Коннект к серверам NW из разных сетей.

[Иван Левшин aka Ivan L.]

исследования снифером (по другому поводу) коннекта клиента в дерево показывает (а потом читал об этом) что современный клиент использует все возможности (и DNS, DHCP, SLP) причем если правильно помню запросы посылает практически одновременно, не дожидаясь еще ответов от одного кого то. Очень много настроек в клиенте там и как будет оценивать разные источники и чему больше доверять и т.д. и т.п. а в вашем случае два SCOPE в самом деле будет наверное выход, только клиентов соответственно настроить

Не посылает клиент ничего одновременно. Вячеславу достаточно настроить DNS и SLP - и будет ему щастье. Приоритет настройки задается в свойствах клиента - как, сейчас не скажу. В клиенте для линуха такой настройки нет.

[Андрей Старков]

это я к тому, что раньше если выбирал только DNS - только его использовал. Сейчас клиент использует все возможности (конечно если IPX не стоит то его использовать не будет)
и лично наблюдал ситуацию, когда клиент отправляет запрос на резолвинг имени сервера к DNS и, не дожидаясь ответа, (а он приходит буквально через несколько паекетов!) отправляет же запрос к прописанному в настройках SLPDA! клиент 4.90SP2 или 4.91SP2 был уже не помню. говорю что видел на экране Ethereal

[Вячеслав Якименко]

Конфиг bind покажи!

сейчас named.conf такой:
acl trusted {
192.168.1.0/24;
192.168.2.0/24;
192.168.3.0/24;
#........
};

options {
directory "/etc/namedb";
forwarders {
xx.xx.xx.xx;
yy.yy.yy.yy;
};
};

server 192.168.5.26 {
provide-ixfr yes;
request-ixfr yes;
};

server x.x.x.x {
provide-ixfr yes;
};

server y.y.y.y {
provide-ixfr yes;
};


logging {
category default {
default_syslog;
default_debug;
};
};

#для внутр. сетей
view "internal" {
match-clients { localhost; trusted; };
recursion yes;

zone "." {
type hint;
file "named.root";
};

zone "0.0.127.IN-ADDR.ARPA" {
type master;
file "localhost.rev";
};

zone "xx.ru" {
type master;
file "xx.ru";
};

zone "1.168.192.in-addr.arpa" {
type master;
file "xx.ru.rev1";
};

zone "2.168.192.in-addr.arpa" {
type master;
file "xx.ru.rev2";
};

# .....

zone "xx" {
type master;
file "xx.develop";
};

};

#для внешниих сетей
view "external" {
match-clients { any; };
recursion no;
allow-transfer {
x.x.x.x;
y.y.y.y;
};
notify yes;

zone "xx.ru" {
type slave;
file "xx.ru.ext";
masters { z.z.z.z; };
};

};

чтобы для сети 192.168.2.0/24 использовать свою базу надо:
убрать из acl trusted 192.168.2.0/24;
добавить в acl trusted2 192.168.2.0/24;
и соотв. организовать свое правило для trusted2

Я просто не вижу смысла обсуждать здесь настройку Bind'a. т.к.:
1. понятно, что DNS должен быть настроен так, чтобы выдавать разные соответствия "ip адрес"<->"DNS имя" для сетей 192.168.1.0/24 и 192.168.2.0/24 соответственно.
2. конфигурация содержит еще кучу настроек для сети не относящихся к теме и приведенный мной пример не полный (помимо этих серверов NW во вн. сетях присутствует еще другие сервера, но к теме это по-моему не относится.)

[Вячеслав Якименко]

По SLP:
1. Настроил DA SLP на snw3 (пока для одной области)
2. Для других серверов прописал в /etc/slp.conf
DA IPV4, 192.168.2.3
3. на SNW3 Display slpda
SLP LOOPBACK : v2 : ACTIVE : DEFAULT : IANA : 9 : 0ms
Total Active: 1 Total Inactive: 0
4. на клиенте прописал область и DA:
DEFAULT 192.168.2.3 соответственно.
5. slpinfo /d
DA IP Address Source(s) State Version Local Interface Scope(s)
--------------- --------- ----- ------- --------------- --------
192.168.1.3 CNFG UP SLPV2 192.168.2.41 DEFAULT
6. в порядке опроса источника имен у клиента оставил только SLP

Т.е. NW клиент slp видит и использует?

[Вячеслав Якименко]

По SLP вопрос:
при коннекте к серверу, я понимаю, через SLP клиент разрешает имя (например SNW3). при это используется зарегистрированный ресурс service:nwserver.novell:///SNW3
а как происходит сопоставление этого имени (SNW3) IP-адресу сервера (192.168.1.2)? Через DNS? Или в SLP как то можно зарегистрировать, что SNW3 это 192.168.1.2?

[Андрей Старков]

вот это тот случай когда надо использовать NWADMIN - если делал по ТИДам (я бы ручками сделал свой SCOPE) имя DEFAULT меня смущает - так вот если nwadmin'ом посмотреть scope там увидишь зарегистрированные сервисы, как то - портал, секьюри консоли и nw сервера. вот если посмотреть свойства объектов - там видны все адреса которые Сервер "предоставил " (advertisment) о себе при регистрации в SLP DA (именно это я имел ввиду под "сервер рекламирует себя")
там видно что прописаны и ДНС адреса и адреса в дереве НДС и т.д.

[Иван Левшин aka Ivan L.]

Коллеги - не хочу никого обидеть, но у вас каша в голове

Андрей Старков - не надо использовать нвадмин - он не поддерживается с 6.0! Есть очень ограниченный круг задач, где нвадмин действительно единственное решение - навскидку на память приходит только конфигурация бордюра (не надо меня спрашивать, почему индусы нормальный снапин к иманагеру/К1 не прикрутят - я не в курсе, что происходит у них в головах и какой сорт травы они предпочитают).

Вячеслав Якименко - нормальное решение - прописать отдельный view для 2.0. То, что я вижу сейчас - есть internal view, в который свалены все сетки. Т.е. я лично не берусь гарантировать, что в случае, когда snw3 прописан и там, и там (а он у нас multihomed, не так ли?), ответ на запрос из второй сетки придет именно 2.х! Надо сделать отдельный view - чтобы иметь гарантию. SLP сам по себе не столько "разрешает" имена, сколько облегчает клиенту поиск небходимых сервисов в скопе. Скопов, опять же, надо ДВА - по аналогии с view. И, в окончание банкета - для того, чтобы быть абсолютно уверенным, что все работает именно так, как надо - надо ДВА view и ДВА скопа SLP.

[Вячеслав Якименко]

То, что я вижу сейчас - есть internal view, в который свалены все сетки. ... Надо сделать отдельный view - чтобы иметь гарантию... Скопов, опять же, надо ДВА - по аналогии с view. ..для того, чтобы быть абсолютно уверенным, что все работает именно так, как надо - надо ДВА view и ДВА скопа SLP.

по поводу приведенного named.conf: это конфиг, который есть сейчас. Ниже я сказал, что настроить для 192.168.2.0/24 отдельный view проблем не составляет (это я знаю и могу сделать), но прежде, чем начать это делать [речь идет о рабочей конф. практически 24/7], а равно и создавать две области SLP, сначала надо понять будет ли это работать так как надо. На данный момент у меня такой уверенности нет, и вот почему:
1. на данный момент я изменил в DNS записи для snw2, snw3
snw2.xx.ru <-> 192.168.2.2
snw3.xx.ru <-> 192.168.2.3
т.е. в DNS-именах серверов IP первой подсети (192.168.1.0/24) нет.
отчистил dns cache на клиенте, проверил nslookup/tracert. Т.е. DNS-имя точно разрешается в нужный адрес.
2. В настройках NW клиента указал след.:
servise location-scope list= default (static)
servise location-DA list= 192.168.2.3 (static)
protocol pref.-ip-naming= DNS, SLP
Adv. settings-SLP Active Discovery = on
Adv. settings-SLP Resolve Nearest server = on
Adv. settings-SLP Service Request Limit = 0
Adv. settings-IP Addres Costing = 2
Adv. settings-Limit SAP Broadcast Queries =off
Adv. settings-Named Resolution Timeout = 10
Adv. settings-UNC path filter = on

3. Стал подключаться из разных сетей к различным серверам. Итог:
сеть клиента-----pref. server-----ip snw2-----ip snw3
2-----snw2.xx.ru-----192.168.2.2-----192.168.1.3
2-----snw3.xx.ru-----192.168.1.2-----192.168.2.3
1-----snw2.xx.ru-----192.168.2.2-----192.168.1.3
1-----snw3.xx.ru-----192.168.2.2-----192.168.2.3
"Подключаться" означает что в поле "server" я указывал имя snwN.xx.ru. Подключение к остальным серверам в дереве (как я понимаю) происходит в процессе выполнения скрипта контейнира при первом обращении к ресурсу (подключении тома) соотв. сервера.

[Вячеслав Якименко]

Далее...
4.
для записи SLP service:nwserver_novell:___SNW2 значение "SLP Attribute":
(SCOPE=DEFAULT),(nw_name=SNW2),(slp_version=v2.08.0),(bindery=TRUE),(ip_addr=192.168.2.2,192.168.1.2),(da=192.168.2.3),(nds_context=.SNW2.BBOARD.BBOARD.)

для записи SLP service:nwserver_novell:___SNW3 значение "SLP Attribute":
(SCOPE=DEFAULT),(nw_name=SNW3),(slp_version=v2.13.0),(bindery=TRUE),(ip_addr=192.168.2.3,192.168.1.3),(da=SLP LOOPBACK),(nds_context=.SNW3.BBOARD.BBOARD.)
пробовал менять значение через С1: скажем "ip_addr=192.168.2.3", оно вроде меняется, но через какое-то время оно возвращается в исх. значение. Опять же на IP сервера при подключении это не влияет.

5. По поводу клиентов - все что приведено выше пробовалось на 4.91.3, пробовал еще ставить 4.90.1, 4.83.1 - изменений не заметил.
IP коннекта к серверу смотрел в Novell Conections + сниффером хождение пакетов при обращении к серверу.

Итог:
1. На выбор IP-адреса при подключении, DNS либо не влияет вообще, либо в списке источников имен что-то имеет более высокий приоритет над ним.
2. Подключение к первичному серверу осуществляется в соотв. с указанным IP(DNS именем).
3. При подключении к остальным серверам, информацию по IP скорее всего выдает примари сервер (не уверен, но тогда почему такие результаты?).

Вопросы:
1. Как и где определяется порядок опроса источников разрешения имени клиентом NW при обращении в сеть (в "Protocol preferences" можно только выбрать источники, да и то как-то сомнительно, что это действительно работает...)
2. Может есть возможность при подключении в скрипте указать IP-адреса сервера (через DNS-имена)?

[Иван Левшин aka Ivan L.]

Вячеслав, давай попробуем так - сделай отдельный view для второй сетки и попробуй. ИМХО должно все сработать как надо. SLP - он не обеспечивает собственно разрешения имен, его задача - ускорять работу сервисов. Т.е. для начала - DNS, потом все остальное.

[Андрей Старков]

Иван Левшин aka Ivan L. невозможно обидеть старого ворчуна поэтому поворчу еще немного
когда я говорю что проще посмотреть nwadmin'ом - это ознячает только одно мое сугубое ИМХО что это лучше смотрится nwadmin'ом - мне больше нравится как там выглядит я и советую. я же не призываю создавать и править объекты в дереве им, а смотрится и на 6.5 прекраснейше!