שלום לכולם,

נגיד ויש לי 120 תחנות באירגון, הדרישה באירגון זה שיכול על כל התשתמשים GPO ו לכולם תהיה גלישה חופשית החוצה.

בשביל זה אני קודם מרים שרת DC מתקין עליו נגיד SERVER 2008, על ה-DC מתקין שרת DNS ושרת DHCP, (כמובן עושה DCPROMO ומגדיר את ה- GPO שאני צריך). נותן ל-DC כתובת ידנית של 10.10.10.253.

בשרת DHCP מגדיר לחלק לכתובות בין 10.10.10.1 עד 10.10.10.252.

אני לוקח את המודם (שדרכו הם צריכים לגלוש) ומגדיר אותו על כתובת 10.10.10.254.

אני מחבר בין ה-DC ל-SWITCH, ואז משרשר אותו לעוד שני סויצ'ים.

עכשיו, בשרת DHCP אני מגדיר שה-DG שהוא יחלק לתחנות יהיה 10.10.10.254, ושרת ה-DNS יהיה 10.10.10.253 (אם אני לא אתן את ה-DC אז הוא לא יצליח להתחבר לדומיין בכלל...)

אז המשתמש מקבל את הכתובות הבאות:

ip: 10.10.10.1
SB: 255.255.255.0
DG: 10.10.10.254
DNS: 10.10.10.253

האם זה תקין ? האם המשתמש יצליח לגלוש ?

מה שלא מסתדר לי בראש זה כשאני בבית מחובר לנתב ומוגדר לקבל את כל ההגדרות אוטומטית אז אני מקבל ממנו הכל, אני גולש והכל תקין.

אם אני מגדיר הגדרות ידניות ובשרת DNS אני נותן את הכתובת של הנתב אז אני גם גולש והכל תקין.

אבל, אם אני אתן שרת DNS שגוי (נגיד 1.1.1.1) וכל ההגדרות האחרות יהיה תקינות, וה-DG יהיה הנתב אני לא אגלוש.

האם מה שאני צריך לעשות (באירגון) הוא לתת שתי כתובות DNS ? שהראשונה תהיה ה-DC והשניה תהיה לדוגמא של גוגל (8.8.8.8) ? זה הפיתרון הנכון ? זה גם יתן לי להתחבר לדומיין + להיות מסונכרן בצורה תקינה עם ה- GPO וגם יתן לי לגלוש החוצה (הרי 8.8.8.8 זה שרת DNS תקין)

האם זאת ארכיטקטורת רשת נכונה ?

תודה לעונים וסליחה על החפירות.

המחשב ישתמש תמיד רק בשרת ה DNS הראשון שתגדיר, אלא אם כן הוא לא עונה

בסביבת "דומיין" של מיקרוסופט חובה עלייך שהשרת הזה (וגם אלה שאחריו בסדר העדיפויות, אם קיימים) יהיה DC כלשהו, כדי שהוא יענה בעצמו על שאילתות DNS של שם המתחם שהגדרת לדומיין (אוקיי, טכנית ניתן להריץ גם cache על מחשב אחר, ולשים בו hint לכיוון אחד ה DC-ים, אבל לא ניכנס לזה)

אסור לך (למען קדושת ושלמות רשת המיקרוסופט שלך) לערב בקונפיגורציית ה DNS שרתים שלא מכירים את ה zone של הדומיין שלך (ו 8.8.8.8, למען הסר ספק, לא מכיר). אם תעשה את זה, במקרה של תקלה במענה על ידי השרת הראשי, דברים ב"דומיין" שלך יפסיקו לעבוד, ואתה תדפוק את הראש בקיר עד זוב דם בשביל להבין מה לכל הרוחות הולך שם.

המלצה שלי: אם אינך מבין לעומק איך זה עובד, רצוי שלא תרוץ להקים סביבות מחשוב - טעויות שעושים בהתחלה עלולות לעלות אחר כך ביוקר... (האהובה עלי בארגונים: בחירת שם מתחם בעייתי)

נמאס לכם לזכור סיסמאות? לחצו כאן!

ציטוט:

במקור נכתב על ידי שימי המחשב ישתמש תמיד רק בשרת ה DNS הראשון שתגדיר, אלא אם כן הוא לא עונה בסביבת "דומיין" של מיקרוסופט חובה עלייך שהשרת הזה (וגם אלה שאחריו בסדר העדיפויות, אם קיימים) יהיה DC כלשהו, כדי שהוא יענה בעצמו על שאילתות DNS של שם המתחם שהגדרת לדומיין (אוקיי, טכנית ניתן להריץ גם cache על מחשב אחר, ולשים בו hint לכיוון אחד ה DC-ים, אבל לא ניכנס לזה) אסור לך (למען קדושת ושלמות רשת המיקרוסופט שלך) לערב בקונפיגורציית ה DNS שרתים שלא מכירים את ה zone של הדומיין שלך (ו 8.8.8.8, למען הסר ספק, לא מכיר). אם תעשה את זה, במקרה של תקלה במענה על ידי השרת הראשי, דברים ב"דומיין" שלך יפסיקו לעבוד, ואתה תדפוק את הראש בקיר עד זוב דם בשביל להבין מה לכל הרוחות הולך שם. המלצה שלי: אם אינך מבין לעומק איך זה עובד, רצוי שלא תרוץ להקים סביבות מחשוב - טעויות שעושים בהתחלה עלולות לעלות אחר כך ביוקר... (האהובה עלי בארגונים: בחירת שם מתחם בעייתי)

היי שימי,

קודם כל תודה על התגובה.

אני לא הולך להקים רשת באירגון, אני פשוט עובד כאיש מחשבים באירגון (בפועל אני מרגיש כ- HELPDESK מתקדם) אני תומך בתוכנות פנים ארגוניות + מערכת טלפוניה, אני כן מקים עמדות (חיבור פיזי + חיבור לדומיין) אני גם מבצע עדכונים ב-GPO, בונה OU שונים לפי הצרכים, שרת מדפסות שיתופים וכו'..

הבעיה היא שהאדון שבנה את כל תשתית הרשת זה לא אני, הוא הגדיר את הכל, ואני מתפעל את זה אחרי שזה מוכן.
כשלמדתי רשתות אז לא כל כך דיברו על "התשתית" אלא יותר על הניהול עצמו של הרשת.
אז כמובן שצריך ללמוד לבד.

אני לומד, לדוגמא אם לא ידעתי איך להגדיר VLAN בסויטצ' או TRUNK (ומה המשמעות של זה בכלל) או איך בכלל להתחיל להגדיר סויטצ' אז עכשיו אני יודע...

אם אתה היית צריך להגדיר רשת כזו באותם פרמטרים לפי מה שכתבתי, איך אתה היית עושה את זה ?

איך היית מגדיר את ה-DNSים לתחנות ?

תודה רבה

טוב, אם זה כבר סביבה קיימת אז ההערה שלי לא רלוונטית...

שרתי DNS - בסביבת דומיין - כבר עניתי - ה DC-ים שלך. בסדר עדיפות הולך ופוחת (לפי רמת האמינות של השרתים, עדיף שככל שהשרת אמין יותר, הוא יהיה קודם ברשימה)

האמת שאין עוד אפשרויות שאני יכול לחשוב עליהן - ככה שסביר להניח שזה בדיוק מה שכבר יש אצלך עכשיו, אם אתה מסתכל על מכונה קיימת...

כשלמדת רשתות, אם לימדו אותך רשתות, אין סיבה שאתה אמור לדעת את הדברים האלה. זו לא שאלה ברשתות, אלא שאלה במוצרים של מיקרוסופט, שבינם לבין רשת אין דבר וחצי דבר (למעט העובדה שהם פועלים ע"ג רשת, אבל כך גם כמעט כל דבר אחר בעולם היום) - למעשה שאלות מהסוג הזה צריכות להישאל בפורום Windows ושרתי מיקרוסופט...

נמאס לכם לזכור סיסמאות? לחצו כאן!

אוקי,


תודה רבה.

אם בציור הזה הוא יסיר את שרת ה-DNS וה-DHCP מהסרבר
ויתן למודם/ראוטר לנהל אותם לבד .

ה-DG וה-DNS יהיה הראוטר והתחנות יהיו מקושרות לדומיין ויבצעו LOGOIN ויקבלו GPO מהשרת .

האם השירות DNS שרץ בראוטר מכסה את כל הצרכים שברשת כזו , כלומר שמות פנימיים וכתובות חיצוניים ?

לא, כאמור, הלקוחות לא יוכלו לקבל פרטים על ה"דומיין" מה DNS, כיוון שאין להם מושג לגבי ה"דומיין" הפנימי שמיקרוסופט יצרה, ואיננו קשור להיררכיית ה DNS העולמית... אז התחנות לא תהיינה "מקושרות" לדומיין...

תיכנס לשרת DNS ב DC, ותפתח שם את ההיררכיה. רואה את הדומיין הפנים ארגוני ואת כל כמויות הזבל האדירות שיש מתחתיו? את כל זה, הראוטר שלך לא ממש מכיר (ולמה שיכיר?)

הראוטר לא יודע בכלל לנהל דבר כזה (כמה ראוטרים אתה מכיר שיודעים להיות שרת DNS שגם מגיש zone, ולא רק סתם dns cache?), וזו גם לא ממש קונפיגורציה בריאה מבחינת מיקרוסופט ("כל ה ecosystem צריך לרוץ על שירותים שלנו"). יש appliance-ים ייעודיים לניהול DNS ארגוני, שאפשר להתקין - ראה http://www.ultradns.com/dns-service...hat-is-ultraddi - אבל זה גם מסבך את הסביבה עוד יותר, וגם, ובכן, יקר. זה נועד לארגונים גדולים מאוד, עם כיסים גדולים מאוד, שמסיבות שאינן תלויות באנשי ה IT, נאלצים לעבוד עם תשתיות מיקרוסופט ולהתמודד עם בעיות ה scaling ואי היציבות של מוצרים מסויימים...

נמאס לכם לזכור סיסמאות? לחצו כאן!

אולי הבעיה שאני מכיר את המושג DNS רק ברמה הבסיסית ולא את כל ההשכות שלו
כי הרבה פעמים שמעתי שבעיות תקשורת ברשת לרוב נובעות מבעיות DNS ,
ואני לא כ"כ מבין אילו בעיות זה יוצר .

אנסה לנסח את מה שחסר לי ואולי אתה תרחיב ,
אני מבין שתפקידו של DNS הוא לתרגם כתובות ושמות מחשבים לכתובות IP
ואני מבין שצריך שיהיה DNS מקומי וכמובן גם חיצוני לאינטרנט ,
מה שאני לא מבין זה, במדה ואני מזין בכרטיס הרשת שלי או בראוטר DNS ידני, למשל של גוגל 8.8.8.8
כיצד אז המחשב שלי מסתדר עם הרשת המקומית ?
מילא כשהציור הפוך , וה-DNS שלי הוא הראוטר, אז הוא מנהל גם את המקומי וגם מוציא אותי לחיצוני של ה-ISP

שאלה נוספת, האם זה משנה אם באירגון/כיתה , התחנות מתקשרות רק מול השרת בלבד ואין להם צורך לתקשר עם תחנות נוספות
או שזה לא משנה ובכל מקרה הם צריכות את השירות ?

תודה .

בעיות תקשורת ברשת אינן נובעות מ DNS, פשוט משום ש DNS איננו חלק משום פרוטוקול תקשורת. בעייה בביצוע שאילתות DNS יכולה לגרום לאי-הגעה לשם המופיע ב DNS (בשונה מ- לכתובת IP), פשוט משום שהמחשב לא מצליח להבין מהשם שנתת לו, לאיזה IP להתחבר. תקשורת נעשית בין IP-ים, לא בין שמות מחשב.

למה המחשב שלך צריך "להסתדר" עם הרשת המקומית (אתה מדבר על אצלך בבית עכשיו, נכון?)? יש לך שם איזשהו אתר אינטרנט, נניח www.fresh.co.il, שצריך להגיע אליו באמצעות שם המתחם? אם כן, זה יהיה די מוזר. בד"כ אתרי אינטרנט לא יושבים בתוך רשתות פנימיות ביתיות (לא שזה בלתי אפשרי. זה אפשרי. אבל אז ברוב הראוטרים תהיה בעייה להגיע אליהם, משום שה IP של האתר כלפי שאר העולם הוא חיצוני, ואז כשאתה ניגש אליו, אתה מגיע בעצם לראוטר, וברוב הראוטרים תרגום ה NAT הזה נעשה בצורה זוועתית - וזה לא עובד)

מה זה אומר "תחנות מתקשרות רק מול השרת"? איך, עם כתובת IP? אם כן, אין שום צורך ב DNS. שוב, DNS משמש לדבר אחד בלבד - הפיכת שמות מחשב לכתובות IP. זהו. (טוב, אני oversimplifying כאן, אבל מבחינתך כמשתמש ביתי פשוט, אם נתעלם כרגע מתשתיות אחרות המתבססות על DNS כגון תקשורת בין שרתי דואר אלקטרוני, זיהוי שירותים המוצעים על ידי ארגון באמצעות שם המתחם שלו באמצעות קונוונציה מוגדרת מראש, וכו', זה כל מה ש DNS עושה... מאפשר לך לדעת ש www.fresh.co.il = 82.80.248.160 [לפחות במועד כתיבת שורות אלה ])

נמאס לכם לזכור סיסמאות? לחצו כאן!

אם הבנתי נכון, אז גם ברשת המקומית שלי בבית או בכיתת מחשבים
המחשבים חייבים שירות/שרת DNS שיגלה להם מה היא כתובת ה-IP של המחשב שאליו הם פונים
ואני לא מתכוון למחשב שמריץ שרת HTTP וכדו' אלא שיתוף קבצים או אפילו רק פינג .

כלומר שאם למשל אשנה אצלי בבית לשני המחשבים את ה-DNS ל-DNS חיצוני, כגן זה של גוגל
וארצה לגשת ממחשב אחד לקבצים שבמחשב השני , לא אוכל למצא אותו באמצעות השם שלו \\PC\
אלא רק ע"י כתובת ה-IP שלו,
או שלזה יש שירות אחר ברשת שדואג לספר למחשבים מה כתובת ה-IP של האחרים .

ואותה שאלה התכוונתי גם לעי"ל ,
במדה ופותח האשכול יבטל בשרת את שירות ה-DNS וה-DHCP
וכולם יקבלו כתובות מהראוטר והוא ישמש גם ה-DNS של כולם
והצרכים הפנימיים ברשת הזו יהיו שיתופי קבצים/מדפסות וכדו' ולא אתרי אינטרנט
האם זה לא יספיק לצורך עבודה תקינה ?
מה עושה שרת DNS יותר מהראוטר ברשת כזו ?
האם הוא לא צריך סה"כ לדעת מה כתובת ה-IP של כל 'שם מחשב' ברשת
וגם לנתב כתובות לרשת האינטרנט .

תודה רבה על הפירוט .

לשמות מחשב ברשת (מיקרוסופט) מקומית ללא subnet-ים, יש עוד שיטה להתגלות, אחד על ידי השני, שאיננה קשורה ל DNS, וקוראים לה NetBIOS. בד"כ זה קורה כך, כי לאדם הממוצע אין שרת DNS בבית. זו שיטה מאוד לא יעילה, המבוססת על שידור קבוע לכל התחנות, ואין בה גורם מתאם ומוחלט, אבל לרשת ביתית פשוטה זה "good enough" כנראה, כי, עובדה, אנשים משתמשים בזה. כמו כל דבר שמיקרוסופט לקחה תחת ידיה, יש לזה את הצרות של זה. לפעמים זה לא עובד, וקשה מאוד לגלות מדוע ולמה, אפילו אם אתה רץ על סניפר ובודק מה קורה מתחת לפני השטח.

לידיעתך, "לעיל" זה לא ראשי תיבות, אלא מילה בשפה הארמית... (אולי לנ"ל - שזה - לנזכר לעיל)

הצרכים של פותח האשכול הם דומיין של מיקרוסופט. דומיין של מיקרוסופט דורש DNS, ושליטה על הרשומות שבו, כחלק מצורת עבודתו הבסיסית ביותר. לו פותח האשכול יבטל את ה DNS, סביבת AD של מיקרוסופט לא תוכל לעבוד. אשר ל DHCP, בדומה ל DNS, אין הוא נחוץ. אם תגדיר כתובת IP ידנית בכל מחשב ומחשב, לא תזדקק ל DHCP ברשת שלך. אין שום שירות רשת המבוסס על DHCP (שוב אני oversimplifying ומדבר על המשתמש הממוצע. ישנם מקרים שבהם חייבים DHCP [או משהו דומה - BOOTP], כגון למטרות Boot from Network הידוע גם כ PXE, אבל המשתמש הממוצע לא עושה את זה...)

נמאס לכם לזכור סיסמאות? לחצו כאן!

ישר״כ על כל הפירוט הנ״ל
הוספת לי הרבה וענית על פרט שתמיד הציק לי בנוגע ל DNS מקומי

אכן בטעות הוספתי ראשי תיבות למילה לעיל שהיא בארמית למעלה (לקמן-בהמשך)
והתכוונתי הנזכר לעיל
http://www.safa-ivrit.org/writers/benezra/lehalan.php