# Подключение компьютеров к контролерам домена из разных под сетей.



## DraM (04.07.2022)

Помогите пожалуйста разобраться, давно меня интересует эта тема. Досталась мне в наследство сеть с одним контролером домена и множеством подсетей. То есть  имеем начальную сеть 192.169.10  в ней сейчас у меня 2 контролера домена, маленькими шажками я их осваиваю, когда есть время, сейчас на них я делаю только доменные учетки, больше ничего. и на концах этой сети, несколько 10 ков Wi Fi роутеров со своими сетями, 192.168.11, 192.168.12 и тд. Проблема в следующем, нужно с контролеров домена управлять компьютерами в других под сетях. Я так понимаю что нужно пробросить маршруты в Wi Fi роутерах но как не старлся и сколько бы не читал, ни как до меня ни доходит что конкретно нужно сделать. Кто имеет опыт поделитесь пожалуйста.


----------



## deadushka (06.07.2022)

ничего не ясно


----------



## DraM (06.07.2022)

deadushka сказал(а):


> ничего не ясно


Попробую нарисовать что бы немного было понятней.


----------



## DraM (06.07.2022)

deadushka сказал(а):


> ничего не ясно


----------



## DraM (06.07.2022)

deadushka сказал(а):


> ничего не ясно


Компьютер которые в той же сети что и контролеры нормально управляются, а те что за wi  fi в других сетях нет. Я их смог только в домен добавить, а управлять ими не могу.


----------



## NanoSuit (06.07.2022)

DraM сказал(а):


> Компьютер которые в той же сети что и контролеры нормально управляются, а те что за wi  fi в других сетях нет. Я их смог только в домен добавить, а управлять ими не могу.


ну они NATятся наверное по этому и что там в dns


----------



## Ramirezkiv (06.07.2022)

DraM сказал(а):


> Помогите пожалуйста разобраться, давно меня интересует эта тема. Досталась мне в наследство сеть с одним контролером домена и множеством подсетей. То есть  имеем начальную сеть 192.169.10  в ней сейчас у меня 2 контролера домена, маленькими шажками я их осваиваю, когда есть время, сейчас на них я делаю только доменные учетки, больше ничего. и на концах этой сети, несколько 10 ков Wi Fi роутеров со своими сетями, 192.168.11, 192.168.12 и тд. Проблема в следующем, нужно с контролеров домена управлять компьютерами в других под сетях. Я так понимаю что нужно пробросить маршруты в Wi Fi роутерах но как не старлся и сколько бы не читал, ни как до меня ни доходит что конкретно нужно сделать. Кто имеет опыт поделитесь пожалуйста.


Вопрос целиком и полностью находится в плоскости решения задачи маршрутизации. То есть внутри ЛВС из схемы у вас видно, что есть ядро ЛВС, которое состоит из маршрутизатора с сеткой 192.168.10.0/24 (маска наверное 24, я предполагаю). Если в данной ЛВС предполагается использовать другие IP-подсети: 192.168.11.0, 192.168.12.0, 192.168.13.0 и другие, то ядро ЛВС, то есть маршрутизатор должен знать о их существовании.
Эту задачу можно решить двумя путями: либо заведением этих подсеток на маршрутизаторе (заводим интерфейс VLAN и прописываем в нём IP-адрес этой подсети). В этом случае маршрутизатором для ВСЕХ подсеток будет являться только маршрутизатор, но не точки доступа Wi-Fi.
Второй путь: за подсетки 11, 12, 13 отвечают точки доступа Wi-Fi, а маршрутизатор просто будет выполнять роутинг на них.
Но в вашей схеме вы точки доступа с подсетками 11, 12, 13 подключаете напрямую в маршрутизатор с сеткой 192.168.10.0.
Так нельзя делать. Вы если точки доступа подключаете в маршрутизатор с сеткой 192.168.10.0, то эти точки доступа должны иметь управляющие IP-адреса из этой подсети 192.168.10.0, а у вас нарисовано, что они имеют адреса 11.1, 12.1, 13.1.
Понятно?


----------



## Ramirezkiv (06.07.2022)

DraM сказал(а):


> Посмотреть вложение 11495


Если зайти в командную строку маршрутизатора и попробовать пингануть Wi-Fi точки доступа по адресам 192.168.11.1, 12.1, 13.1 - они будут пинговаться?


----------



## deadushka (06.07.2022)

может их переключить в бридж ?


----------



## Ramirezkiv (06.07.2022)

deadushka сказал(а):


> может их переключить в бридж ?


Прежде всего мне кажется, что необходимо точки доступа Wi-Fi сделать доступными для управления с маршрутизатора. Либо дать им управляющие IP-адреса из подсетки 192.168.10.0, либо на маршрутизаторе завести подсетки 192.168.11.0, 192.168.12,0, 192.168.13.0. Короче, точки доступа должны пинговаться.


----------



## DraM (06.07.2022)

Ramirezkiv сказал(а):


> Прежде всего мне кажется, что необходимо точки доступа Wi-Fi сделать доступными для управления с маршрутизатора. Либо дать им управляющие IP-адреса из подсетки 192.168.10.0, либо на маршрутизаторе завести подсетки 192.168.11.0, 192.168.12,0, 192.168.13.0. Короче, точки доступа должны пинговаться.


Обьясняю как все устроено и почему. Была одна сеть когда то. 192.168.10.1 и один роутер управляющий. Потом эта сеть начала расширятся с такой стремительностью что ни кто не заметил что ip в 10 ой сети кончились и были забиты всяким камерами контролерами станков и тд. по этому в бридж переключить не получится, 10ая сеть вся забита, а мои компы все за wi Fi прячутся. С сетями я еще далеко не на ты. Понимаю например как пробросить видеорегистратор из сети в нет что бы люди могли смотреть камеры из дома а вот как пробросить щупальца контролеров домена до моих компов, загадка. Все ви фи работают не как точки доступа а как полноценные роутеры. ко всем привязаны ip 10ой сети. И да я понимаю что из сети выше где компы нам ничего не мешает спуститься в 10ую поэтому я могу подключить их к домену а вот контролеру домена не попасть в подсеть выше так как из вне доступ закрыт NAT так я понимаю.


----------



## deadushka (06.07.2022)

Может их суммаризировать и поменять маску подсети ?


----------



## DraM (06.07.2022)

deadushka сказал(а):


> Может их суммаризировать и поменять маску подсети ?


Поподробней пожалуйста.


----------



## Ramirezkiv (06.07.2022)

deadushka сказал(а):


> Может их суммаризировать и поменять маску подсети ?


Эту маску придётся менять на ВСЕХ устройствах в сети иначе станут ВНЕЗАПНО недоступны.


----------



## Ramirezkiv (06.07.2022)

DraM сказал(а):


> Поподробней пожалуйста.


Ну есть такое понятие в IP-адресации, как маска подсети.
IP-адреса 192.168.10.0, 192.168.11.0, 192.168.12.0, 192.168.13.0 с маской (255.255.255.0, /24) - разные подсетки.
Но с маской 255.255.0.0 (/16) - это одна подсеть 192.168.0.0.
Маска подсети - это наибазовейший параметр в адресации. Бегом и срочно изучать матчасть.


----------



## Fedor (06.07.2022)

Ramirezkiv сказал(а):


> Эту маску придётся менять на ВСЕХ устройствах в сети иначе станут ВНЕЗАПНО недоступны.


DHCP ?
Вообще, конечно,  бы лучше сразу было спланировать как то архитектуру lan было


----------



## DraM (06.07.2022)

На всех устройствах прописана 255.255.0.0, без этого бы ничего не работало, я так понимаю


----------



## Ramirezkiv (06.07.2022)

DraM сказал(а):


> Обьясняю как все устроено и почему. Была одна сеть когда то. 192.168.10.1 и один роутер управляющий. Потом эта сеть начала расширятся с такой стремительностью что ни кто не заметил что ip в 10 ой сети кончились и были забиты всяким камерами контролерами станков и тд. по этому в бридж переключить не получится, 10ая сеть вся забита, а мои компы все за wi Fi прячутся. С сетями я еще далеко не на ты. Понимаю например как пробросить видеорегистратор из сети в нет что бы люди могли смотреть камеры из дома а вот как пробросить щупальца контролеров домена до моих компов, загадка. Все ви фи работают не как точки доступа а как полноценные роутеры. ко всем привязаны ip 10ой сети. И да я понимаю что из сети выше где компы нам ничего не мешает спуститься в 10ую поэтому я могу подключить их к домену а вот контролеру домена не попасть в подсеть выше так как из вне доступ закрыт NAT так я понимаю.


Понятно. Спасибо за подробное объяснение развития вашей сетки. Это нормально.
"как пробросить щупальца контролеров домена до моих компов, загадка" - с помощью маршрутизации. Вам надо:
1. на главном роутере сети написать маршруты до сетей 192.168.11.0, 12.0, 13.0, что они доступны до соответствующих адресов точек доступа Wi-Fi из подсети 192.168.10.0. Вы ведь говорите, что точки доступа Wi-Fi имеют управляющие IP-адреса из подсети 192.168.10.0? Так? Верно?

"И да я понимаю что из сети выше где компы нам ничего не мешает спуститься в 10ую поэтому я могу подключить их к домену" - ваша фраза означает, что из подсетей 192.168.11.0, 192.168.12.0, 192.168.13.0 есть доступ к подсети 192.168.10.0, там где контроллеры, ок.

" а вот контролеру домена не попасть в подсеть выше так как из вне доступ закрыт NAT так я понимаю" - эта фраза непонятна, чуть более, чем полностью. Можно как-то по-другому сформулировать? Зачем NAT между контроллерами и компами?


----------



## DraM (06.07.2022)

Fedor сказал(а):


> DHCP ?
> Вообще, конечно,  бы лучше сразу было спланировать как то архитектуру lan было


Я согласен, сейчас бы я по другому все построил. DHCP как я понимаю работает на всех роутерах. То есть получается у меня куча полноценных маленьких сетей которые из 10ой берут только интернет.


----------



## Ramirezkiv (06.07.2022)

Fedor сказал(а):


> DHCP ?
> Вообще, конечно,  бы лучше сразу было спланировать как то архитектуру lan было


Планировать это для слабаков ))
DHCP можно попробовать, то стопудово где-то что-то отвалится и не будет работать.
Маску надо менять с осторожностью и не сразу для всей сети.


----------



## Ramirezkiv (06.07.2022)

DraM сказал(а):


> На всех устройствах прописана 255.255.0.0, без этого бы ничего не работало, я так понимаю


Если вы говорите, что у вас маска 255.255, то сети 192.168.10.0, 11.0, 12.0, 13.0 - это одна IP-подсеть, которой маршрутизация не нужна.


----------



## Ramirezkiv (06.07.2022)

DraM сказал(а):


> Помогите пожалуйста разобраться, давно меня интересует эта тема. Досталась мне в наследство сеть с одним контролером домена и множеством подсетей. То есть  имеем начальную сеть 192.169.10  в ней сейчас у меня 2 контролера домена, маленькими шажками я их осваиваю, когда есть время, сейчас на них я делаю только доменные учетки, больше ничего. и на концах этой сети, несколько 10 ков Wi Fi роутеров со своими сетями, 192.168.11, 192.168.12 и тд. Проблема в следующем, нужно с контролеров домена управлять компьютерами в других под сетях. Я так понимаю что нужно пробросить маршруты в Wi Fi роутерах но как не старлся и сколько бы не читал, ни как до меня ни доходит что конкретно нужно сделать. Кто имеет опыт поделитесь пожалуйста.


Проблема в чём? Что контроллеры из подсети 192.168.10.0 не видят тачек из подсетей 11.0, 12.0, 13.0, но при этом тачки из 11.0, 12.0, 13.0 видят контроллеры и Интернет?
Какое устройство указано в качестве маршрутизатора для контроллеров? Главный роутер сети? Если да, то проблема в том, что главный роутер не знает, как добраться до подсеток 11.0, 12.0, 13.0.
Задайте на нём маршруты для этих подсеток.


----------



## DraM (06.07.2022)

Ramirezkiv сказал(а):


> Понятно. Спасибо за подробное объяснение развития вашей сетки. Это нормально.
> "как пробросить щупальца контролеров домена до моих компов, загадка" - с помощью маршрутизации. Вам надо:
> 1. на главном роутере сети написать маршруты до сетей 192.168.11.0, 12.0, 13.0, что они доступны до соответствующих адресов точек доступа Wi-Fi из подсети 192.168.10.0. Вы ведь говорите, что точки доступа Wi-Fi имеют управляющие IP-адреса из подсети 192.168.10.0? Так? Верно?
> 
> ...


Я не понимаю что такое управляющие адреса, каждому роутеру при подключении к сети главный выдает свой ip у нас они все статичные. например 192.168.10.167 один из адресов роутера, который в свою очередь раздает адреса начинающиеся с 192.168.11.2 к примеру.

("И да я понимаю что из сети выше где компы нам ничего не мешает спуститься в 10ую поэтому я могу подключить их к домену" - ваша фраза означает, что из подсетей 192.168.11.0, 192.168.12.0, 192.168.13.0 есть доступ к подсети 192.168.10.0, там где контроллеры, ок.)

да

(" а вот контролеру домена не попасть в подсеть выше так как из вне доступ закрыт NAT так я понимаю" - эта фраза непонятна, чуть более, чем полностью. Можно как-то по-другому сформулировать? Зачем NAT между контроллерами и компами?)

не понимаю что ответить.((( Ну в роутер же не попадешь из интернета если не дать к нему доступ руками вот и тут так же.


----------



## DraM (06.07.2022)

Ramirezkiv сказал(а):


> Проблема в чём? Что контроллеры из подсети 192.168.10.0 не видят тачек из подсетей 11.0, 12.0, 13.0, но при этом тачки из 11.0, 12.0, 13.0 видят контроллеры и Интернет?
> Какое устройство указано в качестве маршрутизатора для контроллеров? Главный роутер сети? Если да, то проблема в том, что главный роутер не знает, как добраться до подсеток 11.0, 12.0, 13.0.
> Задайте на нём маршруты для этих подсеток.


да


----------



## Ramirezkiv (06.07.2022)

DraM сказал(а):


> Я не понимаю что такое управляющие адреса, каждому роутеру при подключении к сети главный выдает свой ip у нас они все статичные. например 192.168.10.167 один из адресов роутера, который в свою очередь раздает адреса начинающиеся с 192.168.11.2 к примеру.
> 
> ("И да я понимаю что из сети выше где компы нам ничего не мешает спуститься в 10ую поэтому я могу подключить их к домену" - ваша фраза означает, что из подсетей 192.168.11.0, 192.168.12.0, 192.168.13.0 есть доступ к подсети 192.168.10.0, там где контроллеры, ок.)
> 
> ...


Какое устройство указано в качестве маршрутизатора для контроллеров? Главный роутер сети? Если да, то проблема в том, что главный роутер не знает, как добраться до подсеток 11.0, 12.0, 13.0.
Задайте на нём маршруты для этих подсеток.
Например, для доступа к подсети 192.168.11.0 идти на 192.168.10.167 и так далее для других подсеток.
Маршруты вам надо задать на главном роутере.


----------



## DraM (06.07.2022)

DraM сказал(а):


> да


подскажите как?


----------



## Ramirezkiv (06.07.2022)

DraM сказал(а):


> подскажите как?


как задать маршруты до нужных подсеток на главном роутере?


----------



## DraM (06.07.2022)

DraM сказал(а):


> подскажите как?
> 
> 
> Ramirezkiv сказал(а):
> ...


----------



## DraM (06.07.2022)

Ramirezkiv сказал(а):


> как задать маршруты до нужных подсеток на главном роутере?


если не трудно, я бы с удовольствием послушал. Я еще не сталкивался с этим.


----------



## Ramirezkiv (06.07.2022)

DraM сказал(а):


> если не трудно, я бы с удовольствием послушал. Я еще не сталкивался с этим.


Ну смотрите. Теоретическая часть такова, что в сетях с маршрутизацией в рамках одной ЛВС может существовать множество различных IP-подсетей как у вас. Чтобы траффик одной подсети бегал в другую подсеть и обратно, необходим маршрутизатор. Он у вас есть. И есть не только он - есть ещё другие маршрутизаторы в виде точек доступа Wi-Fi. Соответственно, чтобы различные подсетки друг друга увидели, необходимо вначале сделать так, чтобы на своём уровне маршрутизаторы знали какие подсетки на каких роутерах находятся. Эта задача может быть выполнена одним из двух путей:
1. заданием маршрутов до нужных подсетей на каждом роутере. Это статическая маршрутизация.
2. включением на всех маршрутизаторах динамических протоколов обмена информацией о маршрутах. Это динамическая маршрутизация. Примеры протоколов обмена маршрутами динамически: RIP, RIPv2, OSPF, IGRP, EIGRP и прочие.
Динамическую маршрутизацию трогать на вашем уровне не советую пока не прокачаете скилл по маршрутизации в целом и общем. И не для вашей маленькой сетки они. И динамика немало добавляет головняка в траблшутинг неисправностей.
Поэтому только статика - всего три маршрутика, которые скажут главному роутеру, что сетка 192.168.11.0 находится за устройством 192.168.10.167 (а не за устройством например 192.168.10.168 или 169) и так далее. Причина по которой это не делается автоматически в том, что роутер, конечно устройство умное и полезное, но оно не телепат и в нем не используются космические технологии и искуственный интеллект в виде нейронных сетей. Поэтому говорим роутеру руками: бро, нужна сетка вооооон за тем устройством, а вот другая нужная сетка - вот за этим устройством.
В этом суть идеи.

Теперь как это сделать руками? Целиком и полностью зависит от того, какое устройство у вас используется в качестве главного роутера. У всех устройств разный интерфейс и ком.строка.
Я бы делал так через ком.строку:
ip route 192.168.11.0 255.255.0.0 192.168.10.167
ip route 192.168.12.0 255.255.0.0 192.168.10.168
ip route 192.168.13.0 255.255.0.0 192.168.10.169
В первых параметрах указываем сетку назначения с маской, во втором - роутер, который сетку обслуживает.
Проверяем:
show config


----------



## Ramirezkiv (06.07.2022)

Ramirezkiv сказал(а):


> Ну смотрите. Теоретическая часть такова, что в сетях с маршрутизацией в рамках одной ЛВС может существовать множество различных IP-подсетей как у вас. Чтобы траффик одной подсети бегал в другую подсеть и обратно, необходим маршрутизатор. Он у вас есть. И есть не только он - есть ещё другие маршрутизаторы в виде точек доступа Wi-Fi. Соответственно, чтобы различные подсетки друг друга увидели, необходимо вначале сделать так, чтобы на своём уровне маршрутизаторы знали какие подсетки на каких роутерах находятся. Эта задача может быть выполнена одним из двух путей:
> 1. заданием маршрутов до нужных подсетей на каждом роутере. Это статическая маршрутизация.
> 2. включением на всех маршрутизаторах динамических протоколов обмена информацией о маршрутах. Это динамическая маршрутизация. Примеры протоколов обмена маршрутами динамически: RIP, RIPv2, OSPF, IGRP, EIGRP и прочие.
> Динамическую маршрутизацию трогать на вашем уровне не советую пока не прокачаете скилл по маршрутизации в целом и общем. И не для вашей маленькой сетки они. И динамика немало добавляет головняка в траблшутинг неисправностей.
> ...


только вот не совсем понятно, что вы говорите, что у вас везде задана маска 255.255.0.0.
Это вообще то означает, что у вас не 4 подсетки, а одна и маршрутизация вообще не нужна.
Точно ли 255.255.0.0? Может 255.255.255.0?


----------



## DraM (06.07.2022)

Ramirezkiv сказал(а):


> только вот не совсем понятно, что вы говорите, что у вас везде задана маска 255.255.0.0.
> Это вообще то означает, что у вас не 4 подсетки, а одна и маршрутизация вообще не нужна.
> Точно ли 255.255.0.0? Может 255.255.255.0?


Скин главного роутера. Я так понимаю что 255.255.255.0


----------



## Ramirezkiv (06.07.2022)

DraM сказал(а):


> Скин главного роутера. Я так понимаю что 255.255.255.0


Да, всё верно, 255.255.255.0. Тогда моё предположение верно. Ищите в графическом интерфейсе как добавить маршрут - наверное через модификацию таблицы маршрутизации. Добавьте сначала информацию о маршруте до 192.168.11.0 через 192.168.10.167 и пинганите с контроллера домена какой-нибудь адрес из подсети 11, который ранее не пинговался и на котором пинги не запрещены. Если всё норм, то для остальных подсеток действуйте аналогичным образом.
Теперь только на вас надежда. Судьба всей локально-вычислительно сети зависит от вас. Действуйте решительно, без страха и упрёка.
Вперёд, к победе любой ценой!


----------



## Ramirezkiv (06.07.2022)

DraM сказал(а):


> Скин главного роутера. Я так понимаю что 255.255.255.0


А скрин этот удалите. Нефига всем знать какие у вас там внутри подсетки. Небезопасно это.


----------



## Ramirezkiv (06.07.2022)

DraM сказал(а):


> Скин главного роутера. Я так понимаю что 255.255.255.0


Кстати, а почему у вас на WAN интерфейсах всё по нулям? ))


----------



## Ramirezkiv (06.07.2022)

DraM сказал(а):


> Посмотреть вложение 11495


Уважаемый!
На данной схеме видно, что к главному роутеру подключено много устройств.
Однако на скрине с интерфейсом Зухеля видно, что у вас включены всего два физических интерфейса - WAN (для Интернета) и LAN1.
Вопрос: как в один роутер с двумя интерфейсами может быть включено (на схеме) больше двух устройств?


----------



## DraM (06.07.2022)

Ramirezkiv сказал(а):


> Кстати, а почему у вас на WAN интерфейсах всё по нулям? ))


А хз, он мне тоже по наследству достался, я с ним воюю потихоньку. Но штука сложная.


----------



## DraM (06.07.2022)

Ramirezkiv сказал(а):


> Уважаемый!
> На данной схеме видно, что к главному роутеру подключено много устройств.
> Однако на скрине с интерфейсом Зухеля видно, что у вас включены всего два физических интерфейса - WAN (для Интернета) и LAN1.
> Вопрос: как в один роутер с двумя интерфейсами может быть включено (на схеме) больше двух устройств?


После зукселя стоит мощный свич


----------



## DraM (06.07.2022)

IP компа


----------



## DraM (06.07.2022)

вроде как сделал маршрут


----------



## DraM (06.07.2022)

wi fi роутер


----------



## DraM (06.07.2022)




----------



## DraM (06.07.2022)

не работает


----------



## Ramirezkiv (06.07.2022)

DraM сказал(а):


> вроде как сделал маршрут
> Посмотреть вложение 11505


Статический маршрут. Ок.
Следующий хоп вижу - 192.168.10.201
Качество скрина не очень - не вижу подсетку назначения. Что там написано? Какая подсетка?


----------



## Ramirezkiv (06.07.2022)

DraM сказал(а):


> Посмотреть вложение 11503


Здесь тоже не виден IP-адрес точки доступа Wi-Fi.


----------



## Ramirezkiv (06.07.2022)

DraM сказал(а):


> не работает
> Посмотреть вложение 11502


С какого компа мы пробуем пинговать 192.168.16.100?
И почему 192.168.16.100? В сообщениях говорили про три подсети: 192.168.11.0, 192.168.12.0, 192.168.13.0!
А тут какая-то 192.168.16.0. Что это за подсетка?


----------



## Ramirezkiv (06.07.2022)

DraM сказал(а):


> После зукселя стоит мощный свич


Мощный свитч - это L2-коммутатор или устройство L3 с функцией маршрутизации?


----------



## DraM (06.07.2022)

Ramirezkiv сказал(а):


> Статический маршрут. Ок.
> Следующий хоп вижу - 192.168.10.201
> Качество скрина не очень - не вижу подсетку назначения. Что там написано? Какая подсетка?


255.255.255.0


----------



## DraM (06.07.2022)

Ramirezkiv сказал(а):


> Здесь тоже не виден IP-адрес точки доступа Wi-Fi.


192.168.10.201


----------



## Ramirezkiv (06.07.2022)

DraM сказал(а):


> 255.255.255.0


Нет. Это не сетка назначения, это маска подсети сетки назначения. А сетка - это 192.168.чего-то там.0. Мне надо знать "чего-то там".


----------



## Ramirezkiv (06.07.2022)

DraM сказал(а):


> Посмотреть вложение 11503


А здесь какой адрес?


----------



## DraM (06.07.2022)

Ramirezkiv сказал(а):


> С какого компа мы пробуем пинговать 192.168.16.100?
> И почему 192.168.16.100? В сообщениях говорили про три подсети: 192.168.11.0, 192.168.12.0, 192.168.13.0!
> А тут какая-то 192.168.16.0. Что это за подсетка?


Пинговал с контролера домена 192.168.10.95 комп в 16 сети, это моя сеть и компы вмней мои, мне проще из нее. У меня 23 так сети.


----------



## DraM (06.07.2022)

Ramirezkiv сказал(а):


> Нет. Это не сетка назначения, это маска подсети сетки назначения. А сетка - это 192.168.чего-то там.0. Мне надо знать "чего-то там".


уже сам запутался. 192.168.16.0


----------



## Ramirezkiv (06.07.2022)

DraM сказал(а):


> Пинговал с контролера домена 192.168.10.95 комп в 16 сети, это моя сеть и компы вмней мои, мне проще из нее. У меня 23 так сети.


Что такое "моя сеть"?
Этот комп в 16-ой подсети с какой операционкой? Windows? Брендмауэр на ней выключен? Пинги разрешены к приёму и отправке? По-умолчанию на Венде фаервол включен и пинги рубятся.


----------



## DraM (06.07.2022)

Ramirezkiv сказал(а):


> А здесь какой адрес?


16.1


----------



## Ramirezkiv (06.07.2022)

DraM сказал(а):


> уже сам запутался. 192.168.16.0


Тогда остаётся два момента:
1. фаервол в операционке на компе из 16-ой подсети.
2. маршрутизация на точке доступа 192.168.10.201...
Так стоп....У нас на точках доступа три интерфейса: 
* WAN: 192.168.10.201.
* LAN: 192.168.16.1/24.
* Wi-Fi: какая адресация?


----------



## Ramirezkiv (06.07.2022)

DraM сказал(а):


> 16.1


Вот и давайте с контроллера пропингуем 192.168.16.1


----------



## DraM (06.07.2022)

Ramirezkiv сказал(а):


> Что такое "моя сеть"?
> Этот комп в 16-ой подсети с какой операционкой? Windows? Брендмауэр на ней выключен? Пинги разрешены к приёму и отправке? По-умолчанию на Венде фаервол включен и пинги рубятся.


В моем кабинете. Win 10pro, брандмауэр включен. Но если его подключить в 10ую сеть то все ок. Гонят с работы. Завтра продолжу.


----------



## Ramirezkiv (06.07.2022)

DraM сказал(а):


> В моем кабинете. Win 10pro, брандмауэр включен. Но если его подключить в 10ую сеть то все ок. Гонят с работы. Завтра продолжу.


Выключайте брендмауэр и пингуйте тачку.
Также пингуйте точку доступа 192.168.16.1.


----------



## Ramirezkiv (07.07.2022)

DraM сказал(а):


> В моем кабинете. Win 10pro, брандмауэр включен. Но если его подключить в 10ую сеть то все ок. Гонят с работы. Завтра продолжу.


Не может включенный брандмауэр и блокирующий ICMP-пакеты в одной сетке их запрещать, а в другой - пропускать. Выключите брандмауэр на Windows 10 и попробуйте пингануть эту тачку, а также саму точку доступа Wi-Fi по 192.168.16.1


----------



## DraM (07.07.2022)

Ramirezkiv сказал(а):


> Выключайте брендмауэр и пингуйте тачку.
> Также пингуйте точку доступа 192.168.16.1.


Брандмауэр отключен. С компа контролер пингуется хорошо.  С контролера не пингуется.


----------



## Ramirezkiv (07.07.2022)

DraM сказал(а):


> Брандмауэр отключен. С компа контролер пингуется хорошо.  С контролера не пингуется.


Давайте смотреть, какой IP-адрес на контроллере задан в качестве шлюза?!


----------



## DraM (07.07.2022)

Скрин с компа


----------



## DraM (07.07.2022)

Ramirezkiv сказал(а):


> Давайте смотреть, какой IP-адрес на контроллере задан в качестве шлюза?!


Подскажите как?


----------



## Ramirezkiv (07.07.2022)

DraM сказал(а):


> Скрин с компа


 На контроллере домена в командной строке введите команду ipconfig и покажите скрин.


----------



## DraM (07.07.2022)

Ramirezkiv сказал(а):


> На контроллере домена в командной строке введите команду ipconfig и покажите скрин.


----------



## Ramirezkiv (07.07.2022)

Странно, подсетка 192.168.10.0 с маской 255.255.0.0 - в этом может быть причина проблемы.

Теперь на том же самом контроллере домена в командной строке введите команду: tracert 192.168.16.189 и покажите вывод здесь.


----------



## DraM (07.07.2022)

Ramirezkiv сказал(а):


> Странно, подсетка 192.168.10.0 с маской 255.255.0.0 - в этом может быть причина проблемы.
> 
> Теперь на том же самом контроллере домена в командной строке введите команду: tracert 192.168.16.189 и покажите вывод здесь.


----------



## Ramirezkiv (07.07.2022)

Странный ответ. Ответ самого контроллера о том, что узел недоступен. Об этом должен был сообщить главный роутер или точка доступа.

Пинганите пожалуйста с контроллера эти адреса:
192.168.10.1
192.168.10.адрес точки доступа с подсеткой 16


----------



## Ramirezkiv (07.07.2022)

А нет, не странный ответ, а вполне себе нормальный. Просто пинг с контроллера до главного роутера не доходит.
Всё дело в том, что на контроллере стоит маска 255.255.0.0 и с точки зрения этой маски подсети 192.168.10.0 и 192.168.16.0 - находятся в одной подсети 192.168.0.0. Поэтому попытка пинга компа в 192.168.16.0 не приводит к необходимости обратиться к маршрутизатору и перевалить за него.
Давайте разбираться, зачем вам в подсетке 192.168.10.0 нужна маска 255.255.0.0, а не 255.255.255.0?!


----------



## Ramirezkiv (07.07.2022)

Ramirezkiv сказал(а):


> А нет, не странный ответ, а вполне себе нормальный. Просто пинг с контроллера до главного роутера не доходит.
> Всё дело в том, что на контроллере стоит маска 255.255.0.0 и с точки зрения этой маски подсети 192.168.10.0 и 192.168.16.0 - находятся в одной подсети 192.168.0.0. Поэтому попытка пинга компа в 192.168.16.0 не приводит к необходимости обратиться к маршрутизатору и перевалить за него.
> Давайте разбираться, зачем вам в подсетке 192.168.10.0 нужна маска 255.255.0.0, а не 255.255.255.0?!


Попробуйте на контроллере на время сменить маску с 255.255.0.0 на 255.255.255.0, если вы конечно на контроллере не через удалённое соединение сидите, а на консоли. Или на любом другом компе в подсети 192.168.10.0 смените маску на 255.255.255.0 и попробуйте пингануть 192.168.16.189


----------



## DraM (07.07.2022)

Ramirezkiv сказал(а):


> А нет, не странный ответ, а вполне себе нормальный. Просто пинг с контроллера до главного роутера не доходит.
> Всё дело в том, что на контроллере стоит маска 255.255.0.0 и с точки зрения этой маски подсети 192.168.10.0 и 192.168.16.0 - находятся в одной подсети 192.168.0.0. Поэтому попытка пинга компа в 192.168.16.0 не приводит к необходимости обратиться к маршрутизатору и перевалить за него.
> Давайте разбираться, зачем вам в подсетке 192.168.10.0 нужна маска 255.255.0.0, а не 255.255.255.0?!


Все поправил


----------



## Ramirezkiv (07.07.2022)

DraM сказал(а):


> Все поправил


1. пинг с контроллера до 192.168.10.1
2. пинг с контроллера до 192.168.10.точка доступа Wi-Fi
3. tracert с контроллера до 192.168.16.1


----------



## DraM (07.07.2022)

Ramirezkiv сказал(а):


> 1. пинг с контроллера до 192.168.10.1
> 2. пинг с контроллера до 192.168.10.точка доступа Wi-Fi
> 3. tracert с контроллера до 192.168.16.1


----------



## Ramirezkiv (07.07.2022)

192.168.10.201 - это точка доступа, за которой 192.168.16.0?
Если да, то почему не пингуется? В настройках этой точки доступа какая маска подсети указана: 255.255.0.0 или 255.255.255.0?
Надо выяснить почему она не пингуется.


----------



## Ramirezkiv (07.07.2022)

Разрешите на точке доступа 192.168.10.201 прохождение пингов на фаерволе.


----------



## Ramirezkiv (07.07.2022)

Ramirezkiv сказал(а):


> Разрешите на точке доступа 192.168.10.201 прохождение пингов на фаерволе.


192.168.10.201 - это внешний WAN-интерфейс точки доступа, поэтому пинг от контроллера к 192.168.16.0 будет расчитываться точкой доступа как попытка получить доступ со стороны "интернет". Это либо обычные правила фаервола либо где-то в NAT'е надо смотреть разрешения.
Потому что в tracert видно, что пакет доходит до главного роутера, а вот дальше ... ответа нет. Вопросы к настройкам безопасности на точке доступа Wi-Fi.


----------



## Ramirezkiv (07.07.2022)

Смотрите настройки (безопасности, фаервола, NAT) точки доступа Wi-Fi, чтобы максимально разрешить на ней прохождение всего траффика из LAN в WAN и обратно. Это ваша внутренняя сеть ЛВС - поэтому так делать можно.


----------



## DraM (07.07.2022)

Запустил с контролера


----------



## DraM (07.07.2022)

wan


----------



## DraM (07.07.2022)

lan


----------



## Ramirezkiv (07.07.2022)

DraM сказал(а):


> Запустил с контролера


Это результаты работы сканера сети - он может обнаруживать сетевые устройства по разным протоколам - это его право. Но нам надо разрешить именно пинги, для начала.


----------



## DraM (07.07.2022)

Ramirezkiv сказал(а):


> Смотрите настройки (безопасности, фаервола, NAT) точки доступа Wi-Fi, чтобы максимально разрешить на ней прохождение всего траффика из LAN в WAN и обратно. Это ваша внутренняя сеть ЛВС - поэтому так делать можно.


Я так и предполагал, но что конкретно надо в ней поменять?


----------



## Ramirezkiv (07.07.2022)

DraM сказал(а):


> wan


Ок, базару ноль, смотрим настройки фаервола на точке доступа Wi-Fi - подозрение, что это именно он не пускает нас по пингам до самого себя.


----------



## DraM (07.07.2022)

Ramirezkiv сказал(а):


> Смотрите настройки (безопасности, фаервола, NAT) точки доступа Wi-Fi, чтобы максимально разрешить на ней прохождение всего траффика из LAN в WAN и обратно. Это ваша внутренняя сеть ЛВС - поэтому так делать можно.


Отключил фаервол на точке доступа 16.1 начал пинговаться а 16.189 нет


----------



## Ramirezkiv (07.07.2022)

DraM сказал(а):


> Я так и предполагал, но что конкретно надо в ней поменять?


Посмотрите сначала правила фаервола и убедитесь, что пинги разрешены везде.
Потом посмотрите настройки NAT - они обычно контролируют входящие соединения с WAN внутрь LAN. Там тоже должно быть разрешительное правильно, которое пускает пинги и на WAN и в LAN точки доступа Wi-Fi.
Короче показывайте здесь все настройки фаервола и NAT точки доступа.


----------



## Ramirezkiv (07.07.2022)

DraM сказал(а):


> Отключил фаервол на точке доступа 16.1 начал пинговаться а 16.189 нет


Доступ 16.189 это NAT - либо он выключен и не работает либо работает, но запрещает.


----------



## DraM (07.07.2022)

Ramirezkiv сказал(а):


> Доступ 16.189 это NAT - либо он выключен и не работает либо работает, но запрещает.


включен


----------



## Ramirezkiv (07.07.2022)

DraM сказал(а):


> включен


Хорошо. Можно попробовать его выключить вообще и пингануть, потому что NAT на устройствах во внутренней сети вообще нафиг никому не нужен.
Либо посмотреть настройки брендмауэра и администрирование на точке доступа.
Попробуйте для начала выключить NAT.


----------



## DraM (07.07.2022)

Ramirezkiv сказал(а):


> Хорошо. Можно попробовать его выключить вообще и пингануть, потому что NAT на устройствах во внутренней сети вообще нафиг никому не нужен.
> Либо посмотреть настройки брендмауэра и администрирование на точке доступа.
> Попробуйте для начала выключить NAT.


отключаю нат пропадает интернет, включаю появляется


----------



## Ramirezkiv (07.07.2022)

DraM сказал(а):


> отключаю нат пропадает интернет, включаю появляется


Понятно. Тогда смотрите настройки файервола и администрирования на точке доступа.


----------



## DraM (07.07.2022)

Напрашивается включить доступ из WAN


----------



## Ramirezkiv (07.07.2022)

DraM сказал(а):


> Напрашивается включить доступ из WAN
> Посмотреть вложение 11519


Имеете ввиду - включить Web-доступ из WAN? Ну так это он вам позволит на вебку зайти по адресу 192.168.10.201 да и только.

Надо что-то другое искать, более фундаментальное в настройках.


----------



## Ramirezkiv (07.07.2022)

DraM сказал(а):


> Я так и предполагал, но что конкретно надо в ней поменять?


Ищите NAT Passthrought или Port Forwarding


----------



## DraM (07.07.2022)

есть переключатель портов и переадресация. Я в общем и остановился на этом когда сам ковырялся. У меня и возникла проблема в этих портах, где их взять и какие порты использовать.


Ramirezkiv сказал(а):


> Ищите NAT Passthrought или Port Forwarding


----------



## Ramirezkiv (07.07.2022)

DraM сказал(а):


> есть переключатель портов и переадресация. Я в общем и остановился на этом когда сам ковырялся. У меня и возникла проблема в этих портах, где их взять и какие порты использовать.


Круто. Для начала давайте попробуем в переключателе в поле "Протокол" найти, что-то типа ICMP и задать для него правило, которое будет этот ICMP разрешать с WAN-порта точки доступа до LAN-сети точки доступа, таким образом обеспечив пингами от контроллера домена до подневольных тачек в подсетях.


----------



## DraM (07.07.2022)

Ramirezkiv сказал(а):


> Круто. Для начала давайте попробуем в переключателе в поле "Протокол" найти, что-то типа ICMP и задать для него правило, которое будет этот ICMP разрешать с WAN-порта точки доступа до LAN-сети точки доступа, таким образом обеспечив пингами от контроллера домена до подневольных тачек в подсетях.


Там только TCP и UDP


----------



## Ramirezkiv (07.07.2022)

DraM сказал(а):


> Там только TCP и UDP


Тогда скрины Переадресации портов и NAT Passthrought в студию.


----------



## DraM (07.07.2022)

Ramirezkiv сказал(а):


> Тогда скрины Переадресации портов и NAT Passthrought в студию.


----------



## DraM (07.07.2022)

Ramirezkiv сказал(а):


> Тогда скрины Переадресации портов и NAT Passthrought в студию.


----------



## Ramirezkiv (07.07.2022)

Я бы поковырял именно переадресацию портов. Создал бы правило на все TCP-порты от 0 до 65535, на все UDP, с контроллера домена. Если нужен пинг, то посмотрел бы other, что позволяет делать.


----------



## DraM (07.07.2022)

Ramirezkiv сказал(а):


> Я бы поковырял именно переадресацию портов. Создал бы правило на все TCP-порты от 0 до 65535, на все UDP, с контроллера домена. Если нужен пинг, то посмотрел бы other, что позволяет делать.


Ок, попробую


----------



## Fedor (07.07.2022)

DraM сказал(а):


> Проблема в следующем, нужно с контролеров домена управлять компьютерами в других под сетях.


А PC, которые за точками доступа уже в домене или они не видят КД? Они могут достучаться до Active directory ?


----------



## unk1nd (07.07.2022)

deadushka сказал(а):


> может их переключить в бридж ?


Давайте хабом ещё всё соединим?
Костылей настроим поверх, наставим сверху неуправляшек, на скотчлоки посадим, а чо..


Советую вам купить вонючий недорогой микротик (Mikrotik CCR1036-8G-2S+ например), сделать адекватную сеть с вланами и l2 свичами например с не менее вонючими (DGS-3000-52L).
Постройте себе нормальную схему core router - distribution layer - access layer и будет вам счастье.
То что вы описываете досталось вам в наследство больше похоже на фильм ужасов. Либо срочно переделывайте, если денег не дают бегите из такой конторы!
Кстати вышеперечисленное оборудование может быть ещё более вонючим и дешевым, можете наоборот рассмотреть связки 
cisco-maipu, huawei-maipu.


----------



## Ramirezkiv (07.07.2022)

unk1nd сказал(а):


> Давайте хабом ещё всё соединим?
> Костылей настроим поверх, наставим сверху неуправляшек, на скотчлоки посадим, а чо..
> Посмотреть вложение 11524
> 
> ...


Оверкилл и максимализм!
Надо действовать исходя из ситуации, а не загоняться в какие-то крайние схемы.
Проблема в точках доступа Wi-Fi - их надо победить, а потом пойдём циску с хьюлетом брать - но это будет уже совсем другая история, другими руками и на другом континенте!


----------



## Ramirezkiv (07.07.2022)

DraM сказал(а):


> Ок, попробую


Ну чо там? Нас всех интересует


----------



## DraM (08.07.2022)

Ramirezkiv сказал(а):


> Ну чо там? Нас всех интересует


Вчера что только я не пробовал, ничего не помогло, потом уехал на другую площадку. Как время появиться, продолжу.


----------



## Ramirezkiv (08.07.2022)

DraM сказал(а):


> Вчера что только я не пробовал, ничего не помогло, потом уехал на другую площадку. Как время появиться, продолжу.


Переадресация портов не спасла отца русской демократии? Странно, у меня дома работала - пропускала траффик из Интернет (WAN-порт) внутрь сети (LAN-порт) - роутер был ASUS, интерфейс такой же. Чего там не получилось то?


----------



## Ramirezkiv (08.07.2022)

DraM сказал(а):


> Вчера что только я не пробовал, ничего не помогло, потом уехал на другую площадку. Как время появиться, продолжу.


Ну не может быть такого, чтобы нельзя было заставить траффик ходить с WAN-порта на LAN-порт. Фаер, NAT и переадресация для этого и предназначены. Покажите скрин, что вы сделали на странице переадресации вашей точки доступа.


----------



## DraM (08.07.2022)

Ramirezkiv сказал(а):


> Ну не может быть такого, чтобы нельзя было заставить траффик ходить с WAN-порта на LAN-порт. Фаер, NAT и переадресация для этого и предназначены. Покажите скрин, что вы сделали на странице переадресации вашей точки доступа.


----------



## DraM (08.07.2022)

Пока оставил так


----------



## Ramirezkiv (08.07.2022)

DraM сказал(а):


> Пока оставил так


В поле source target поставьте IP-адрес вашего контроллера домена.
А также добавьте правила с протоколом other.


----------



## DraM (08.07.2022)

Ramirezkiv сказал(а):


> В поле source target поставьте IP-адрес вашего контроллера домена.
> А также добавьте правила с протоколом other.


Это я все пробовал. Только при попытке добавить other вот такое сообщение, я не понимаю что он от меня требует, нельзя ввести диапазон, а можно только одно чило от 1 до 255.


----------



## Ramirezkiv (08.07.2022)

DraM сказал(а):


> Это я все пробовал. Только при попытке добавить other вот такое сообщение, я не понимаю что он от меня требует, нельзя ввести диапазон, а можно только одно чило от 1 до 255.


Число от 1 до 255 это в поле "Диапазон портов" требуется ввести число?

Если да, то можно предположить, что это номер протокола. 
Почитать можно здесь: https://ru.wikipedia.org/wiki/Список_протоколов,_инкапсулируемых_в_IP

Так как ICMP-протокол в приведённом списке указывается под цифрой номер 1, я предлагаю попробовать поставить именно её и после применения изменений пропинговать таки с контроллера до тачки.


----------



## DraM (08.07.2022)

Ramirezkiv сказал(а):


> Число от 1 до 255 это в поле "Диапазон портов" требуется ввести число?
> 
> Если да, то можно предположить, что это номер протокола.
> Почитать можно здесь: https://ru.wikipedia.org/wiki/Список_протоколов,_инкапсулируемых_в_IP
> ...


Не помогло(((


----------



## Ramirezkiv (08.07.2022)

DraM сказал(а):


> Не помогло(((


А если переадресацию портов отключить как класс?


----------



## DraM (08.07.2022)

Ramirezkiv сказал(а):


> А если переадресацию портов отключить как класс?


по умолчанию была отключена


----------



## Ramirezkiv (08.07.2022)

DraM сказал(а):


> по умолчанию была отключена


Ладно, при включённой переадресации портов, сделайте с контроллера tracert до 192.168.16.189.


----------



## Ramirezkiv (08.07.2022)

DraM сказал(а):


> Не помогло(((


Прошу прощения, в правиле other из поля Source Target уберите совсем значение 192.168.10.95 - всё остальное оставьте и перепримените правило.


----------



## DraM (08.07.2022)

Скины не буду слать, некогда, все сделал ни помогло, антивирус еще удалил с компа, та же ситуация. 


Трассировка маршрута к 192.168.16.189 с максимальным числом прыжков 30

  1    <1 мс    <1 мс    <1 мс  myrouter.local [192.168.10.1]
  2  myrouter.local [192.168.10.1]  сообщает: Заданный узел недоступен.

Трассировка завершена.


----------



## DraM (08.07.2022)

DraM сказал(а):


> Скины не буду слать, некогда, все сделал ни помогло, антивирус еще удалил с компа, та же ситуация.
> 
> 
> Трассировка маршрута к 192.168.16.189 с максимальным числом прыжков 30
> ...


До понедельника, уезжаю на другую площадку.


----------



## Ramirezkiv (08.07.2022)

DraM сказал(а):


> Скины не буду слать, некогда, все сделал ни помогло, антивирус еще удалил с компа, та же ситуация.
> 
> 
> Трассировка маршрута к 192.168.16.189 с максимальным числом прыжков 30
> ...


Посмотрите - можно ли с самого главного роутера пингануть 192.168.16.189?
А вы кстати как брендмауэр Windows выключили?


----------



## Ramirezkiv (08.07.2022)

DraM сказал(а):


> Скины не буду слать, некогда, все сделал ни помогло, антивирус еще удалил с компа, та же ситуация.
> 
> 
> Трассировка маршрута к 192.168.16.189 с максимальным числом прыжков 30
> ...


Не скины, а скрины - скриншоты правильно говорить. А скины это несколько другое


----------



## DraM (11.07.2022)

Ramirezkiv сказал(а):


> Не скины, а скрины - скриншоты правильно говорить. А скины это несколько другое


Да, да. Опечаточка.


----------



## DraM (11.07.2022)

Ramirezkiv сказал(а):


> Посмотрите - можно ли с самого главного роутера пингануть 192.168.16.189?
> А вы кстати как брендмауэр Windows выключили?


Как обычно. Сеть частная, доменная, общественная, отключить.


----------



## Ramirezkiv (11.07.2022)

DraM сказал(а):


> Как обычно. Сеть частная, доменная, общественная, отключить.


Такс, продолжаем разговор.

На 192.168.16.189 какой IP-адрес шлюзом стоит? 192.168.16.1?


----------



## DraM (11.07.2022)

Ramirezkiv сказал(а):


> Такс, продолжаем разговор.
> 
> На 192.168.16.189 какой IP-адрес шлюзом стоит? 192.168.16.1?


да


----------



## Ramirezkiv (11.07.2022)

DraM сказал(а):


> да


В-общем, подытожу тогда. Я подозреваю и почти уверен, что камнем преткновения является защита траффика на точке доступа Wi-Fi - именно она не пропускает траффик от контроллеров, приходящий на интерфейс WAN до внутренних тачек на интерфейсе LAN. А по-сему, необходимо от точки доступа добиваться, чтобы она пропускала этот траффик. Смотреть надо и на правила фаервола на точке доступа и на перенаправление портов и прочее. Что-то посоветовать сделать более конкретное из того, что уже было посоветовано - не могу - идеи закончились. Хотя мы вроде ещё не смотрели правила фаервола на точке доступа, что там? Есть возможность скрин прислать?


----------



## DraM (11.07.2022)

Ramirezkiv сказал(а):


> В-общем, подытожу тогда. Я подозреваю и почти уверен, что камнем преткновения является защита траффика на точке доступа Wi-Fi - именно она не пропускает траффик от контроллеров, приходящий на интерфейс WAN до внутренних тачек на интерфейсе LAN. А по-сему, необходимо от точки доступа добиваться, чтобы она пропускала этот траффик. Смотреть надо и на правила фаервола на точке доступа и на перенаправление портов и прочее. Что-то посоветовать сделать более конкретное из того, что уже было посоветовано - не могу - идеи закончились. Хотя мы вроде ещё не смотрели правила фаервола на точке доступа, что там? Есть возможность скрин прислать?


Короче странная фигня, не знаю что произошло, но сейчас начал пинговать комп с контролера, а он пингуется. Что произошло, ума не приложу. Возможно перезапустился зуксель, он в выходные у меня обновляется и перезагружается. Причем начал потихоньку отключать настройки что на выставляли уже, в wi fi отключил все переадресации портов, но сам пункт переадресации оставил включенным, перезагрузил его, пингуется. Включил брандмауэр не пингуется. Снова выключил. Сейчас пока занят. Попроверю все, отпишусь.


----------



## DraM (11.07.2022)

Ramirezkiv сказал(а):


> В-общем, подытожу тогда. Я подозреваю и почти уверен, что камнем преткновения является защита траффика на точке доступа Wi-Fi - именно она не пропускает траффик от контроллеров, приходящий на интерфейс WAN до внутренних тачек на интерфейсе LAN. А по-сему, необходимо от точки доступа добиваться, чтобы она пропускала этот траффик. Смотреть надо и на правила фаервола на точке доступа и на перенаправление портов и прочее. Что-то посоветовать сделать более конкретное из того, что уже было посоветовано - не могу - идеи закончились. Хотя мы вроде ещё не смотрели правила фаервола на точке доступа, что там? Есть возможность скрин прислать?


Фаервол на wi fi отключен


----------



## Ramirezkiv (11.07.2022)

DraM сказал(а):


> Короче странная фигня, не знаю что произошло, но сейчас начал пинговать комп с контролера, а он пингуется. Что произошло, ума не приложу. Возможно перезапустился зуксель, он в выходные у меня обновляется и перезагружается. Причем начал потихоньку отключать настройки что на выставляли уже, в wi fi отключил все переадресации портов, но сам пункт переадресации оставил включенным, перезагрузил его, пингуется. Включил брандмауэр не пингуется. Снова выключил. Сейчас пока занят. Попроверю все, отпишусь.


Посмотри может быть не то пингуешь? Выключи комп - тогда пинги должны перестать идти. Включи обратно - пинги должны заработать.
Да, вполне возможно, что не пробовали перезагружать на прошлой неделе, как говорится "семь бед - один резет".
Посмотри, погоняй, если эту недели компы из 16-ой подсети будут стабильно пинговаться и доступны с контроллера, значит будем считать, что те меры которые приняли в отношении главного роутера и точек доступа - рабочие.


----------



## DraM (12.07.2022)

Ramirezkiv сказал(а):


> Посмотри может быть не то пингуешь? Выключи комп - тогда пинги должны перестать идти. Включи обратно - пинги должны заработать.
> Да, вполне возможно, что не пробовали перезагружать на прошлой неделе, как говорится "семь бед - один резет".
> Посмотри, погоняй, если эту недели компы из 16-ой подсети будут стабильно пинговаться и доступны с контроллера, значит будем считать, что те меры которые приняли в отношении главного роутера и точек доступа - рабочие.


Вроде все работает, теперь надо создать правило для брандмауэра компа, методом тыка попробовал, не прокатило. Помогите пожалуйста.


----------



## Ramirezkiv (12.07.2022)

DraM сказал(а):


> Вроде все работает, теперь надо создать правило для брандмауэра компа, методом тыка попробовал, не прокатило. Помогите пожалуйста.


Ты хочешь на Венде включить брендмауэр, но при этом, чтобы была возможность с этого компа иметь доступ до контроллера и обратно?
В винде предсозданных правил фильтрации - вагон и маленькая тележка - и для пингов и для контроллеров. Внимательно посмотри названия всех правил и включи то, что нужно.
Если этого будет недостаточно - создашь новые по аналогии, главное знать протокол, прохождение которого ты хочешь разрешить к компу и обратно.


----------



## DraM (12.07.2022)

Ramirezkiv сказал(а):


> Ты хочешь на Венде включить брендмауэр, но при этом, чтобы была возможность с этого компа иметь доступ до контроллера и обратно?
> В винде предсозданных правил фильтрации - вагон и маленькая тележка - и для пингов и для контроллеров. Внимательно посмотри названия всех правил и включи то, что нужно.
> Если этого будет недостаточно - создашь новые по аналогии, главное знать протокол, прохождение которого ты хочешь разрешить к компу и обратно.


Спасибо. Попробую.


----------



## DraM (20.07.2022)

Ramirezkiv сказал(а):


> В-общем, подытожу тогда. Я подозреваю и почти уверен, что камнем преткновения является защита траффика на точке доступа Wi-Fi - именно она не пропускает траффик от контроллеров, приходящий на интерфейс WAN до внутренних тачек на интерфейсе LAN. А по-сему, необходимо от точки доступа добиваться, чтобы она пропускала этот траффик. Смотреть надо и на правила фаервола на точке доступа и на перенаправление портов и прочее. Что-то посоветовать сделать более конкретное из того, что уже было посоветовано - не могу - идеи закончились. Хотя мы вроде ещё не смотрели правила фаервола на точке доступа, что там? Есть возможность скрин прислать?


В-общем и я подытожу, Для того что бы все работало в такой сети как у меня, необходимо сделать 2е главные настройки, это прописать маршрут до точки доступа на главном роутере в моем случае это zuxel, а на второстепенных роутерах (точках доступа) отключить брандмауэры и в общем то все, дальнейшая работа с брандмауэрами компов и серверов.

У меня появилась новая проблема, наверное надо создавать новую тему но она тоже схожа с этой, есть у меня радмин, стоит радмин вивер на компе в 10ой сети, раньше я использовал радмин впн для подключения к компам, теперь использую внутреннюю сеть так как вы меня научили ей пользоваться. Короче проблема в том что с компа пока включен брандмауэр я не могу подключаться к клиентам, а если его отключить то все ок. Порт радмина прописал везде где только можно, на создавал правил, нифига. Может кто сталкивался, помогите пожалуйста.


----------



## Ramirezkiv (20.07.2022)

DraM сказал(а):


> В-общем и я подытожу, Для того что бы все работало в такой сети как у меня, необходимо сделать 2е главные настройки, это прописать маршрут до точки доступа на главном роутере в моем случае это zuxel, а на второстепенных роутерах (точках доступа) отключить брандмауэры и в общем то все, дальнейшая работа с брандмауэрами компов и серверов.
> 
> У меня появилась новая проблема, наверное надо создавать новую тему но она тоже схожа с этой, есть у меня радмин, стоит радмин вивер на компе в 10ой сети, раньше я использовал радмин впн для подключения к компам, теперь использую внутреннюю сеть так как вы меня научили ей пользоваться. Короче проблема в том что с компа пока включен брандмауэр я не могу подключаться к клиентам, а если его отключить то все ок. Порт радмина прописал везде где только можно, на создавал правил, нифига. Может кто сталкивался, помогите пожалуйста.


Бро, вопрос первый - в итоге маршрутизация заработала? С контроллеров видишь тачки в других подсетях? Тачки вводятся в домен нормально и нормально управляются контроллером домена?
Если да, то переходим ко второму вопросу.

Второй вопрос по Radmin.
Честно говоря с ним никогда не работал, но прогу такую знаю, что она есть.
Общий подход к траблшутингу этой проблемы прост до нельзя: если при отключенном фаере - всё работает, а при включенном нет, то значит проблема в правилах фаервола. Нужно только найти какие протоколы и порты разрешать для прохождения через них. Иногда не бывает достаточно прописывать только порты для работы одной программы. Необходимо также для неё создать второе правило фильтрации, где разрешить прохождение какого-то протокола или второго порта.
Теперь давай разберёмся где у тебя включены фаеры?


----------



## Ramirezkiv (20.07.2022)

DraM сказал(а):


> В-общем и я подытожу, Для того что бы все работало в такой сети как у меня, необходимо сделать 2е главные настройки, это прописать маршрут до точки доступа на главном роутере в моем случае это zuxel, а на второстепенных роутерах (точках доступа) отключить брандмауэры и в общем то все, дальнейшая работа с брандмауэрами компов и серверов.
> 
> У меня появилась новая проблема, наверное надо создавать новую тему но она тоже схожа с этой, есть у меня радмин, стоит радмин вивер на компе в 10ой сети, раньше я использовал радмин впн для подключения к компам, теперь использую внутреннюю сеть так как вы меня научили ей пользоваться. Короче проблема в том что с компа пока включен брандмауэр я не могу подключаться к клиентам, а если его отключить то все ок. Порт радмина прописал везде где только можно, на создавал правил, нифига. Может кто сталкивался, помогите пожалуйста.


Согласно пункту 4 вот этой статьи: https://softobase.com/ru/vopros/kakoy-port-radmin-ispolzuet-dlya-raboty Radmin Server на клиентской тачке работает на порте TCP/4899. Открывал ли ты для прохождения траффика именно этот порт и на каких устройствах?


----------



## DraM (20.07.2022)

Ramirezkiv сказал(а):


> Бро, вопрос первый - в итоге маршрутизация заработала? С контроллеров видишь тачки в других подсетях? Тачки вводятся в домен нормально и нормально управляются контроллером домена?
> Если да, то переходим ко второму вопросу.
> 
> Второй вопрос по Radmin.
> ...


Маршрутизация заработала, немного поигрался с серверами и машинами, пока бросил, хочу привести всю сеть в порядок. 
По радмину. На клиентах ничего не менял, брандмауэры у них включены управляются на ура. Проблема с компом на котором установлена консоль управления клиентскими машинами (Radmin Viewer). Пока включен брандмауэр ничего не работает, если отключить все работает. Есть у программы порт управления 4899 добавил правил для него и в входящие соединения и в исходящие. И программу в исключения добавил нифига не помогает.


----------



## DraM (20.07.2022)

DraM сказал(а):


> Маршрутизация заработала, немного поигрался с серверами и машинами, пока бросил, хочу привести всю сеть в порядок.
> По радмину. На клиентах ничего не менял, брандмауэры у них включены управляются на ура. Проблема с компом на котором установлена консоль управления клиентскими машинами (Radmin Viewer). Пока включен брандмауэр ничего не работает, если отключить все работает. Есть у программы порт управления 4899 добавил правил для него и в входящие соединения и в исходящие. И программу в исключения добавил нифига не помогает.


Тоесть с этого компа я не могу подключаться к клиентам при включенном брандмауэре.


----------



## DraM (20.07.2022)

DraM сказал(а):


> Тоесть с этого компа я не могу подключаться к клиентам при включенном брандмауэре.


Машины пингуются и с включеной стеной и с выключеной.


----------



## Ramirezkiv (20.07.2022)

DraM сказал(а):


> Маршрутизация заработала, немного поигрался с серверами и машинами, пока бросил, хочу привести всю сеть в порядок.
> По радмину. На клиентах ничего не менял, брандмауэры у них включены управляются на ура. Проблема с компом на котором установлена консоль управления клиентскими машинами (Radmin Viewer). Пока включен брандмауэр ничего не работает, если отключить все работает. Есть у программы порт управления 4899 добавил правил для него и в входящие соединения и в исходящие. И программу в исключения добавил нифига не помогает.


Отлично, круг решения задачи сузился до траблшутинга проблем с фаерволом на исходной тачки, с которой происходит попытка доступа к управляемым тачкам.
В таком случае необходимо смотреть исходящие правила фильтрации, но если ты говоришь, что добавлял туда правила, то попробуй включить ведение журнала логов для фаервола по этой статье: https://answers.microsoft.com/ru-ru/windows/forum/all/есть-ли/a17278c8-57fb-41e7-82bd-b310904e1c7d.
Далее, при включенном фаерволе произведи попытку установления соединения по Радмину ещё раз и смотри, что будет написано в логах.
Понять где затык без логов - это гадание на кофейной гуще.


----------



## DraM (20.07.2022)

#Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path pid

2022-07-20 10:24:48 ALLOW TCP 192.168.10.60 192.168.10.70 61092 7680 0 - 0 0 0 - - - RECEIVE 6564
2022-07-20 10:24:50 ALLOW TCP 192.168.10.70 142.250.74.110 55287 443 0 - 0 0 0 - - - SEND 7552
2022-07-20 10:24:50 ALLOW TCP 127.0.0.1 127.0.0.1 55285 55286 0 - 0 0 0 - - - SEND 12808
2022-07-20 10:24:50 ALLOW TCP 127.0.0.1 127.0.0.1 55285 55286 0 - 0 0 0 - - - RECEIVE 7552
2022-07-20 10:24:50 ALLOW TCP 192.168.10.70 142.250.74.110 55290 443 0 - 0 0 0 - - - SEND 7552
2022-07-20 10:24:50 ALLOW TCP 127.0.0.1 127.0.0.1 55288 55289 0 - 0 0 0 - - - SEND 12808
2022-07-20 10:24:50 ALLOW TCP 127.0.0.1 127.0.0.1 55288 55289 0 - 0 0 0 - - - RECEIVE 7552
2022-07-20 10:24:51 ALLOW TCP 192.168.10.70 192.168.10.33 55293 7680 0 - 0 0 0 - - - SEND 7552
2022-07-20 10:24:51 ALLOW TCP ::1 ::1 55291 55292 0 - 0 0 0 - - - SEND 6564
2022-07-20 10:24:51 ALLOW TCP ::1 ::1 55291 55292 0 - 0 0 0 - - - RECEIVE 7552
2022-07-20 10:24:52 ALLOW TCP 192.168.10.70 142.250.74.110 55296 443 0 - 0 0 0 - - - SEND 7552
2022-07-20 10:24:52 ALLOW TCP 127.0.0.1 127.0.0.1 55294 55295 0 - 0 0 0 - - - SEND 12808
2022-07-20 10:24:52 ALLOW TCP 127.0.0.1 127.0.0.1 55294 55295 0 - 0 0 0 - - - RECEIVE 7552
2022-07-20 10:24:52 ALLOW TCP 192.168.10.70 142.250.74.110 55299 443 0 - 0 0 0 - - - SEND 7552
2022-07-20 10:24:52 ALLOW TCP 127.0.0.1 127.0.0.1 55297 55298 0 - 0 0 0 - - - SEND 12808
2022-07-20 10:24:52 ALLOW TCP 127.0.0.1 127.0.0.1 55297 55298 0 - 0 0 0 - - - RECEIVE 7552
2022-07-20 10:24:59 ALLOW TCP 185.156.72.48 192.168.10.70 58606 4040 0 - 0 0 0 - - - RECEIVE 1236
2022-07-20 10:24:59 ALLOW TCP 192.168.10.70 142.250.74.110 55305 443 0 - 0 0 0 - - - SEND 7552
2022-07-20 10:24:59 ALLOW TCP 127.0.0.1 127.0.0.1 55303 55304 0 - 0 0 0 - - - SEND 12808
2022-07-20 10:24:59 ALLOW TCP 127.0.0.1 127.0.0.1 55303 55304 0 - 0 0 0 - - - RECEIVE 7552
2022-07-20 10:24:59 ALLOW TCP 192.168.10.70 142.250.74.110 55302 443 0 - 0 0 0 - - - SEND 7552
2022-07-20 10:24:59 ALLOW TCP 127.0.0.1 127.0.0.1 55300 55301 0 - 0 0 0 - - - SEND 12808
2022-07-20 10:24:59 ALLOW TCP 127.0.0.1 127.0.0.1 55300 55301 0 - 0 0 0 - - - RECEIVE 7552
2022-07-20 10:25:00 ALLOW TCP 192.168.10.70 192.168.10.95 55308 49689 0 - 0 0 0 - - - SEND 7552
2022-07-20 10:25:00 ALLOW TCP 127.0.0.1 127.0.0.1 55306 55307 0 - 0 0 0 - - - SEND 896
2022-07-20 10:25:00 ALLOW TCP 127.0.0.1 127.0.0.1 55306 55307 0 - 0 0 0 - - - RECEIVE 7552
2022-07-20 10:25:04 ALLOW TCP 192.168.10.70 192.168.14.11 55311 4899 0 - 0 0 0 - - - SEND 7552
2022-07-20 10:25:04 ALLOW TCP 127.0.0.1 127.0.0.1 55309 55310 0 - 0 0 0 - - - SEND 10584
2022-07-20 10:25:04 ALLOW TCP 127.0.0.1 127.0.0.1 55309 55310 0 - 0 0 0 - - - RECEIVE 7552
2022-07-20 10:25:05 DROP ICMP 192.168.10.1 192.168.10.70 - - 78 - - - - 5 1 - RECEIVE 4
2022-07-20 10:25:05 DROP ICMP 192.168.10.1 192.168.10.70 - - 78 - - - - 5 1 - RECEIVE 4
2022-07-20 10:25:05 DROP ICMP 192.168.10.1 192.168.10.70 - - 80 - - - - 5 1 - RECEIVE 4
2022-07-20 10:25:07 ALLOW TCP 185.156.72.48 192.168.10.70 61350 4040 0 - 0 0 0 - - - RECEIVE 1236
2022-07-20 10:25:07 DROP ICMP 192.168.10.1 192.168.10.70 - - 78 - - - - 5 1 - RECEIVE 4
2022-07-20 10:25:07 ALLOW TCP 185.156.72.48 192.168.10.70 62941 4040 0 - 0 0 0 - - - RECEIVE 1236
2022-07-20 10:25:07 DROP ICMP 192.168.10.1 192.168.10.70 - - 80 - - - - 5 1 - RECEIVE 4
2022-07-20 10:25:09 DROP ICMP 192.168.10.1 192.168.10.70 - - 78 - - - - 5 1 - RECEIVE 4
2022-07-20 10:25:13 ALLOW TCP 192.168.10.70 142.250.74.110 55314 443 0 - 0 0 0 - - - SEND 7552
2022-07-20 10:25:13 ALLOW TCP 127.0.0.1 127.0.0.1 55312 55313 0 - 0 0 0 - - - SEND 12808
2022-07-20 10:25:13 ALLOW TCP 127.0.0.1 127.0.0.1 55312 55313 0 - 0 0 0 - - - RECEIVE 7552
2022-07-20 10:25:13 ALLOW TCP 192.168.10.70 142.250.74.110 55317 443 0 - 0 0 0 - - - SEND 7552
2022-07-20 10:25:13 ALLOW TCP 127.0.0.1 127.0.0.1 55315 55316 0 - 0 0 0 - - - SEND 12808
2022-07-20 10:25:13 ALLOW TCP 127.0.0.1 127.0.0.1 55315 55316 0 - 0 0 0 - - - RECEIVE 7552
2022-07-20 10:25:14 DROP ICMP 192.168.10.1 192.168.10.70 - - 78 - - - - 5 1 - RECEIVE 4
2022-07-20 10:25:17 ALLOW TCP 185.156.72.48 192.168.10.70 55583 4040 0 - 0 0 0 - - - RECEIVE 1236
2022-07-20 10:25:18 ALLOW UDP 192.168.10.98 192.168.10.255 138 138 0 - - - - - - - RECEIVE 4
2022-07-20 10:25:19 DROP ICMP 192.168.10.1 192.168.10.70 - - 80 - - - - 5 1 - RECEIVE 4
2022-07-20 10:25:27 ALLOW UDP 192.168.10.70 224.0.0.253 50099 3544 0 - - - - - - - SEND 2472
2022-07-20 10:25:31 ALLOW TCP 192.168.10.70 192.168.10.33 55320 7680 0 - 0 0 0 - - - SEND 7552
2022-07-20 10:25:31 ALLOW TCP ::1 ::1 55318 55319 0 - 0 0 0 - - - SEND 6564
2022-07-20 10:25:31 ALLOW TCP ::1 ::1 55318 55319 0 - 0 0 0 - - - RECEIVE 7552
2022-07-20 10:25:33 ALLOW TCP 192.168.10.70 142.250.74.110 55323 443 0 - 0 0 0 - - - SEND 7552
2022-07-20 10:25:33 ALLOW TCP 127.0.0.1 127.0.0.1 55321 55322 0 - 0 0 0 - - - SEND 12808
2022-07-20 10:25:33 ALLOW TCP 127.0.0.1 127.0.0.1 55321 55322 0 - 0 0 0 - - - RECEIVE 7552
2022-07-20 10:25:33 ALLOW TCP 192.168.10.70 142.250.74.110 55326 443 0 - 0 0 0 - - - SEND 7552
2022-07-20 10:25:33 ALLOW TCP 127.0.0.1 127.0.0.1 55324 55325 0 - 0 0 0 - - - SEND 12808
2022-07-20 10:25:33 ALLOW TCP 127.0.0.1 127.0.0.1 55324 55325 0 - 0 0 0 - - - RECEIVE 7552
2022-07-20 10:25:34 ALLOW TCP 193.106.191.93 192.168.10.70 9336 4040 0 - 0 0 0 - - - RECEIVE 1236
2022-07-20 10:25:34 ALLOW TCP 192.168.10.70 192.168.10.95 55329 49689 0 - 0 0 0 - - - SEND 7552
2022-07-20 10:25:34 ALLOW TCP 127.0.0.1 127.0.0.1 55327 55328 0 - 0 0 0 - - - SEND 896
2022-07-20 10:25:34 ALLOW TCP 127.0.0.1 127.0.0.1 55327 55328 0 - 0 0 0 - - - RECEIVE 7552
2022-07-20 10:25:40 ALLOW TCP 185.156.72.48 192.168.10.70 63461 4040 0 - 0 0 0 - - - RECEIVE 1236
2022-07-20 10:25:55 ALLOW UDP 192.168.10.70 192.168.10.255 137 137 0 - - - - - - - SEND 4
2022-07-20 10:25:55 ALLOW UDP 192.168.10.70 192.168.10.255 137 137 0 - - - - - - - RECEIVE 4
2022-07-20 10:25:58 ALLOW TCP 185.156.72.48 192.168.10.70 60391 4040 0 - 0 0 0 - - - RECEIVE 1236
2022-07-20 10:26:01 ALLOW TCP 192.168.10.70 192.168.10.95 55332 135 0 - 0 0 0 - - - SEND 7552
2022-07-20 10:26:01 ALLOW TCP 127.0.0.1 127.0.0.1 55330 55331 0 - 0 0 0 - - - SEND 896
2022-07-20 10:26:01 ALLOW TCP 127.0.0.1 127.0.0.1 55330 55331 0 - 0 0 0 - - - RECEIVE 7552
2022-07-20 10:26:01 ALLOW TCP 192.168.10.70 192.168.10.95 55335 49668 0 - 0 0 0 - - - SEND 7552
2022-07-20 10:26:01 ALLOW TCP 127.0.0.1 127.0.0.1 55333 55334 0 - 0 0 0 - - - SEND 896
2022-07-20 10:26:01 ALLOW TCP 127.0.0.1 127.0.0.1 55333 55334 0 - 0 0 0 - - - RECEIVE 7552
2022-07-20 10:26:05 ALLOW TCP 192.168.10.70 216.58.207.238 55338 443 0 - 0 0 0 - - - SEND 7552
2022-07-20 10:26:05 ALLOW TCP 127.0.0.1 127.0.0.1 55336 55337 0 - 0 0 0 - - - SEND 12808
2022-07-20 10:26:05 ALLOW TCP 127.0.0.1 127.0.0.1 55336 55337 0 - 0 0 0 - - - RECEIVE 7552
2022-07-20 10:26:05 ALLOW TCP 192.168.10.70 216.58.207.238 55341 443 0 - 0 0 0 - - - SEND 7552
2022-07-20 10:26:05 ALLOW TCP 127.0.0.1 127.0.0.1 55339 55340 0 - 0 0 0 - - - SEND 12808
2022-07-20 10:26:05 ALLOW TCP 127.0.0.1 127.0.0.1 55339 55340 0 - 0 0 0 - - - RECEIVE 7552
2022-07-20 10:26:05 ALLOW TCP 192.168.10.70 216.58.207.238 55347 443 0 - 0 0 0 - - - SEND 7552
2022-07-20 10:26:05 ALLOW TCP 192.168.10.70 216.58.207.238 55344 443 0 - 0 0 0 - - - SEND 7552
2022-07-20 10:26:05 ALLOW TCP 127.0.0.1 127.0.0.1 55345 55346 0 - 0 0 0 - - - SEND 12808
2022-07-20 10:26:05 ALLOW TCP 127.0.0.1 127.0.0.1 55345 55346 0 - 0 0 0 - - - RECEIVE 7552
2022-07-20 10:26:05 ALLOW TCP 127.0.0.1 127.0.0.1 55342 55343 0 - 0 0 0 - - - SEND 12808
2022-07-20 10:26:05 ALLOW TCP 127.0.0.1 127.0.0.1 55342 55343 0 - 0 0 0 - - - RECEIVE 7552
2022-07-20 10:26:06 ALLOW TCP 185.156.72.48 192.168.10.70 62568 4040 0 - 0 0 0 - - - RECEIVE 1236
2022-07-20 10:26:06 ALLOW TCP 185.156.72.48 192.168.10.70 63929 4040 0 - 0 0 0 - - - RECEIVE 1236
2022-07-20 10:26:09 ALLOW UDP 192.168.10.70 192.168.10.95 123 123 0 - - - - - - - SEND 1316
2022-07-20 10:26:10 ALLOW TCP 192.168.10.70 216.58.207.238 55353 443 0 - 0 0 0 - - - SEND 7552
2022-07-20 10:26:10 ALLOW TCP 127.0.0.1 127.0.0.1 55351 55352 0 - 0 0 0 - - - SEND 12808
2022-07-20 10:26:10 ALLOW TCP 127.0.0.1 127.0.0.1 55351 55352 0 - 0 0 0 - - - RECEIVE 7552
2022-07-20 10:26:10 ALLOW TCP 192.168.10.70 216.58.207.238 55350 443 0 - 0 0 0 - - - SEND 7552
2022-07-20 10:26:10 ALLOW TCP 127.0.0.1 127.0.0.1 55348 55349 0 - 0 0 0 - - - SEND 12808
2022-07-20 10:26:10 ALLOW TCP 127.0.0.1 127.0.0.1 55348 55349 0 - 0 0 0 - - - RECEIVE 7552
2022-07-20 10:26:11 ALLOW TCP 192.168.10.70 192.168.10.33 55356 7680 0 - 0 0 0 - - - SEND 7552
2022-07-20 10:26:11 ALLOW TCP ::1 ::1 55354 55355 0 - 0 0 0 - - - SEND 6564
2022-07-20 10:26:11 ALLOW TCP ::1 ::1 55354 55355 0 - 0 0 0 - - - RECEIVE 7552
2022-07-20 10:26:11 ALLOW TCP 192.168.10.70 216.58.207.238 55359 443 0 - 0 0 0 - - - SEND 7552
2022-07-20 10:26:11 ALLOW TCP 127.0.0.1 127.0.0.1 55357 55358 0 - 0 0 0 - - - SEND 12808
2022-07-20 10:26:11 ALLOW TCP 127.0.0.1 127.0.0.1 55357 55358 0 - 0 0 0 - - - RECEIVE 7552
2022-07-20 10:26:11 ALLOW TCP 192.168.10.70 216.58.207.238 55362 443 0 - 0 0 0 - - - SEND 7552
2022-07-20 10:26:11 ALLOW TCP 127.0.0.1 127.0.0.1 55360 55361 0 - 0 0 0 - - - SEND 12808
2022-07-20 10:26:11 ALLOW TCP 127.0.0.1 127.0.0.1 55360 55361 0 - 0 0 0 - - - RECEIVE 7552


----------



## DraM (20.07.2022)

мой комп 10.70 подключаюсь к 14.11


----------



## DraM (20.07.2022)

DraM сказал(а):


> мой комп 10.70 подключаюсь к 14.11


вот такая ошибка


----------



## Ramirezkiv (20.07.2022)

DraM сказал(а):


> вот такая ошибка


С 10.70 доступ до 14.11 маршрутизация работает? 14.11 пингуется при включенных фаерах?

У микрософта в свободном доступе была опубликована утилита удалённой проверки состояния портов - PortQry - port query. Её скачать и с 10.70 натравить на 14.11 на нужный порт и посмотреть, что она скажет - открыт порт или закрыт или фаер его лочит.

Потому что в логах не видно попытки обращения к 14.11. Дропы пакетов есть только по пингам.


----------



## DraM (20.07.2022)

Ramirezkiv сказал(а):


> С 10.70 доступ до 14.11 маршрутизация работает? 14.11 пингуется при включенных фаерах?
> 
> У микрософта в свободном доступе была опубликована утилита удалённой проверки состояния портов - port - port query. Её скачать и с 10.70 натравить на 14.11 на нужный порт и посмотреть, что она скажет - открыт порт или закрыт или фаер его лочит.
> 
> Потому что в логах не видно попытки обращения к 14.11. Дропы пакетов есть только по пингам.


Пингуется при включенной стене.


----------



## DraM (20.07.2022)

Ramirezkiv сказал(а):


> С 10.70 доступ до 14.11 маршрутизация работает? 14.11 пингуется при включенных фаерах?
> 
> У микрософта в свободном доступе была опубликована утилита удалённой проверки состояния портов - PortQry - port query. Её скачать и с 10.70 натравить на 14.11 на нужный порт и посмотреть, что она скажет - открыт порт или закрыт или фаер его лочит.
> 
> Потому что в логах не видно попытки обращения к 14.11. Дропы пакетов есть только по пингам.


попробую


----------



## DraM (20.07.2022)

DraM сказал(а):


> попробую


----------



## Ramirezkiv (20.07.2022)

Ага, порт открыт и прослушивается.
Уважаемый, а вы на 14.10 или 14.11 Radmin Server в соответствии с этим настраивали: https://www.winseven.ru/windows-10/...-dlya-ustanovleniya-soedineniya-udalennyi/???
Ну то есть пользователя создали, пароль ему назначили, права соответствующие тоже?


----------



## Ramirezkiv (20.07.2022)

Или вот: https://www.softmagazin.ru/blog/nastroyka_radmin/#Настройка_Radmin_Server


----------



## Ramirezkiv (21.07.2022)

G@rry_ сказал(а):


> .


Вы писали: "Может выбрана не та зона в фаерволе? Если подключаешься с хоста из другой подсети, то он может решить что это не локальная сеть и резать. Так многие фаерволы работают."

По моей информации - именно так фаерволы (на операционных системах семейства Windows) не работают.
Анализ сети назначения и принятие решения исходя из сети отправителя - это прерогатива межсетевых экранов и маршрутизаторов более высокого уровня.
Понятие зоны фаервола есть на операционных системах семейства Linux.
А в Windows есть профили: профиль домена, частный профиль и общий профиль.
И вот как раз здесь вы правы - может быть засада. Можно написать разрешительное правило только для одного профиля, который не будет применён к системе, если тачка в домене.


----------



## Ramirezkiv (21.07.2022)

Проверьте пожалуйста разрешительные правила для исходящих подключений на фаерволе на машине 192.168.10.70 - может быть они написаны только для одного профиля. Если так, то разрешите аналогичные правила и для других профилей: для профиля домена, для частного профиля и для общего профиля.


----------



## DraM (21.07.2022)

Ramirezkiv сказал(а):


> Проверьте пожалуйста разрешительные правила для исходящих подключений на фаерволе на машине 192.168.10.70 - может быть они написаны только для одного профиля. Если так, то разрешите аналогичные правила и для других профилей: для профиля домена, для частного профиля и для общего профиля.


Прописано для всех зон. Отдельно правило для TCP и UDP в этих же правилах прописан путь до экзешника программы. Еще отдельно программа добавлена в исключения для всех зон. Это на моем компе. На клиетских все по умолчанию. Без фаера на моем компе все работает, как только я его включаю до клиентов не достучатся.
Еще сейчас заметил что в моей сети (в 10ой) все работает с фаером, а в другие не попасть. 
Это наверное надо какой то IP роутера еще в правило добавлять или маршрут если такое возможно, короче пипец какой то, вот легче наверное отключить все фаерволы чем в них разобраться.)))


----------



## Ramirezkiv (21.07.2022)

DraM сказал(а):


> Прописано для всех зон. Отдельно правило для TCP и UDP в этих же правилах прописан путь до экзешника программы. Еще отдельно программа добавлена в исключения для всех зон. Это на моем компе. На клиетских все по умолчанию. Без фаера на моем компе все работает, как только я его включаю до клиентов не достучатся.
> Еще сейчас заметил что в моей сети (в 10ой) все работает с фаером, а в другие не попасть.
> Это наверное надо какой то IP роутера еще в правило добавлять или маршрут если такое возможно, короче пипец какой то, вот легче наверное отключить все фаерволы чем в них разобраться.)))


Первый раз слышу, что на фаерволах Windows надо что-то делать, чтобы был доступ к маршрутизатору. Нет, если в сетевых настройках Windows-машины задан верный IP-адрес роутера и при этом включен фаервол, то доступ к роутеру будет. Единственное, что сделано неудобно на фаерволах Windows - это блокировка ICMP траффика, но это обходится просто, если есть желание фаервол юзать - разрешительное правило для протокола ICMP уже предсоздано - его надо только найти и включить - называется "эхо-запрос чего-то там".

Целесообразность использования фаерволов внутри ЛВС - сомнительна, но если есть желание повысить безопасность, то можно не отключать, придётся только разбираться с правилами, что долго и неудобно.

Скорей всего что-то в правилах недокручено. Можете на вашей станции отключать фаервол, когда нужен доступ до клиентских тачек, а после использования включать снова.

"Еще сейчас заметил что в моей сети (в 10ой) все работает с фаером, а в другие не попасть." - а как вы определили, что не попасть? Чем тестируете "попадание"?


----------



## DraM (21.07.2022)

Ramirezkiv сказал(а):


> Первый раз слышу, что на фаерволах Windows надо что-то делать, чтобы был доступ к маршрутизатору. Нет, если в сетевых настройках Windows-машины задан верный IP-адрес роутера и при этом включен фаервол, то доступ к роутеру будет. Единственное, что сделано неудобно на фаерволах Windows - это блокировка ICMP траффика, но это обходится просто, если есть желание фаервол юзать - разрешительное правило для протокола ICMP уже предсоздано - его надо только найти и включить - называется "эхо-запрос чего-то там".
> 
> Целесообразность использования фаерволов внутри ЛВС - сомнительна, но если есть желание повысить безопасность, то можно не отключать, придётся только разбираться с правилами, что долго и неудобно.
> 
> ...


а как вы определили, что не попасть? Чем тестируете "попадание"?
Очень просто, к машине например 10.99 я могу подключиться с работающим фаером, а к машине 12.2 не могу.


----------



## Ramirezkiv (21.07.2022)

DraM сказал(а):


> а как вы определили, что не попасть? Чем тестируете "попадание"?
> Очень просто, к машине например 10.99 я могу подключиться с работающим фаером, а к машине 12.2 не могу.


Я по термином "не попасть" подразумевал отсутствие маршрутизации, но так как мы ранее выяснили, что маршрутизацию удалось настроить, то значит не "не попасть", а Radmin не работает.

Копаем дальше.
На своей станции управления 10.70 допустим вы настроили разрешительные правила фаервола для RAdmina - они для исходящих соединений. А на других станциях, куда вы стремитесь попасть на 12.2 настроили разрешительные правила фаервола на RAdmin для входящих соединений?
Ну и соответственно разрешительное правило должно быть прописано на межсетевых экранах вашего главного роутера, а также точки доступа.


----------



## DraM (21.07.2022)

Ramirezkiv сказал(а):


> Я по термином "не попасть" подразумевал отсутствие маршрутизации, но так как мы ранее выяснили, что маршрутизацию удалось настроить, то значит не "не попасть", а Radmin не работает.
> 
> Копаем дальше.
> На своей станции управления 10.70 допустим вы настроили разрешительные правила фаервола для RAdmina - они для исходящих соединений. А на других станциях, куда вы стремитесь попасть на 12.2 настроили разрешительные правила фаервола на RAdmin для входящих соединений?
> Ну и соответственно разрешительное правило должно быть прописано на межсетевых экранах вашего главного роутера, а также точки доступа.


На своей станции я настроил правила и для исходящих и на всякий случай для входящих. На клиенских ничего не трогал. Так как я же к ним могу подключиться без фаера на моей машине, следовательно (я так думаю) проблема в фаере на моем компьютере 10. 70 который. На главном роутере я ничего не трогал, а на промежуточных фаер отключен.


----------



## Ramirezkiv (21.07.2022)

DraM сказал(а):


> На своей станции я настроил правила и для исходящих и на всякий случай для входящих. На клиенских ничего не трогал. Так как я же к ним могу подключиться без фаера на моей машине, следовательно (я так думаю) проблема в фаере на моем компьютере 10. 70 который. На главном роутере я ничего не трогал, а на промежуточных фаер отключен.


Пока не знаю. Ради интереса попробуйте на клиентских станциях, к которым пытаетесь подключиться написать разрешительное правило для RAdmin'а для входящих подключений и попробуйте подключиться.


----------



## DraM (21.07.2022)

Ramirezkiv сказал(а):


> Пока не знаю. Ради интереса попробуйте на клиентских станциях, к которым пытаетесь подключиться написать разрешительное правило для RAdmin'а для входящих подключений и попробуйте подключиться.


Сегодня уже голова подзакипает, завтра поэкспериментирую. Но если действительно надо прописывать на каждом клиентском, то овчинка выделки точно не стоит. У меня их больше 100. а с контролерами домена я еще только знакомлюсь и групповыми политиками на владею. Легче к чертям выключить этот брандмауэр на своем компе.


----------



## Ramirezkiv (21.07.2022)

DraM сказал(а):


> Сегодня уже голова подзакипает, завтра поэкспериментирую. Но если действительно надо прописывать на каждом клиентском, то овчинка выделки точно не стоит. У меня их больше 100. а с контролерами домена я еще только знакомлюсь и групповыми политиками на владею. Легче к чертям выключить этот брандмауэр на своем компе.


Ну как вариант да. Ещё можно так: когда нужен доступ к клиентскому компу - выключать фаер на своей тачке, а после того как поработал - снова его включать. И волки сыты и овцы целы.


----------



## Ramirezkiv (21.07.2022)

DraM сказал(а):


> Сегодня уже голова подзакипает, завтра поэкспериментирую. Но если действительно надо прописывать на каждом клиентском, то овчинка выделки точно не стоит. У меня их больше 100. а с контролерами домена я еще только знакомлюсь и групповыми политиками на владею. Легче к чертям выключить этот брандмауэр на своем компе.


С помощью доменных групповых политик на каждой доменной машине можно настроить разрешительное правило фаервола. Один раз создаёшь одну групповую политику и с помощью домена она раскатывается на все доменные тачки.


----------



## DraM (08.09.2022)

Продолжаем тему, но уходим из сети к контролерам домена. Сеть я настроил всю и все прекрасно работает, за исключением главного роутера  ZUXEL его убило грозой.  Очень жаль железяку. Но не суть. Начинаю разбираться с контролерами домена и доводить их до ума, столкнулся со следующей проблемой, как я понял из 2х недельного похода на форумы  штудирования ошибок dcdiag и журналов у меня главная проблема это отсутствие репликации sysvol.
А основная проблема это то что после добавления компа в домен в dns не появляется запись о нем.


DCUzola2 главный контролер

C:\WINDOWS\system32>dcdiag

Диагностика сервера каталогов

Выполнение начальной настройки:
   Выполняется попытка поиска основного сервера...
   Основной сервер = DCUzola2
   * Определен лес AD.
   Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

   Сервер проверки: Default-First-Site-Name\DCUZOLA2
      Запуск проверки: Connectivity
         ......................... DCUZOLA2 - пройдена проверка Connectivity

Выполнение основных проверок

   Сервер проверки: Default-First-Site-Name\DCUZOLA2
      Запуск проверки: Advertising
         ......................... DCUZOLA2 - пройдена проверка Advertising
      Запуск проверки: FrsEvent
         ......................... DCUZOLA2 - пройдена проверка FrsEvent
      Запуск проверки: DFSREvent
         ......................... DCUZOLA2 - пройдена проверка DFSREvent
      Запуск проверки: SysVolCheck
         ......................... DCUZOLA2 - пройдена проверка SysVolCheck
      Запуск проверки: KccEvent
         ......................... DCUZOLA2 - пройдена проверка KccEvent
      Запуск проверки: KnowsOfRoleHolders
         ......................... DCUZOLA2 - пройдена проверка KnowsOfRoleHolders
      Запуск проверки: MachineAccount
         ......................... DCUZOLA2 - пройдена проверка MachineAccount
      Запуск проверки: NCSecDesc
         ......................... DCUZOLA2 - пройдена проверка NCSecDesc
      Запуск проверки: NetLogons
         ......................... DCUZOLA2 - пройдена проверка NetLogons
      Запуск проверки: ObjectsReplicated
         ......................... DCUZOLA2 - пройдена проверка ObjectsReplicated
      Запуск проверки: Replications
         ......................... DCUZOLA2 - пройдена проверка Replications
      Запуск проверки: RidManager
         ......................... DCUZOLA2 - пройдена проверка RidManager
      Запуск проверки: Services
            Неверный тип запуска службы: NtFrs на DCUZOLA2, текущее значение - DISABLED, ожидаемое значение -
            AUTO_START
            Служба NtFrs в [DCUZOLA2] остановлена
         ......................... DCUZOLA2 - не пройдена проверка Services
      Запуск проверки: SystemLog
         Возникла ошибка. Код события (EventID): 0x0000272C
            Время создания: 09/08/2022   09:10:28
            Строка события:
            Не удалось установить связь DCOM с компьютером DCUzola1.uzola-nn.com через какой-либо из настроенных протоколов; запрос от PID     19e8 (C:\WINDOWS\system32\ServerManager.exe) при активации CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820}.
         Возникла ошибка. Код события (EventID): 0x0000272C
            Время создания: 09/08/2022   09:10:28
            Строка события:
            Не удалось установить связь DCOM с компьютером DCUzola1.uzola-nn.com через какой-либо из настроенных протоколов; запрос от PID     19e8 (C:\WINDOWS\system32\ServerManager.exe) при активации CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820}.
         Возникла ошибка. Код события (EventID): 0x0000272C
            Время создания: 09/08/2022   09:10:28
            Строка события:
            Не удалось установить связь DCOM с компьютером DCUzola1.uzola-nn.com через какой-либо из настроенных протоколов; запрос от PID     19e8 (C:\WINDOWS\system32\ServerManager.exe) при активации CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820}.
         Возникла ошибка. Код события (EventID): 0x0000272C
            Время создания: 09/08/2022   09:10:28
            Строка события:
            Не удалось установить связь DCOM с компьютером DCUzola1.uzola-nn.com через какой-либо из настроенных протоколов; запрос от PID     19e8 (C:\WINDOWS\system32\ServerManager.exe) при активации CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820}.
         Возникла ошибка. Код события (EventID): 0x0000272C
            Время создания: 09/08/2022   09:10:43
            Строка события:
            Не удалось установить связь DCOM с компьютером DCUzola1.uzola-nn.com через какой-либо из настроенных протоколов; запрос от PID     19e8 (C:\WINDOWS\system32\ServerManager.exe) при активации CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820}.
         Возникла ошибка. Код события (EventID): 0x0000272C
            Время создания: 09/08/2022   09:10:43
            Строка события:
            Не удалось установить связь DCOM с компьютером DCUzola1.uzola-nn.com через какой-либо из настроенных протоколов; запрос от PID     19e8 (C:\WINDOWS\system32\ServerManager.exe) при активации CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820}.
         Возникла ошибка. Код события (EventID): 0x0000272C
            Время создания: 09/08/2022   09:10:43
            Строка события:
            Не удалось установить связь DCOM с компьютером DCUzola1.uzola-nn.com через какой-либо из настроенных протоколов; запрос от PID     19e8 (C:\WINDOWS\system32\ServerManager.exe) при активации CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820}.
         Возникла ошибка. Код события (EventID): 0x0000272C
            Время создания: 09/08/2022   09:10:43
            Строка события:
            Не удалось установить связь DCOM с компьютером DCUzola1.uzola-nn.com через какой-либо из настроенных протоколов; запрос от PID     19e8 (C:\WINDOWS\system32\ServerManager.exe) при активации CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820}.
         Возникла ошибка. Код события (EventID): 0x0000272C
            Время создания: 09/08/2022   09:11:10
            Строка события:
            Не удалось установить связь DCOM с компьютером DCUzola1.uzola-nn.com через какой-либо из настроенных протоколов; запрос от PID     19e8 (C:\WINDOWS\system32\ServerManager.exe) при активации CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820}.
         Возникла ошибка. Код события (EventID): 0x0000272C
            Время создания: 09/08/2022   09:11:10
            Строка события:
            Не удалось установить связь DCOM с компьютером DCUzola1.uzola-nn.com через какой-либо из настроенных протоколов; запрос от PID     19e8 (C:\WINDOWS\system32\ServerManager.exe) при активации CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820}.
         Возникла ошибка. Код события (EventID): 0x0000272C
            Время создания: 09/08/2022   09:11:10
            Строка события:
            Не удалось установить связь DCOM с компьютером DCUzola1.uzola-nn.com через какой-либо из настроенных протоколов; запрос от PID     19e8 (C:\WINDOWS\system32\ServerManager.exe) при активации CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820}.
         Возникла ошибка. Код события (EventID): 0x0000272C
            Время создания: 09/08/2022   09:11:10
            Строка события:
            Не удалось установить связь DCOM с компьютером DCUzola1.uzola-nn.com через какой-либо из настроенных протоколов; запрос от PID     19e8 (C:\WINDOWS\system32\ServerManager.exe) при активации CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820}.
         Возникла ошибка. Код события (EventID): 0x0000272C
            Время создания: 09/08/2022   09:16:38
            Строка события:
            Не удалось установить связь DCOM с компьютером DCUzola1.uzola-nn.com через какой-либо из настроенных протоколов; запрос от PID     19e8 (C:\WINDOWS\system32\ServerManager.exe) при активации CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820}.
         Возникла ошибка. Код события (EventID): 0x0000272C
            Время создания: 09/08/2022   09:16:38
            Строка события:
            Не удалось установить связь DCOM с компьютером DCUzola1.uzola-nn.com через какой-либо из настроенных протоколов; запрос от PID     19e8 (C:\WINDOWS\system32\ServerManager.exe) при активации CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820}.
         Возникла ошибка. Код события (EventID): 0x0000272C
            Время создания: 09/08/2022   09:16:38
            Строка события:
            Не удалось установить связь DCOM с компьютером DCUzola1.uzola-nn.com через какой-либо из настроенных протоколов; запрос от PID     19e8 (C:\WINDOWS\system32\ServerManager.exe) при активации CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820}.
         Возникла ошибка. Код события (EventID): 0x0000272C
            Время создания: 09/08/2022   09:16:39
            Строка события:
            Не удалось установить связь DCOM с компьютером DCUzola1.uzola-nn.com через какой-либо из настроенных протоколов; запрос от PID     19e8 (C:\WINDOWS\system32\ServerManager.exe) при активации CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820}.
         Возникло предупреждение. Код события (EventID): 0x000727A5
            Время создания: 09/08/2022   09:17:21
            Строка события: Служба WinRM не прослушивает запросы WS-Management.
         Возникло предупреждение. Код события (EventID): 0xA004001B
            Время создания: 09/08/2022   09:17:46
            Строка события: Intel(R) Ethernet Connection (10) I219-LM
         Возникло предупреждение. Код события (EventID): 0x00000087
            Время создания: 09/08/2022   09:18:13
            Строка события:
            NTP-клиенту не удалось задать настроенный вручную узел в качестве источника времени из-за ошибки дублирования на "1.ru.pool.ntp.org,". Тот же источник времени "0.ru.pool.ntp.org," был задан как настроенный вручную узел на NTP-сервере или выбран как узел домена. NTP-клиент повторит попытку через 15 мин., а затем удвоит интервал между попытками. Ошибка: Элемент уже существует. (0x800706E0)
         Возникло предупреждение. Код события (EventID): 0x00000087
            Время создания: 09/08/2022   09:18:13
            Строка события:
            NTP-клиенту не удалось задать настроенный вручную узел в качестве источника времени из-за ошибки дублирования на "3.ru.pool.ntp.org". Тот же источник времени "0.ru.pool.ntp.org," был задан как настроенный вручную узел на NTP-сервере или выбран как узел домена. NTP-клиент повторит попытку через 15 мин., а затем удвоит интервал между попытками. Ошибка: Элемент уже существует. (0x800706E0)
         Возникло предупреждение. Код события (EventID): 0x00000087
            Время создания: 09/08/2022   09:18:14
            Строка события:
            NTP-клиенту не удалось задать настроенный вручную узел в качестве источника времени из-за ошибки дублирования на "1.ru.pool.ntp.org,". Тот же источник времени "0.ru.pool.ntp.org," был задан как настроенный вручную узел на NTP-сервере или выбран как узел домена. NTP-клиент повторит попытку через 15 мин., а затем удвоит интервал между попытками. Ошибка: Элемент уже существует. (0x800706E0)
         Возникло предупреждение. Код события (EventID): 0x00000087
            Время создания: 09/08/2022   09:18:14
            Строка события:
            NTP-клиенту не удалось задать настроенный вручную узел в качестве источника времени из-за ошибки дублирования на "3.ru.pool.ntp.org". Тот же источник времени "0.ru.pool.ntp.org," был задан как настроенный вручную узел на NTP-сервере или выбран как узел домена. NTP-клиент повторит попытку через 15 мин., а затем удвоит интервал между попытками. Ошибка: Элемент уже существует. (0x800706E0)
         Возникло предупреждение. Код события (EventID): 0x00001796
            Время создания: 09/08/2022   09:19:19
            Строка события:
            Microsoft Windows Server обнаружено, что в настоящее время между клиентами и этим сервером используется проверка подлинности NTLM. Это событие возникает один раз при каждой загрузке, когда клиент первый раз использует NTLM с этим сервером.
         Возникла ошибка. Код события (EventID): 0x0000168E
            Время создания: 09/08/2022   09:23:37
            Строка события:
            Ошибка при динамической регистрации записи DNS "ae4edba2-c724-40d6-8237-a4af953b1669._msdcs.uzola-nn.com. 600 IN CNAME DCUzola2.uzola-nn.com." на следующем DNS-сервере:
         Возникла ошибка. Код события (EventID): 0x0000168E
            Время создания: 09/08/2022   09:23:38
            Строка события:
            Ошибка при динамической регистрации записи DNS "_ldap._tcp.uzola-nn.com. 600 IN SRV 0 100 389 dcuzola2.uzola-nn.com." на следующем DNS-сервере:
         Возникла ошибка. Код события (EventID): 0x0000168E
            Время создания: 09/08/2022   09:23:40
            Строка события:
            Ошибка при динамической регистрации записи DNS "_ldap._tcp.Default-First-Site-Name._sites.uzola-nn.com. 600 IN SRV 0 100 389 dcuzola2.uzola-nn.com." на следующем DNS-сервере:
         Возникла ошибка. Код события (EventID): 0x0000168E
            Время создания: 09/08/2022   09:23:42
            Строка события:
            Ошибка при динамической регистрации записи DNS "_ldap._tcp.67e39db9-491c-419a-937d-f6da6b0672e9.domains._msdcs.uzola-nn.com. 600 IN SRV 0 100 389 dcuzola2.uzola-nn.com." на следующем DNS-сервере:
         Возникла ошибка. Код события (EventID): 0x0000168E
            Время создания: 09/08/2022   09:23:44
            Строка события:
            Ошибка при динамической регистрации записи DNS "_ldap._tcp.dc._msdcs.uzola-nn.com. 600 IN SRV 0 100 389 dcuzola2.uzola-nn.com." на следующем DNS-сервере:
         Возникла ошибка. Код события (EventID): 0x0000168E
            Время создания: 09/08/2022   09:23:46
            Строка события:
            Ошибка при динамической регистрации записи DNS "_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.uzola-nn.com. 600 IN SRV 0 100 389 dcuzola2.uzola-nn.com." на следующем DNS-сервере:
         Возникла ошибка. Код события (EventID): 0x0000168E
            Время создания: 09/08/2022   09:23:48
            Строка события:
            Ошибка при динамической регистрации записи DNS "_kerberos._tcp.dc._msdcs.uzola-nn.com. 600 IN SRV 0 100 88 dcuzola2.uzola-nn.com." на следующем DNS-сервере:
         Возникла ошибка. Код события (EventID): 0x0000168E
            Время создания: 09/08/2022   09:23:50
            Строка события:
            Ошибка при динамической регистрации записи DNS "_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.uzola-nn.com. 600 IN SRV 0 100 88 dcuzola2.uzola-nn.com." на следующем DNS-сервере:
         Возникла ошибка. Код события (EventID): 0x0000168E
            Время создания: 09/08/2022   09:23:52
            Строка события:
            Ошибка при динамической регистрации записи DNS "_kerberos._tcp.uzola-nn.com. 600 IN SRV 0 100 88 dcuzola2.uzola-nn.com." на следующем DNS-сервере:
         Возникла ошибка. Код события (EventID): 0x0000168E
            Время создания: 09/08/2022   09:23:54
            Строка события:
            Ошибка при динамической регистрации записи DNS "_kerberos._tcp.Default-First-Site-Name._sites.uzola-nn.com. 600 IN SRV 0 100 88 dcuzola2.uzola-nn.com." на следующем DNS-сервере:
         Возникла ошибка. Код события (EventID): 0x0000168E
            Время создания: 09/08/2022   09:23:56
            Строка события:
            Ошибка при динамической регистрации записи DNS "_kerberos._udp.uzola-nn.com. 600 IN SRV 0 100 88 dcuzola2.uzola-nn.com." на следующем DNS-сервере:
         Возникла ошибка. Код события (EventID): 0x0000168E
            Время создания: 09/08/2022   09:23:58
            Строка события:
            Ошибка при динамической регистрации записи DNS "_kpasswd._tcp.uzola-nn.com. 600 IN SRV 0 100 464 dcuzola2.uzola-nn.com." на следующем DNS-сервере:
         Возникла ошибка. Код события (EventID): 0x0000168E
            Время создания: 09/08/2022   09:24:01
            Строка события:
            Ошибка при динамической регистрации записи DNS "_kpasswd._udp.uzola-nn.com. 600 IN SRV 0 100 464 dcuzola2.uzola-nn.com." на следующем DNS-сервере:
         Возникла ошибка. Код события (EventID): 0x0000168E
            Время создания: 09/08/2022   09:24:03
            Строка события:
            Ошибка при динамической регистрации записи DNS "_ldap._tcp.DomainDnsZones.uzola-nn.com. 600 IN SRV 0 100 389 dcuzola2.uzola-nn.com." на следующем DNS-сервере:
         Возникла ошибка. Код события (EventID): 0x0000168E
            Время создания: 09/08/2022   09:24:05
            Строка события:
            Ошибка при динамической регистрации записи DNS "_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.uzola-nn.com. 600 IN SRV 0 100 389 dcuzola2.uzola-nn.com." на следующем DNS-сервере:
         Возникло предупреждение. Код события (EventID): 0x00001695
            Время создания: 09/08/2022   09:24:05
            Строка события:
            Ошибка при динамической регистрации или удалении одной или нескольких записей DNS, связанных с доменом DNS "ForestDnsZones.uzola-nn.com.".  Эти записи используются другими компьютерами для поиска данного сервера как контроллера домена (если указан домен Active Directory) или как сервера LDAP (если указанный домен является разделом приложений).
         ......................... DCUZOLA2 - не пройдена проверка SystemLog
      Запуск проверки: VerifyReferences
         Проблемы у некоторых объектов, относящихся к DC DCUZOLA2:
            [1] Проблема: Отсутствует ожидаемое значение
             Базовый объект:
            CN=NTDS Settings,CN=DCUZOLA2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=uzola-nn,DC=com
             Описание базового объекта: "Объект DSA"
             Имя атрибута объекта значения: serverReferenceBL
             Описание объекта значения: "Объект члена SYSVOL FRS"
             Рекомендуемое действие: См. статью базы знаний: Q312862

            [1] Проблема: Отсутствует ожидаемое значение
             Базовый объект: CN=DCUZOLA2,OU=Domain Controllers,DC=uzola-nn,DC=com
             Описание базового объекта: "Объект учетной записи DC"
             Имя атрибута объекта значения: frsComputerReferenceBL
             Описание объекта значения: "Объект члена SYSVOL FRS"
             Рекомендуемое действие: См. статью базы знаний: Q312862

         ......................... DCUZOLA2 - не пройдена проверка VerifyReferences


   Выполнение проверок разделов на: ForestDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... ForestDnsZones - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... ForestDnsZones - пройдена проверка CrossRefValidation

   Выполнение проверок разделов на: DomainDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... DomainDnsZones - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... DomainDnsZones - пройдена проверка CrossRefValidation

   Выполнение проверок разделов на: Schema
      Запуск проверки: CheckSDRefDom
         ......................... Schema - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Schema - пройдена проверка CrossRefValidation

   Выполнение проверок разделов на: Configuration
      Запуск проверки: CheckSDRefDom
         ......................... Configuration - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Configuration - пройдена проверка CrossRefValidation

   Выполнение проверок разделов на: uzola-nn
      Запуск проверки: CheckSDRefDom
         ......................... uzola-nn - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... uzola-nn - пройдена проверка CrossRefValidation

   Выполнение проверок предприятия на: uzola-nn.com
      Запуск проверки: LocatorCheck
         ......................... uzola-nn.com - пройдена проверка LocatorCheck
      Запуск проверки: Intersite
         ......................... uzola-nn.com - пройдена проверка Intersite

C:\WINDOWS\system32>


DCUzola1 второстепенный

C:\Windows\system32>dcdiag

Диагностика сервера каталогов

Выполнение начальной настройки:
   Выполняется попытка поиска основного сервера...
   Основной сервер = DCUzola1
   * Определен лес AD.
   Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

   Сервер проверки: Default-First-Site-Name\DCUZOLA1
      Запуск проверки: Connectivity
         ......................... DCUZOLA1 - пройдена проверка Connectivity

Выполнение основных проверок

   Сервер проверки: Default-First-Site-Name\DCUZOLA1
      Запуск проверки: Advertising
         ......................... DCUZOLA1 - пройдена проверка Advertising
      Запуск проверки: FrsEvent
         ......................... DCUZOLA1 - пройдена проверка FrsEvent
      Запуск проверки: DFSREvent
         За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения  об
         ошибках.  Сбои при репликации SYSVOL могут стать причиной проблем групповой политики.
         ......................... DCUZOLA1 - не пройдена проверка DFSREvent
      Запуск проверки: SysVolCheck
         ......................... DCUZOLA1 - пройдена проверка SysVolCheck
      Запуск проверки: KccEvent
         ......................... DCUZOLA1 - пройдена проверка KccEvent
      Запуск проверки: KnowsOfRoleHolders
         ......................... DCUZOLA1 - пройдена проверка KnowsOfRoleHolders
      Запуск проверки: MachineAccount
         ......................... DCUZOLA1 - пройдена проверка MachineAccount
      Запуск проверки: NCSecDesc
         ......................... DCUZOLA1 - пройдена проверка NCSecDesc
      Запуск проверки: NetLogons
         ......................... DCUZOLA1 - пройдена проверка NetLogons
      Запуск проверки: ObjectsReplicated
         ......................... DCUZOLA1 - пройдена проверка ObjectsReplicated
      Запуск проверки: Replications
         ......................... DCUZOLA1 - пройдена проверка Replications
      Запуск проверки: RidManager
         ......................... DCUZOLA1 - пройдена проверка RidManager
      Запуск проверки: Services
         ......................... DCUZOLA1 - пройдена проверка Services
      Запуск проверки: SystemLog
         Возникло предупреждение. Код события (EventID): 0x000727A5
            Время создания: 09/08/2022   09:22:54
            Строка события: Служба WinRM не прослушивает запросы WS-Management.
         Возникло предупреждение. Код события (EventID): 0x000727AA
            Время создания: 09/08/2022   09:23:40
            Строка события:
            Службе WinRM не удалось создать следующие имена участников-служб: WSMAN/DCUzola1.uzola-nn.com, WSMAN/DCUzola1.
         Возникло предупреждение. Код события (EventID): 0x00001796
            Время создания: 09/08/2022   09:24:13
            Строка события:
            Microsoft Windows Server обнаружено, что в настоящее время между клиентами и этим сервером используется проверка подлинности NTLM. Это событие возникает один раз при каждой загрузке, когда клиент первый раз использует NTLM с этим сервером.
         ......................... DCUZOLA1 - пройдена проверка SystemLog
      Запуск проверки: VerifyReferences
         ......................... DCUZOLA1 - пройдена проверка VerifyReferences


   Выполнение проверок разделов на: ForestDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... ForestDnsZones - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... ForestDnsZones - пройдена проверка CrossRefValidation

   Выполнение проверок разделов на: DomainDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... DomainDnsZones - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... DomainDnsZones - пройдена проверка CrossRefValidation

   Выполнение проверок разделов на: Schema
      Запуск проверки: CheckSDRefDom
         ......................... Schema - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Schema - пройдена проверка CrossRefValidation

   Выполнение проверок разделов на: Configuration
      Запуск проверки: CheckSDRefDom
         ......................... Configuration - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Configuration - пройдена проверка CrossRefValidation

   Выполнение проверок разделов на: uzola-nn
      Запуск проверки: CheckSDRefDom
         ......................... uzola-nn - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... uzola-nn - пройдена проверка CrossRefValidation

   Выполнение проверок предприятия на: uzola-nn.com
      Запуск проверки: LocatorCheck
         ......................... uzola-nn.com - пройдена проверка LocatorCheck
      Запуск проверки: Intersite
         ......................... uzola-nn.com - пройдена проверка Intersite

C:\Windows\system32>

Прошу помощи может кто то сталкивался с подобной проблемой.


----------



## G@rry_ (12.09.2022)

Можно попробовать выполнить команду *repadmin /showrepl*, чтобы узнать что там у серверов с репликацией.


----------



## Ramirezkiv (15.09.2022)

DraM сказал(а):


> Продолжаем тему, но уходим из сети к контролерам домена. Сеть я настроил всю и все прекрасно работает, за исключением главного роутера  ZUXEL его убило грозой.  Очень жаль железяку. Но не суть. Начинаю разбираться с контролерами домена и доводить их до ума, столкнулся со следующей проблемой, как я понял из 2х недельного похода на форумы  штудирования ошибок dcdiag и журналов у меня главная проблема это отсутствие репликации sysvol.
> А основная проблема это то что после добавления компа в домен в dns не появляется запись о нем.
> 
> 
> ...


"Запуск проверки: Services
Неверный тип запуска службы: NtFrs на DCUZOLA2, текущее значение - DISABLED, ожидаемое значение -
AUTO_START
Служба NtFrs в [DCUZOLA2] остановлена
......................... DCUZOLA2 - не пройдена проверка Services"
Запустите службу NtFrs на контроллере.

" Запуск проверки: SystemLog
         Возникла ошибка. Код события (EventID): 0x0000272C
            Время создания: 09/08/2022   09:10:28
            Строка события:
            Не удалось установить связь DCOM с компьютером DCUzola1.uzola-nn.com через какой-либо из настроенных протоколов; запрос от PID     19e8 (C:\WINDOWS\system32\ServerManager.exe) при активации CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820}."
Проверьте сетевые настройки каждого контроллера домена - IP-адрес первичного DNS-сервера должен быть 127.0.0.1, вторичного - IP-адрес соседа.
Также в реестре посмотрите на какой объект указывает класс {8BC3F05E-D86B-11D0-A075-00C04FB68820}.


----------



## DraM (26.09.2022)

Ramirezkiv сказал(а):


> "Запуск проверки: Services
> Неверный тип запуска службы: NtFrs на DCUZOLA2, текущее значение - DISABLED, ожидаемое значение -
> AUTO_START
> Служба NtFrs в [DCUZOLA2] остановлена
> ...


Извиняюсь что долго не отвечал, был в отпуске и извиняюсь за возможно глупый вопрос, почему именно такой ip dns-сервера? меня тоже мучал этот вопрос и в интернете я ничего не нашел, возможно конечно как то не так искал.


----------



## Ramirezkiv (26.09.2022)

DraM сказал(а):


> Извиняюсь что долго не отвечал, был в отпуске и извиняюсь за возможно глупый вопрос, почему именно такой ip dns-сервера? меня тоже мучал этот вопрос и в интернете я ничего не нашел, возможно конечно как то не так искал.


Это best-practice инженеров Микрософта исходя из того, что обычно на контроллерах домена устанавливается служба DNS, то она должна сама себя спрашивать, а потом соседа.


----------



## DraM (28.09.2022)

Ramirezkiv сказал(а):


> Также в реестре посмотрите на какой объект указывает класс {8BC3F05E-D86B-11D0-A075-00C04FB68820}.


Если можно поподробнее, не понимаю пока как это сделать.


----------



## Ramirezkiv (28.09.2022)

DraM сказал(а):


> Если можно поподробнее, не понимаю пока как это сделать.


Нужно открыть редактор реестра (Win+R - regedit), перейти в узел HKEY_CLASSES_Root, найти там CLSID и найти этот объект. Можно осуществить поиск по комбинации клавиш Ctrl+F выбрав в меню поиска все галочки.
У меня этот идентификатор на рабочей станции указывает на WMI - windows management instrumentation. Встроенный в винду механизм, который частенько выходит из строя и его надо пересобирать и пересоздавать его базу. Благо инфы на эту тему в Инете море.


----------



## DraM (29.09.2022)

Ramirezkiv сказал(а):


> Нужно открыть редактор реестра (Win+R - regedit), перейти в узел HKEY_CLASSES_Root, найти там CLSID и найти этот объект. Можно осуществить поиск по комбинации клавиш Ctrl+F выбрав в меню поиска все галочки.
> У меня этот идентификатор на рабочей станции указывает на WMI - windows management instrumentation. Встроенный в винду механизм, который частенько выходит из строя и его надо пересобирать и пересоздавать его базу. Благо инфы на эту тему в Инете море.


DCUZOLA1


----------



## DraM (29.09.2022)

Ramirezkiv сказал(а):


> Нужно открыть редактор реестра (Win+R - regedit), перейти в узел HKEY_CLASSES_Root, найти там CLSID и найти этот объект. Можно осуществить поиск по комбинации клавиш Ctrl+F выбрав в меню поиска все галочки.
> У меня этот идентификатор на рабочей станции указывает на WMI - windows management instrumentation. Встроенный в винду механизм, который частенько выходит из строя и его надо пересобирать и пересоздавать его базу. Благо инфы на эту тему в Инете море.


DCUZOLA2


----------



## Ramirezkiv (29.09.2022)

DraM сказал(а):


> DCUZOLA1


Рассмотрите тогда возможность пересборки репозитария WMI согласно данной статье:




__





						Загрузка...
					





					techcommunity.microsoft.com
				




Перед перестроением на реальных контроллерах домена настоятельно рекомендую обкатать всю процедуру перестроения на изолированных от ЛВС виртуальных машинах.


----------



## DraM (13.10.2022)

Ramirezkiv сказал(а):


> Рассмотрите тогда возможность пересборки репозитария WMI согласно данной статье:
> 
> 
> 
> ...


С репликацией так ничего и не получилось, решил вывести один контролер из домена так как он слабенький совсем и когда разберусь со всеми ошибками на основном, завести в домен новую, более мощную машину в качестве 2го контролера.
Почти все ошибки пофиксил, осталось чуть чуть разобраться. 
Выполнение начальной настройки:
   Выполняется попытка поиска основного сервера...
   Основной сервер = DCUzola2
   * Определен лес AD.
   Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

   Сервер проверки: Default-First-Site-Name\DCUZOLA2
      Запуск проверки: Connectivity
         ......................... DCUZOLA2 - пройдена проверка Connectivity

Выполнение основных проверок

   Сервер проверки: Default-First-Site-Name\DCUZOLA2
      Запуск проверки: Advertising
         ......................... DCUZOLA2 - пройдена проверка Advertising
      Запуск проверки: FrsEvent
         ......................... DCUZOLA2 - пройдена проверка FrsEvent
      Запуск проверки: DFSREvent
         ......................... DCUZOLA2 - пройдена проверка DFSREvent
      Запуск проверки: SysVolCheck
         ......................... DCUZOLA2 - пройдена проверка SysVolCheck
      Запуск проверки: KccEvent
         ......................... DCUZOLA2 - пройдена проверка KccEvent
      Запуск проверки: KnowsOfRoleHolders
         ......................... DCUZOLA2 - пройдена проверка KnowsOfRoleHolders
      Запуск проверки: MachineAccount
         ......................... DCUZOLA2 - пройдена проверка MachineAccount
      Запуск проверки: NCSecDesc
         ......................... DCUZOLA2 - пройдена проверка NCSecDesc
      Запуск проверки: NetLogons
         ......................... DCUZOLA2 - пройдена проверка NetLogons
      Запуск проверки: ObjectsReplicated
         ......................... DCUZOLA2 - пройдена проверка ObjectsReplicated
      Запуск проверки: Replications
         ......................... DCUZOLA2 - пройдена проверка Replications
      Запуск проверки: RidManager
         ......................... DCUZOLA2 - пройдена проверка RidManager
      Запуск проверки: Services
            Неверный тип запуска службы: NtFrs на DCUZOLA2, текущее значение - DISABLED, ожидаемое значение -
            AUTO_START
            Служба NtFrs в [DCUZOLA2] остановлена
         ......................... DCUZOLA2 - не пройдена проверка Services
      Запуск проверки: SystemLog
         Возникло предупреждение. Код события (EventID): 0x000727AA
            Время создания: 10/13/2022   11:44:37
            Строка события:
            Службе WinRM не удалось создать следующие имена участников-служб: WSMAN/DCUzola2.uzola-nn.com, WSMAN/DCUzola2.
         Возникло предупреждение. Код события (EventID): 0x00000087
            Время создания: 10/13/2022   11:44:55
            Строка события:
            NTP-клиенту не удалось задать настроенный вручную узел в качестве источника времени из-за ошибки дублирования на "1.ru.pool.ntp.org,". Тот же источник времени "0.ru.pool.ntp.org," был задан как настроенный вручную узел на NTP-сервере или выбран как узел домена. NTP-клиент повторит попытку через 15 мин., а затем удвоит интервал между попытками. Ошибка: Элемент уже существует. (0x800706E0)
         Возникло предупреждение. Код события (EventID): 0x00000087
            Время создания: 10/13/2022   11:44:55
            Строка события:
            NTP-клиенту не удалось задать настроенный вручную узел в качестве источника времени из-за ошибки дублирования на "2.ru.pool.ntp.org,". Тот же источник времени "0.ru.pool.ntp.org," был задан как настроенный вручную узел на NTP-сервере или выбран как узел домена. NTP-клиент повторит попытку через 15 мин., а затем удвоит интервал между попытками. Ошибка: Элемент уже существует. (0x800706E0)
         Возникло предупреждение. Код события (EventID): 0x00000087
            Время создания: 10/13/2022   11:44:57
            Строка события:
            NTP-клиенту не удалось задать настроенный вручную узел в качестве источника времени из-за ошибки дублирования на "1.ru.pool.ntp.org,". Тот же источник времени "0.ru.pool.ntp.org," был задан как настроенный вручную узел на NTP-сервере или выбран как узел домена. NTP-клиент повторит попытку через 15 мин., а затем удвоит интервал между попытками. Ошибка: Элемент уже существует. (0x800706E0)
         Возникло предупреждение. Код события (EventID): 0x00000087
            Время создания: 10/13/2022   11:44:57
            Строка события:
            NTP-клиенту не удалось задать настроенный вручную узел в качестве источника времени из-за ошибки дублирования на "2.ru.pool.ntp.org,". Тот же источник времени "0.ru.pool.ntp.org," был задан как настроенный вручную узел на NTP-сервере или выбран как узел домена. NTP-клиент повторит попытку через 15 мин., а затем удвоит интервал между попытками. Ошибка: Элемент уже существует. (0x800706E0)
         Возникло предупреждение. Код события (EventID): 0x00001796
            Время создания: 10/13/2022   12:09:52
            Строка события:
            Microsoft Windows Server обнаружено, что в настоящее время между клиентами и этим сервером используется проверка подлинности NTLM. Это событие возникает один раз при каждой загрузке, когда клиент первый раз использует NTLM с этим сервером.
         ......................... DCUZOLA2 - пройдена проверка SystemLog
      Запуск проверки: VerifyReferences
         Проблемы у некоторых объектов, относящихся к DC DCUZOLA2:
            [1] Проблема: Отсутствует ожидаемое значение
             Базовый объект:
            CN=NTDS Settings,CN=DCUZOLA2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=uzola-nn,DC=com
             Описание базового объекта: "Объект DSA"
             Имя атрибута объекта значения: serverReferenceBL
             Описание объекта значения: "Объект члена SYSVOL FRS"
             Рекомендуемое действие: См. статью базы знаний: Q312862

            [1] Проблема: Отсутствует ожидаемое значение
             Базовый объект: CN=DCUZOLA2,OU=Domain Controllers,DC=uzola-nn,DC=com
             Описание базового объекта: "Объект учетной записи DC"
             Имя атрибута объекта значения: frsComputerReferenceBL
             Описание объекта значения: "Объект члена SYSVOL FRS"
             Рекомендуемое действие: См. статью базы знаний: Q312862

         ......................... DCUZOLA2 - не пройдена проверка VerifyReferences


   Выполнение проверок разделов на: ForestDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... ForestDnsZones - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... ForestDnsZones - пройдена проверка CrossRefValidation

   Выполнение проверок разделов на: DomainDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... DomainDnsZones - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... DomainDnsZones - пройдена проверка CrossRefValidation

   Выполнение проверок разделов на: Schema
      Запуск проверки: CheckSDRefDom
         ......................... Schema - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Schema - пройдена проверка CrossRefValidation

   Выполнение проверок разделов на: Configuration
      Запуск проверки: CheckSDRefDom
         ......................... Configuration - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Configuration - пройдена проверка CrossRefValidation

   Выполнение проверок разделов на: uzola-nn
      Запуск проверки: CheckSDRefDom
         ......................... uzola-nn - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... uzola-nn - пройдена проверка CrossRefValidation

   Выполнение проверок предприятия на: uzola-nn.com
      Запуск проверки: LocatorCheck
         ......................... uzola-nn.com - пройдена проверка LocatorCheck
      Запуск проверки: Intersite
         ......................... uzola-nn.com - пройдена проверка Intersite

C:\WINDOWS\system32>

Первым делом интересует вот эта ошибка.
Неверный тип запуска службы: NtFrs на DCUZOLA2, текущее значение - DISABLED, ожидаемое значение -
            AUTO_START
            Служба NtFrs в [DCUZOLA2] остановлена
         ......................... DCUZOLA2 - не пройдена проверка Services
Много читал про нее и как бы понимаю что это старая служба репликации и она не используется, так почему вылезает ошибка?
Кто в теме подскажите пожалуйста куда копать?


----------



## Ramirezkiv (13.10.2022)

DraM сказал(а):


> С репликацией так ничего и не получилось, решил вывести один контролер из домена так как он слабенький совсем и когда разберусь со всеми ошибками на основном, завести в домен новую, более мощную машину в качестве 2го контролера.
> Почти все ошибки пофиксил, осталось чуть чуть разобраться.
> Выполнение начальной настройки:
> Выполняется попытка поиска основного сервера...
> ...


"Первым делом интересует вот эта ошибка.
Неверный тип запуска службы: NtFrs на DCUZOLA2, текущее значение - DISABLED, ожидаемое значение -
AUTO_START
Служба NtFrs в [DCUZOLA2] остановлена" - ну так поставьте в свойствах этой службы на DCUZOLA2 тип запуска в AUTO_START или хотя-бы MANUAL.


----------



## DraM (13.10.2022)

Ramirezkiv сказал(а):


> "Первым делом интересует вот эта ошибка.
> Неверный тип запуска службы: NtFrs на DCUZOLA2, текущее значение - DISABLED, ожидаемое значение -
> AUTO_START
> Служба NtFrs в [DCUZOLA2] остановлена" - ну так поставьте в свойствах этой службы на DCUZOLA2 тип запуска в AUTO_START или хотя-бы MANUAL.


Сама служба не запускается, да и зачем если она не используется, репликации сейчас ни какой нет. Может ее как то можно удалить или понять откуда растут ноги этой ошибки и что то где то поправить?


----------



## Ramirezkiv (13.10.2022)

DraM сказал(а):


> Сама служба не запускается, да и зачем если она не используется, репликации сейчас ни какой нет. Может ее как то можно удалить или понять откуда растут ноги этой ошибки и что то где то поправить?


Зачем - это хороший вопрос, но теоретический! Вас интересует результат или вы хотели подискутировать? Если первое, то просто измените тип запуска службы и попробуйте запустите проверку снова.


----------



## DraM (13.10.2022)

Ramirezkiv сказал(а):


> Зачем - это хороший вопрос, но теоретический! Вас интересует результат или вы хотели подискутировать? Если первое, то просто измените тип запуска службы и попробуйте запустите проверку снова.


Запускал, это порождает новые ошибки.


----------



## DraM (13.10.2022)

DraM сказал(а):


> Запускал, это порождает новые ошибки.


Остался один сервер и все равно что то пытается реплицировать. Упоминание о втором везде вычистил, Я конечно надеюсь что везде.


----------



## DraM (13.10.2022)

Ошибки из журналов

File Replication Service
Этот контроллер домена был мигрирован с целью использования службы репликации DFS для репликации общего ресурса SYSVOL. Использование службы репликации файлов для репликации наборов содержимого, не являющегося содержимым SYSVOL, было отключено, и поэтому служба была остановлена. Для репликации папок, общего ресурса SYSVOL на контроллерах домена и объектов ссылок DFS рекомендуется использовать службу репликации DFS.

Репликация DFS
Службе репликации DFS не удалось связаться с контроллером домена , чтобы получить сведения о конфигурации. Репликация остановлена. Служба вновь попытается это сделать во время следующего цикла опроса, который произойдет через 60 мин. Это событие может быть вызвано проблемами с подключением TCP/IP, брандмауэром, доменными службами Active Directory или DNS.

Дополнительные сведения: 
Ошибка: 160 (Неверны один или несколько аргументов.)


----------



## DraM (13.10.2022)

После попатки включить запуск службы ( сейчас состояние отключена.) появились новые ошибки и такое ощущение что практически все другие ошибки вытекают из этой службы.

Диагностика сервера каталогов

Выполнение начальной настройки:
   Выполняется попытка поиска основного сервера...
   Основной сервер = DCUzola2
   * Определен лес AD.
   Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

   Сервер проверки: Default-First-Site-Name\DCUZOLA2
      Запуск проверки: Connectivity
         ......................... DCUZOLA2 - пройдена проверка Connectivity

Выполнение основных проверок

   Сервер проверки: Default-First-Site-Name\DCUZOLA2
      Запуск проверки: Advertising
         ......................... DCUZOLA2 - пройдена проверка Advertising
      Запуск проверки: FrsEvent
         За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения  об
         ошибках.  Сбои при репликации SYSVOL могут стать причиной проблем групповой политики.
         ......................... DCUZOLA2 - не пройдена проверка FrsEvent
      Запуск проверки: DFSREvent
         ......................... DCUZOLA2 - пройдена проверка DFSREvent
      Запуск проверки: SysVolCheck
         ......................... DCUZOLA2 - пройдена проверка SysVolCheck
      Запуск проверки: KccEvent
         ......................... DCUZOLA2 - пройдена проверка KccEvent
      Запуск проверки: KnowsOfRoleHolders
         ......................... DCUZOLA2 - пройдена проверка KnowsOfRoleHolders
      Запуск проверки: MachineAccount
         ......................... DCUZOLA2 - пройдена проверка MachineAccount
      Запуск проверки: NCSecDesc
         ......................... DCUZOLA2 - пройдена проверка NCSecDesc
      Запуск проверки: NetLogons
         ......................... DCUZOLA2 - пройдена проверка NetLogons
      Запуск проверки: ObjectsReplicated
         ......................... DCUZOLA2 - пройдена проверка ObjectsReplicated
      Запуск проверки: Replications
         ......................... DCUZOLA2 - пройдена проверка Replications
      Запуск проверки: RidManager
         ......................... DCUZOLA2 - пройдена проверка RidManager
      Запуск проверки: Services
            Неверный тип запуска службы: NtFrs на DCUZOLA2, текущее значение - DISABLED, ожидаемое значение -
            AUTO_START
            Служба NtFrs в [DCUZOLA2] остановлена
         ......................... DCUZOLA2 - не пройдена проверка Services
      Запуск проверки: SystemLog
         Возникло предупреждение. Код события (EventID): 0x00001796
            Время создания: 10/13/2022   14:09:52
            Строка события:
            Microsoft Windows Server обнаружено, что в настоящее время между клиентами и этим сервером используется проверка подлинности NTLM. Это событие возникает один раз при каждой загрузке, когда клиент первый раз использует NTLM с этим сервером.
         Возникла ошибка. Код события (EventID): 0xC0001B61
            Время создания: 10/13/2022   14:10:32
            Строка события: Превышение времени ожидания (30000 мс) при ожидании подключения службы "Репликация файлов".
         Возникла ошибка. Код события (EventID): 0xC0001B61
            Время создания: 10/13/2022   14:14:00
            Строка события: Превышение времени ожидания (30000 мс) при ожидании подключения службы "Репликация файлов".
         Возникло предупреждение. Код события (EventID): 0x000727AA
            Время создания: 10/13/2022   14:18:27
            Строка события:
            Службе WinRM не удалось создать следующие имена участников-служб: WSMAN/DCUzola2.uzola-nn.com, WSMAN/DCUzola2.
         Возникло предупреждение. Код события (EventID): 0x00000090
            Время создания: 10/13/2022   14:22:14
            Строка события: Служба времени прекратила объявлять себя как источник точного времени.
         Возникло предупреждение. Код события (EventID): 0x00001796
            Время создания: 10/13/2022   14:45:28
            Строка события:
            Microsoft Windows Server обнаружено, что в настоящее время между клиентами и этим сервером используется проверка подлинности NTLM. Это событие возникает один раз при каждой загрузке, когда клиент первый раз использует NTLM с этим сервером.
         ......................... DCUZOLA2 - не пройдена проверка SystemLog
      Запуск проверки: VerifyReferences
         Проблемы у некоторых объектов, относящихся к DC DCUZOLA2:
            [1] Проблема: Отсутствует ожидаемое значение
             Базовый объект:
            CN=NTDS Settings,CN=DCUZOLA2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=uzola-nn,DC=com
             Описание базового объекта: "Объект DSA"
             Имя атрибута объекта значения: serverReferenceBL
             Описание объекта значения: "Объект члена SYSVOL FRS"
             Рекомендуемое действие: См. статью базы знаний: Q312862

            [1] Проблема: Отсутствует ожидаемое значение
             Базовый объект: CN=DCUZOLA2,OU=Domain Controllers,DC=uzola-nn,DC=com
             Описание базового объекта: "Объект учетной записи DC"
             Имя атрибута объекта значения: frsComputerReferenceBL
             Описание объекта значения: "Объект члена SYSVOL FRS"
             Рекомендуемое действие: См. статью базы знаний: Q312862

         ......................... DCUZOLA2 - не пройдена проверка VerifyReferences


   Выполнение проверок разделов на: ForestDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... ForestDnsZones - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... ForestDnsZones - пройдена проверка CrossRefValidation

   Выполнение проверок разделов на: DomainDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... DomainDnsZones - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... DomainDnsZones - пройдена проверка CrossRefValidation

   Выполнение проверок разделов на: Schema
      Запуск проверки: CheckSDRefDom
         ......................... Schema - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Schema - пройдена проверка CrossRefValidation

   Выполнение проверок разделов на: Configuration
      Запуск проверки: CheckSDRefDom
         ......................... Configuration - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Configuration - пройдена проверка CrossRefValidation

   Выполнение проверок разделов на: uzola-nn
      Запуск проверки: CheckSDRefDom
         ......................... uzola-nn - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... uzola-nn - пройдена проверка CrossRefValidation

   Выполнение проверок предприятия на: uzola-nn.com
      Запуск проверки: LocatorCheck
         ......................... uzola-nn.com - пройдена проверка LocatorCheck
      Запуск проверки: Intersite
         ......................... uzola-nn.com - пройдена проверка Intersite

C:\WINDOWS\system32>


----------



## Ramirezkiv (14.10.2022)

DraM сказал(а):


> Остался один сервер и все равно что то пытается реплицировать. Упоминание о втором везде вычистил, Я конечно надеюсь что везде.


Можно чуть подробнее о том, как Вы выводили один сервер из состава домена? И о том, как Вы вычищали упоминание о нём в домене?


----------



## DraM (17.10.2022)

Ramirezkiv сказал(а):


> Можно чуть подробнее о том, как Вы выводили один сервер из состава домена? И о том, как Вы вычищали упоминание о нём в домене?


https://www.dmosk.ru/miniinstruktions.php?mini=ad-delete 
Выводил по этой статье.


----------



## DraM (17.10.2022)

Ramirezkiv сказал(а):


> Можно чуть подробнее о том, как Вы выводили один сервер из состава домена? И о том, как Вы вычищали упоминание о нём в домене?


Пользовался графическим интерфейсом. _Роли FSMO были на контролере который остался, ничего не переносил. При понижении ругался, понизил принудительно, видимо из за репликации. В диспетчере DNS удалил все упоминания о нем. Active Directory — сайты и службы тоже почистил Пользователи и компьютеры Active Directory и здесь._


----------

