameAD.local - ip который получил сервер(контролер домена) 192.168.33.9
add address=192.168.1.17 name=mynameAD.local - это что за адрес?


В данный момент: RB4011 + cAP ac
В прошлом: RB951G-2HnD, hEX S
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

danbankir писал(а): 30 апр 2019, 08:57 Тааак, это уже интересно, как раз то, что мне нужно.
Т.е. действуем след. образом, поправьте, что не так:
1. на Сервере ставим роль AD (DNS и DHCP удаляю)
2. Сервер включён в Бридж и имеет ip от DHCP Mikrotik
Слишком радикально.

В любой схеме - лучше сначала её запустить как она есть в теории и как в учебниках,
поэтому я вижу так:
а) создаёте бридж отдельный,туда помещаете порт4 и порт5 (взял для удобства, порты можете взять другие).

б) на Вин-Сервере лучше поднять и ДНС и DHCP и проверить, что компьютер-клиент
получает их от сервера и работает, и процесс авторизации работает полностью.
Также научиться настраивать в ДНСе вин-сервера чтобы он внешние запросы (на яндекс, рамблер)
отдавал ДНС-у микротика. То есть прописать внешние ДНС-ы ему.
А уже потом, химичить, и отключать DHCP на сервере и делать отдельный (второй)
DHCP сервер для этого бриджа (ну и этой отдельной сети).

в) мне кажется, серверу в любом случаи, надо адрес задавать статично, а не динамично.

г) также, когда отстроите получение адреса клиентом, попробуйте получить адрес
на микротике от Вин-сервера, добавив созданный отдельный бридж в раздел
DHCP Client.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
danbankir
Сообщения: 18
Зарегистрирован: 06 мар 2019, 08:04

Прочитал, всё понял. Сделаю!


В данный момент: RB4011 + cAP ac
В прошлом: RB951G-2HnD, hEX S
Andrey.S.
Сообщения: 16
Зарегистрирован: 22 апр 2019, 19:46

danbankir писал(а): 30 апр 2019, 08:57 add address=192.168.118.15 name=mynameAD.local - ip который получил сервер(контролер домена) 192.168.33.9
add address=192.168.1.17 name=mynameAD.local - это что за адрес?
Ваш сервер (контролер домена) может иметь несколько адресов, как на одном, так и на нескольких сетевых интерфейсах. Т.е. это просто еще один адрес для авторизации в AD.
А вообще, как по мне, винда должна выполнять свои функции, а специализированное оборудование (в виде маршрутизатора) -- свои. Всякие ДНС, ДХЦП на винде, как по мне больше на извращение похоже :mi_ga_et:
А дальше: хозяин -- барин ;)


Ответить