Авторизация в NT домене через NAT - Сети

Mg0 · 10.09.2004, 12:48

Вот такая история.
Есть NT домен. Основной и бэкап контроллеры сидят в сетке 172.16.1.х
В этой же сетке сидит W2K сервер с 2-мя сетевыми картами. На второй карте висит сетка 172.16.2.х (десяток компов под W98). Включен NAT (это жесткая необходимость). При этом при попытке залогироваться с любого из этих 98-х компов юзера получают сообщение: "Пароль не опознан ни одним сервером домена. Некоторые сетевые ресурсы могут оказаться недоступны" -> "ОК" -- "Отмена" .. Если нажать "ОК", то авторизация, видимо, как-то происходит, потому что доступ ко всем ресурсам, находящимся в сети 172.16.1.х происходит в соответствии с разрешениями, установленными в домене. Можно было бы и не париться, т.к. все работает, но во 1-х, достает само это сообщение и во 2-х, если ввести неправильный пароль, то W98 юзера пускают, юзер начинает работать, а потом сетевой принтер недоступен, сетевые диски отвалены и т.п.
Хотелось бы, чтобы авторизация происходила при входе в сеть, т.е. если уж юзер залогировался, то все без проблем; ввел неправильный пароль -- сразу это видел. Есть идеи?

AcidSly · 13.09.2004, 14:01

А W2k у тебя контролер домена?
попробуй поставить на 98 AD клиента, как вариант

ShooTer · 13.09.2004, 16:04

1.Все апдейт установелны?
2.Машины занесены в АД?

Рекомендую поставит WINS для работы с WIN98.

Mg0 · 13.09.2004, 16:08

2AcidSly
Да нет, W2K у меня просто сервер, а первичный и бэкап-контроллеры сидят под NT4.0+SP6. (Просто машины старые, по 128 Мб памяти, но там крутые рэйды и влом все переносить).
А кто такой AD клиент?

2ShooTer
WINS сервер есть, кстати, живет на той самом W2K сервере-шлюзе
Для W2K все апдейты есть, для W98SE -- только обновления безопасности.

ShooTer · 14.09.2004, 00:45

Секунду.
По какому принципу тебя построены политки безопасности? И какую роль выполняет W2K сервер?

Mg0 · 14.09.2004, 10:08

2ShooTer
Политики безопасности -- "по умолчанию", т.е. вся безопасность управляется NT доменом. W2K сервер -- просто член домена. На нем живет WINS-сервер для обеих сеток (172.16.1.х и 172.16.2.х), Citrix MetaFrame (раздает народу Office-2000) и кое-какие общие каталоги, ну и ессно, он является роутером между сетками 172.16.1.х и 172.16.2.х. Адреса из 2-й сетки спрятаны от 1-й сетки через NAT.
ActiveDirectory не разворачивалась, т.е. вся безопасность из NT, причем оба NT-контроллера (PDC и BDC) находятся в 1-й сети, а клиенты, у которых траблы с авторизацией -- во 2-й. Ессно, все юзеры заведены в NT домене.

10.09.2004, 12:48	# 1
Mg0 ::VIP:: Железный Дровосек Регистрация: 01.10.2003 Адрес: 1/6 суши Пол: Male Сообщения: 3 510	Авторизация в NT домене через NAT Вот такая история. Есть NT домен. Основной и бэкап контроллеры сидят в сетке 172.16.1.х В этой же сетке сидит W2K сервер с 2-мя сетевыми картами. На второй карте висит сетка 172.16.2.х (десяток компов под W98). Включен NAT (это жесткая необходимость). При этом при попытке залогироваться с любого из этих 98-х компов юзера получают сообщение: "Пароль не опознан ни одним сервером домена. Некоторые сетевые ресурсы могут оказаться недоступны" -> "ОК" -- "Отмена" .. Если нажать "ОК", то авторизация, видимо, как-то происходит, потому что доступ ко всем ресурсам, находящимся в сети 172.16.1.х происходит в соответствии с разрешениями, установленными в домене. Можно было бы и не париться, т.к. все работает, но во 1-х, достает само это сообщение и во 2-х, если ввести неправильный пароль, то W98 юзера пускают, юзер начинает работать, а потом сетевой принтер недоступен, сетевые диски отвалены и т.п. Хотелось бы, чтобы авторизация происходила при входе в сеть, т.е. если уж юзер залогировался, то все без проблем; ввел неправильный пароль -- сразу это видел. Есть идеи?

13.09.2004, 14:01	# 2
AcidSly Newbie Регистрация: 09.02.2004 Адрес: Ukraine, Dnepropetrovsk Сообщения: 12	А W2k у тебя контролер домена? попробуй поставить на 98 AD клиента, как вариант __________________ хотел как лучше...

13.09.2004, 16:04	# 3
ShooTer Chameleon MOD Регистрация: 29.04.2003 Сообщения: 2 515	1.Все апдейт установелны? 2.Машины занесены в АД? Рекомендую поставит WINS для работы с WIN98. __________________ "That vulnerability is completely theoretical."

13.09.2004, 16:08	# 4
Mg0 ::VIP:: Железный Дровосек Регистрация: 01.10.2003 Адрес: 1/6 суши Пол: Male Сообщения: 3 510	2AcidSly Да нет, W2K у меня просто сервер, а первичный и бэкап-контроллеры сидят под NT4.0+SP6. (Просто машины старые, по 128 Мб памяти, но там крутые рэйды и влом все переносить). А кто такой AD клиент? 2ShooTer WINS сервер есть, кстати, живет на той самом W2K сервере-шлюзе Для W2K все апдейты есть, для W98SE -- только обновления безопасности. Последний раз редактировалось Mg0; 13.09.2004 в 16:13.

14.09.2004, 00:45	# 5
ShooTer Chameleon MOD Регистрация: 29.04.2003 Сообщения: 2 515	Секунду. По какому принципу тебя построены политки безопасности? И какую роль выполняет W2K сервер? __________________ "That vulnerability is completely theoretical."

14.09.2004, 10:08	# 6
Mg0 ::VIP:: Железный Дровосек Регистрация: 01.10.2003 Адрес: 1/6 суши Пол: Male Сообщения: 3 510	2ShooTer Политики безопасности -- "по умолчанию", т.е. вся безопасность управляется NT доменом. W2K сервер -- просто член домена. На нем живет WINS-сервер для обеих сеток (172.16.1.х и 172.16.2.х), Citrix MetaFrame (раздает народу Office-2000) и кое-какие общие каталоги, ну и ессно, он является роутером между сетками 172.16.1.х и 172.16.2.х. Адреса из 2-й сетки спрятаны от 1-й сетки через NAT. ActiveDirectory не разворачивалась, т.е. вся безопасность из NT, причем оба NT-контроллера (PDC и BDC) находятся в 1-й сети, а клиенты, у которых траблы с авторизацией -- во 2-й. Ессно, все юзеры заведены в NT домене.

Опции темы
Версия для печати Отправить на email