** Przemysław Adam Śmiejek <niechce@spamu.pl> wrote:
>> Przy logowaniu, bo nie może znaleźć kontrolera domeny, a nazwy DNS do
>> Internetu może sobie rozwiązywać gdzie indziej,
> No ale gdzie indziej? Biorą sobie adresy DNSa z kosmosu?
Ale Ty naprawdę nie wiesz skąd biorą adresy DNS? To jest proste do sprawdzenia.
Z tego co piszesz to dostają z DHCP. Najprościej to po prostu kopnij się do
stacji i odpytaj na niej o rekordy DNS specyficzne dla Twojej domeny. W wersji
zbastardyzowanego DNS w wykonaniu MS (zbastardyzowanego bo RFC nie przewiduje
używania podkreślnika w nazwach):
http://www.petri.co.il/active_directory_srv_records.htm
Na moje oko (piszesz coś o profilach mobilnych) problem długiego logowania
bardziej jest związany z nimi (długie przetwarzanie GPO itd.) niż z DNS - ale
najprościej jest metodą wykluczenia po prostu sprawdzić ten DNS. Ty się od
kilku dni produkujesz, zamiast coś faktycznie zrobić w tym kierunku.
>> skoro mówisz, że i tak mają Internet na stacjach bez włączonego klienta ISA.
>> Bez tego nie powinni mieć Internetu
> Dlaczego niby nie? Owszem, można tak ustawić Izę, żeby bez FC faktycznie nie
> puszczała, ale wtedy nie działają systemy na których nie ma FC.
To nie ma sensu. Firewall Client jest praktycznie potrzebny jedynie jeżeli
chcesz dać dostęp do specyficznych protokołów (na pewno nie HTTP/FTP) czy
dziwnych aplikacji, które nie potrafią sobie poradzić z proxy.
Dla protokołów HTTP i FTP używaj ISA jako proxy - po prostu w przeglądarce
ustawiasz konfigurację proxy. Proxy możesz tutaj zapodać na kilka różnych metod
- najlepiej ustawić je wszystkie: podstawowe - via GPO, via WPAD/PAC, via
transparentne (zadziała tylko dla HTTP ale z logów wychwycisz stacje/userów,
którzy nie mają proxy ustawionego i skorygujesz).
Ruch bezpośredni do Internetu zablokuj _kompletnie_. Dopuść tylko połączenia,
które nawiązuje sam serwer ISA i wszystko puszczaj przez niego.
(...)
> No filtruje, bo mi reguły filtrowania IP działają. Bez FC nie działa tylko
> filtrowanie wg tekstu.
Dopisz "*mi* działa tylo" - bo już drugi raz powtarzasz bzdurę. To nie jest
tak, że ten produkt tak ma tylko po prostu nie potrafisz tego skonfigurować.
Absolutnie nie jest tak jak piszesz.
>> Przy tym piszesz, że masz profile mobilne, a te > stacja musi zassać z
>> serwera. Klienta sieci MS Network na stacjach masz włączonego? (właściwości
>> tcp/ip)
> Bez tego by przecie nie widział zasobów SMB, mylę się?
Nie mylisz się.
>> W sumie powody mogą być trojakie - źle skonfigurowany serwer DNS,
> W sensie serwer? Serwer DNS działa i nazwy rozwiązuje.
Chodzi o nazwy specyficzne dla Active Directory. Je sprawdzałeś?
(...)
>> w końcu źle skonfigurowane stacje.
> Stacje to zwykły Windows XP dodany do domeny. Ustawienia dostają z DHCP i
> tyle. Co tam może być źle skonfigurowane? Przed pewnym momentem działały i z
> dwa razy je reinstalowałem. Po zauważeniu problemu też je zreinstalowałem dla
> pewności.
Reinstalacja to leczenie skutków nie przyczyn.
Z DHCP to one tylko dostają ustawienia IP i pomocnicze, zasadniczo tam w grę
wchodzi jeszcze kilka innych rzeczy - piszesz o profilach mobilnych, więc na
100% jest jeszcze GPO (jakoś nie chcę mi się wierzyć, że biegałeś po stacjach
i ustawiałeś naprawdę bardzo obskurne rzeczy w rejestrze).
To też może powodować problemy - długie logowanie się i profile mobilne to
często jest ze sobą związane. Przyczyn może być wiele - od naprawdę
prozaicznych (sam tak miałem raz) - zbyt wolne łącze i synchronizacja profilu
zamula do złożonych.
>> Według mnie cała Twoja konfiguracja sieci jest do wyrzucenia i zrobienia od
>> początku, a to jest robota na ładnych kilka godzin, o ile nie dni...
> Możliwe. Tylko nie bardzo rozumiem co tu takiego czasochłonnego w prostej
> sieci 50 kompów mających kolejne numerki IP i bez udziwnień? Bo największe
> udziwnienia to filtrowanie pewnych IP na Izie.
Sorry skoro tak podchodzisz do zarządzania siecią to po co Ci te Active
Directory itd.? Moim zdaniem nie za bardzo rozumiesz jak to powinno działać.
Piotr ma rację - warto poświęcić trochę czasu (i to może być do kilku dni -
ilość stacji klienckich nie robi tu różnicy). Na *porządne* zrobienie sieci.
Jak sobie to zrobisz raz a dobrze to potem już tylko monitorujesz jak działa.
Jak zrobisz źle to nonstop będziesz się z tym użerał (Ty to pal sześć bo sieć
nie jest dla Ciebie - użytkownicy będą).
--
+ ' .-. .
, * ) )
http://kosmosik.net/ . . '-' . kK
Received on Tue Sep 7 23:40:03 2010
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Tue 07 Sep 2010 - 23:42:00 MET DST