Active Directory - kam dát DHCP a DNS

skrzjdouci

Active Directory - kam dát DHCP a DNS
« kdy: 06. 07. 2016, 12:01:43 »
Zdravím, řeším nasazení domény Active Directory WS2012R2 v malé síti - 20PC.
Narazil jsem na problém, jestli umístit DNS a DHCP na server nebo na router? Router je RB951G-2HnD.

DNS a DHCP na Win serveru:
+ vše bude na jednom místě
+ jednodušší správa a konfigurace AD na serveru (našel jsem spoustu návodů)
+ když padne router, doména zůstane funkční - PC v LAN se mohou stále přihlašovat do domény na serveru a pracovat se sdílenými složkami
- problém bude asi v licencování: 20PC se přihlašuje do domény - mají device CAL, na wifi se občas připojují mobily - jen pro přístup na internet, ale když ip přidělí server a primární DNS bude ukazovat na server, tak bych měl mít CAL i pro tyto zařízení?
- když padne server, na PC v LAN nepojede ani internet

DNS a DHCP na routeru mikrotik:
+ odpadá problém s CAL pro mobily co jdou jen na internet
+ když padne server, na PC v LAN půjde alespoň internet
- když padne router, přestane fungovat doména? - PC v LAN se nebudou moct přihlašovat do domény na serveru?
- Jak se budou přenášet názvy PC z AD do DNS záznamů na mikrotiku?
- Jak nastavím DNS na mikrotiku? Nedaří se mi nic vygooglit, spíš nevím co přesně hledat.

Kterou variantu zvolit? Nebo alespoň podle čeho se primárně rozhodnout?


Medo

Re:Active Directory - kam dát DHCP a DNS
« Odpověď #1 kdy: 06. 07. 2016, 12:24:15 »
Neriesil som mikrotik ale nejaky 4x WAN tplink (lebo to musel vediet managovat aj blbec), DHCP na Tplinku, primarny DNS na radici, sekundarny dns na Tplinku. Ked bol server nedostupny, tak aj tak siet fungovala dalej.
Ked ti klakne mikrotik (DHCP), vies ho nahradit cimkolvek inym, co vie DHCP (prva krabicka z obchodu za 20 eur).
Alebo si tam skonfiguruj 2 (mikrotiky, ak je na to rozpocet), do jedneho len nasypes aktualny konfig, a za par minut ficis ...

Medo

Re:Active Directory - kam dát DHCP a DNS
« Odpověď #2 kdy: 06. 07. 2016, 13:32:54 »
Pozeram, ze som ti na vsetko neodpovedal.

Nech je router 192.168.1.1, server 192.168.1.10, a stanice od 192.168.1.100 vyssie.
Router bude poskytovat DHCP s primarnym DNS 192.168.1.10 a sekundarnym 192.168.1.1.
Server bude poskytovat DNS sam sebe (127.0.0.1, to s tebou wizard prejde).
Stanica bude vyzerat:
ip:192.168.1.100
mask: 255.255.255.0
gat: 192.168.1.1

dns1: 192.168.1.10
dns2: 192.168.1.1

Ked server zhodis, stanice sa samozrejme nedostanu k sietovym zdrojom (na serveri), ale do domeny sa "lognu" (nakesovane credentials), a net pojde normalne ...

Podla velkosti siete vies nefunkcne DHCP obist nudzovo aj rucne (staticky), aj ked to v danej chvili bude ten mensi problem (aj tak musis nejako ist na net, takze ked rozbehnes krabicku, zvycajne ti poskytne sj sluzby DHCP).

Lol Phirae

Re:Active Directory - kam dát DHCP a DNS
« Odpověď #3 kdy: 06. 07. 2016, 14:31:20 »
Opravdu tam potřebuješ AD?
Pokud ano, opravdu musí běžet na Windows? Nestačila by Samba 4.x?
Pokud by nestačila, opravdu budeš onanovat s přenosem DNS zón z AD na ten DNS server na Mikrotiku - a jde to vůbec - nebo to tam nedejbože datlovat ručně? (Ne, opravdu tam nestačí napráskat hostnames, to nebude ta AD vůbec fungovat, ani se nepřipojíš do té domény.)
Ty PC budou mít fixní IP natvrdo nastavené na každém počítači? Pokud ne, jinak budeš opět onanovat s registrací DNS záznamů z DHCP na Mikrotiku do AD na Windows Serveru - a jde to vůbec?

P.S. Mít jeden domain controller je taky dobrá sebevražda.

M.

Re:Active Directory - kam dát DHCP a DNS
« Odpověď #4 kdy: 06. 07. 2016, 14:38:48 »
DNS rozhodně na tom AD (ať už to bud eWindows nebo Linux/Samba). DHCP je celkem jedno, používám RBčka. DNS v Mikrotiku se použitelný jako resolver, ale ne DNS server, nejde do toho zadat potřebné záznamy.


Dzavy

Re:Active Directory - kam dát DHCP a DNS
« Odpověď #5 kdy: 06. 07. 2016, 14:43:06 »
DNS rozhodně na tom AD (ať už to bud eWindows nebo Linux/Samba). DHCP je celkem jedno, používám RBčka. DNS v Mikrotiku se použitelný jako resolver, ale ne DNS server, nejde do toho zadat potřebné záznamy.

Souhlas. A pro wifi klienty "na internet" udelat vlastni (guest) VLAN s DHCP i DNS na RB.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Active Directory - kam dát DHCP a DNS
« Odpověď #6 kdy: 06. 07. 2016, 15:05:50 »
DHCP servery muzou byt na siti s klidem 2 i vic, staci, aby se jim nekprekryvaly pooly. Stanic si vezmou adresu z jednoho ci druheho, podle toho, kdo drive odpovi. Kdyz jeden lehne, prevezme to druhy DHCP server. Otazka je, jestli Mikrotik umi nastavit jako DNS server neco jineho, nez sebe sama. Treba sestakove routery to obvykle neumi.

M.

Re:Active Directory - kam dát DHCP a DNS
« Odpověď #7 kdy: 06. 07. 2016, 15:16:10 »
Ano, DHCP v Mikrotiku může nastavit libovolné parametry (dneska i různé parametry pro různé klienty), takže může DNS servery a další parametry odkazovat na to AD. Podporuje i opožděné DHCP, kdy pak mohu mít puštěné DHCP na tom AD i Mikrotiku a teprve když DHCP na AD nebude odpovídat, tak odpoví na DHCP ten Mikrotik (opoždění o 2 nebo 10 sekund, případně skriptová kontrola funkčnosti DHCP na AD a aktivace DHCP v Mikrotiku až když AD opravdu je tuhé).

TKL

Re:Active Directory - kam dát DHCP a DNS
« Odpověď #8 kdy: 06. 07. 2016, 18:19:42 »
Zdravím, řeším nasazení domény Active Directory WS2012R2 v malé síti - 20PC.
Narazil jsem na problém, jestli umístit DNS a DHCP na server nebo na router? Router je RB951G-2HnD.

1) podle mne ti AD bez vlastního DHCP nebude fungovat
2) pro služby typu DHCP a DNS žádné CAL nepotřebuješ

Já bych to nechal vše na jednom serveru. Dle mé letité zkušenosti je to v tomto případě mnohem lepší.

TKL

Re:Active Directory - kam dát DHCP a DNS
« Odpověď #9 kdy: 06. 07. 2016, 18:20:52 »
1) podle mne ti AD bez vlastního DHCP nebude fungovat

Pardon, oprava:

1) podle mne ti AD bez vlastního DNS nebude fungovat

M.

Re:Active Directory - kam dát DHCP a DNS
« Odpověď #10 kdy: 06. 07. 2016, 18:36:46 »
1) podle mne ti AD bez vlastního DNS nebude fungovat

Provozovat AD řadič tak, aby zároveň nedělal i DNS pro klienty je naprosto funkční a provozuji v řadě míst. Jenom je nutno do aktivního DNS stromu vložit patřičné (převážně SRV) záznamy pro danou doménu a každý doménový řadič. Pak to jede přesně jak má.
V případě použití Mikrotiku jako DNS serveru jdou vkládat jen A/AAA/PTR záznamy, tím pádem nejde takto rozumně použít.

Lol Phirae

Re:Active Directory - kam dát DHCP a DNS
« Odpověď #11 kdy: 06. 07. 2016, 18:55:10 »
2) pro služby typu DHCP a DNS žádné CAL nepotřebuješ

To bych radši moc nerozebíral, MS už totiž zjevně mrdá na majáku...

Citace
Q2 – If I have guests that come into my office an temporarily use a Windows DHCP server to grab an IP address to access the Internet, do they need CALs? I guess the takeaway is to never use a Windows DHCP server?

A2 – Yes, they are using a Windows Server service and would need a CAL.

skrzjdouci

Re:Active Directory - kam dát DHCP a DNS
« Odpověď #12 kdy: 06. 07. 2016, 19:00:05 »
Moc děkuji za odpovědi.
Tohle je mi už jasné:
Primární DNS server vytvořit na serveru s active directory. Na mikrotiku DNS resolver do internetu.
DHCP na mikrotiku, nastavení jak popsal Medo
Opravdu tam potřebuješ AD?
Pokud ano, opravdu musí běžet na Windows?
Ty PC budou mít fixní IP natvrdo nastavené na každém počítači? Pokud ne, jinak budeš opět onanovat s registrací DNS záznamů z DHCP na Mikrotiku do AD na Windows Serveru - a jde to vůbec?
AD, winserver - oboje je potřeba.
PC budou mít IP přidělené DHCP serverem. Dál tomu nerozumím, podle mě to bude fungovat tak, že se do AD bude hlásit stanice s IP adresou, kterou přidělil mikrotik, pokud bude jiná oproti předchozímu přihlášení, tak si DNS server pro jméno tohoto PC sám aktualizuje záznam, nějaké ruční přenášení z DHCP mikrotiku do DNS winserveru snad není potřeba - jestli se pletu, tak mě opravte.

DNS rozhodně na tom AD (ať už to bud eWindows nebo Linux/Samba). DHCP je celkem jedno, používám RBčka. DNS v Mikrotiku se použitelný jako resolver, ale ne DNS server, nejde do toho zadat potřebné záznamy.

Souhlas. A pro wifi klienty "na internet" udelat vlastni (guest) VLAN s DHCP i DNS na RB.
S těmi wifi klienty je problém: Z těch 20PC s CAL licencemi jsou 2 notebooky, které se někdy připojují kabelem a někdy přes wifi. Tyto 2 NB by se pak nemohly přihlásit do AD.
Další problém je, že v síti je ještě jeden wifi tplink v režimu L2 - na ten se také připojují mobily "na internet".
Jak tohle pořešit?

DHCP na win serveru - nedostanu se do problémů s licencemi? V jiném vlákně na rootu jsem se dočetl, že pokud DHCP win serveru přidělí nějakému zařízení adresu už je to využití služby win serveru a na každé takové zařízení bych měl mít CAL licenci. (licence na pokrytí všech mobilů nemám) Nebo tohle prostě neřešit?

M.

Re:Active Directory - kam dát DHCP a DNS
« Odpověď #13 kdy: 06. 07. 2016, 19:31:18 »
Mikrotik je velmi konfigurovatelná krabička. Můžete na ni vytvořit několik oddělených wifi sítí na jednom fyzickém rádiu (Virtual AP funkce), kde třeba wifi-firma bude síť, která je L2 bridgvoaná do LAN a vidí na AD (pro přípojení notebooků) a vedle toho wifi-guest, která je izolovaný segment s jinými IPčky a vlastním DHCP serverem, který se routuje pouze do Internetu (do LAN nebude mít vůbec přístup) a bude jako DNS používat nějaký resolver ISPíka. TPlink bych někomu daroval a pořídil druhou malou Mikrotik krabičku, která se nastaví podobně na víc oddělených wifi sítí a použiju ji i jako sekudnární DHCP server pro LAN.

Že bych měl mít CAL licenci i při použití DHCP je uvedeno i o pár příspěvků výše, a to včetně odkazu na MS FAQ, od Lol Phirae.

TKL

Re:Active Directory - kam dát DHCP a DNS
« Odpověď #14 kdy: 06. 07. 2016, 19:57:41 »
2) pro služby typu DHCP a DNS žádné CAL nepotřebuješ

To bych radši moc nerozebíral, MS už totiž zjevně mrdá na majáku...

Citace
Q2 – If I have guests that come into my office an temporarily use a Windows DHCP server to grab an IP address to access the Internet, do they need CALs? I guess the takeaway is to never use a Windows DHCP server?

A2 – Yes, they are using a Windows Server service and would need a CAL.

A kur*a... tak to je ale novinka, protože ještě relativně nedávno byly potřeba jen pro přístupy k doménovým službám a sdílení. No asi chlapci fakt chtějí, aby se přestalo používat i to málo, co z jejich výtvorů funguje spolehlivě.