rocksau
Goto Top

Änderung Subnetzmaske in Windows Server 2012

Unser Netzwerk ist derzeit etwas unübersichtlich. Um es besser pflegen zu können, möchte ich die IP-Adressen nach bestimmten Regeln verteilen. Erstes Oktett für alle gleich, zweites Oktett je nach Gruppenzugehörigkeit, drittes Oktett die Gerätetypen und das vierte Oktett dann für die Clients. Der DHCP soll neuen Clients erstmal eine Adresse zuweisen, der Lease soll dann zur Reservierung mit der richtigen Adresse geändert werden.
Gruppe A hat die 172.21.X.Y mit der Subnetzmaske 255.255.248.0, der DHCP verteilt im Bereich 172.21.6.X.
Gruppe B hat die 172.25.X.Y mit der Subnetzmaske 255.255.0.0. Clients aus Gruppe B kommen auf Rechner der Gruppe A, andersherum gibt es nur Probleme. Da die 172.25.X.Y außerhalb des Bereichs der Subnetzmaske 255.255.248.0 liegt, scheint das die naheliegende Ursache zu sein.
Also habe ich die Konfig des DHCP-Server via Powershell gezogen, Subnetzmaske geändert und die Konfig zurückgespielt.
Gut war: Die Clients der Gruppe A haben die korrekte Adresse und Subnetzmaske vom DHCP erhalten.
Schlecht war: Die Clients kamen danach weder ins interne Netz noch ins Internet.

Die "enge" Subnetzmaske ist jetzt noch in der Firewall und an den Netzwerkschnittstellen der Server eingestellt. Als ich einen Server nach dem anderen (beginnend beim DC) umstellen wollte, habe ich die Verbindung zu ihnen auch verloren. Wo muss die Subnetzmaske überall abgeändert werden? Oder liegt die Ursache an anderer Stelle?

Content-ID: 1012675446

Url: https://administrator.de/contentid/1012675446

Ausgedruckt am: 24.11.2024 um 17:11 Uhr

Epigenese
Epigenese 15.07.2021 aktualisiert um 18:20:00 Uhr
Goto Top
Hallo Rocksau,

kannst du bitte die fehlenden Gruppen ergänzen.

Zitat von @Rocksau:
Gruppe hat die 172.21.X.Y mit der Subnetzmaske 255.255.248.0, der DHCP verteilt im Bereich 172.21.6.X.
Gruppe hat die 172.25.X.Y mit der Subnetzmaske 255.255.0.0. Clients aus Gruppe B kommen auf rechner der Gruppe A, .....

Hier hast du wohl die Zuordnung A und B vergessen oder?
Kannst du auch ein Netzwerkplan hinzufügen, mit Router und Routereinstellungen?
Wenn ich es richtig verstehe ist ja der DHCP im Server.
Auch da wäre nicht schlecht, wenn das in einem Netzwerkplan ersichtlich wäre.

Als ich einen Server nach dem anderen (beginnend beim DC) umstellen wollte, habe ich die Verbindung zu ihnen auch verloren.
Wo muss die Subnetzmaske überall abgeändert werden? Oder liegt die Ursache an anderer Stelle?

Wäre interessant zu wissen was du umgestellt hast.
Wenn ich einem Client in einem /24er Netz eine Subnetzmaske gebe mit /30, dann funktioniert er trotzdem.
Also auch wenn ich das im laufenden Betrieb umstelle.
Wireguard z.B. setzt im VPN Netz die Clienten mit /32.

Beim DHCP und Router sieht das natürlich anders aus, wenn diese Parameter verändert werden.
Auch wenn sich durch die Einstellungen die Broadcast IP verändert, usw.

Ich vermute mal vorsichtig, dass da etwas anderes im argen liegt.
Deshalb wären ein paar Information mehr, nicht schlecht.

Grüße
Epi
Fabezz
Fabezz 15.07.2021 um 18:16:54 Uhr
Goto Top
Hi,
wäre es nicht sinniger deinen Ansatz nochmal komplett zu überdenken?
Wenn du hier von übersichtlicher sprichst gehen wir Mal davon aus dass dein Netzwerk ein wenig größer ist.

Bitte prüfe Mal ob deine Netzwerkkomponenten nicht vielleicht schon VLAN fähig sind.
Dann kannst du die Anleitungen von @aqui Mal sichten und verstehen.
Höhere Sicherheit usw.

Gruß
Vision2015
Vision2015 15.07.2021 um 20:04:26 Uhr
Goto Top
moin...

Unser Netzwerk ist derzeit etwas unübersichtlich. Um es besser pflegen zu können, möchte ich die IP-Adressen nach bestimmten Regeln verteilen. Erstes Oktett für alle gleich, zweites Oktett je nach Gruppenzugehörigkeit, drittes Oktett die Gerätetypen und das vierte Oktett dann für die Clients.

was du da vorhast, ist Blödsinn!
nutze Vlans und gut ist....

Frank
126231
126231 15.07.2021 um 20:18:32 Uhr
Goto Top
Servus!
Du hast einen Vollkommen falschen Ansatz!
Wer hat dir denn den Floh in's Ohr gesetzt?

Segmentierung macht Sinn und ist auch wichtig, jedoch hier mit überlappenden Subnetzen zu arbeiten ist keine gute Idee!

Überleg mal:
Wann kommt das Routing in's Spiel -> immer wenn eine Resource außerhalb des eigenen Neztwerkranges angefragt/ beantwortet wird!
D.h. die kleinen Netzwerke wollen - wenn sie ins große (überlappende) Segment fragen IMMER über den Router gehen...
Die großen Netze interessiert der Router gar nicht wenn sie in das kleine (überlappende) Netzwerk wollen.

Asymmetric Routing nennt man so was - keine gute Idee!

Gruß
Luigi
Benandi
Benandi 15.07.2021 um 21:18:07 Uhr
Goto Top
Auch ohne Gruß,

wie auch immer die Ausgangslage ausgesehen haben mag, so halte ich wie @Fabezz und @Vision2015 die Herangehensweise für nicht optimal. Wobei man fairerweise hinzufügen muss, dass auch bei Einsatz bzw. Einführung von VLANs höchstwahrscheinlich eine Neuadressierung ansteht.

Wie @Epigenese schon richtig sagte: wir haben absolut keine Ahnung, wie dein Netz aussieht (Design, Hardware, usw.).
Bei einem bin ich mir aber sicher: in dem Netz gibt es mehr als nur den DHCP-Server, den du berücksichtigen solltest. Darunter fallen beispielsweise Firewallregeln, Routing, ggf. VPN-Anbindung, bei aktivem Einsatz eines Active Directory noch viel mehr und wenn dann noch Branchensoftware dazu kommt, kann die auch gerne zicken.
Aus deinem anderen Beitrag lässt sich schon mal ableiten, dass es eine "Zentrale" mit Firewall von Sophos und mindestens eine "Zweigstelle" gibt, welche aber wohl recht autonom zu sein scheint und denoch Ressourcen für die "Zentrale" bereit stellen soll.

Hast du für das Redesign des Netzwerks außer der konkreten Umstellung von IP-Adresse und Subnetzmaske noch etwas anderes verändert (z. B. Default Gateway, statische Routen, Routerinterfaces oder deren Konfiguration, VLAN-IDs, etc.)?

Auch ohne "tschüss" *winkerz*
Rocksau
Rocksau 20.07.2021 um 13:09:09 Uhr
Goto Top
Zitat von @Epigenese:

Hallo Rocksau,

kannst du bitte die fehlenden Gruppen ergänzen.

Zitat von @Rocksau:
Gruppe hat die 172.21.X.Y mit der Subnetzmaske 255.255.248.0, der DHCP verteilt im Bereich 172.21.6.X.
Gruppe hat die 172.25.X.Y mit der Subnetzmaske 255.255.0.0. Clients aus Gruppe B kommen auf rechner der Gruppe A, .....

Hier hast du wohl die Zuordnung A und B vergessen oder?
Ja, habe es korrigiert.

Kannst du auch ein Netzwerkplan hinzufügen, mit Router und Routereinstellungen?
Hab mal ein ganz grobes Schema angefügt. Die Clients erhalten ihre Einstellungen via DHCP, die Server haben statische IP.

Wenn ich es richtig verstehe ist ja der DHCP im Server.
Auch da wäre nicht schlecht, wenn das in einem Netzwerkplan ersichtlich wäre.
Sollte erkennbar sein, auch wenn es keine hohe Kunst ist.

Als ich einen Server nach dem anderen (beginnend beim DC) umstellen wollte, habe ich die Verbindung zu ihnen auch verloren.
Wo muss die Subnetzmaske überall abgeändert werden? Oder liegt die Ursache an anderer Stelle?

Wäre interessant zu wissen was du umgestellt hast.
Wenn ich einem Client in einem /24er Netz eine Subnetzmaske gebe mit /30, dann funktioniert er trotzdem.
Also auch wenn ich das im laufenden Betrieb umstelle.
Wireguard z.B. setzt im VPN Netz die Clienten mit /32.

Beim DHCP und Router sieht das natürlich anders aus, wenn diese Parameter verändert werden.
Auch wenn sich durch die Einstellungen die Broadcast IP verändert, usw.
Ich habe mir mit
Export-DhcpServer -ComputerName DHCP -Leases -File C:\dhcp.xml -Verbose -ScopeId 172.21.0.0
die aktuellen Parameter des DHCP gezogen und in der XML die Subnetzmaske von 255.255.248.0 auf 255.255.0.0 geändert. Außerdem habe ich die automatische Verteilung von 172.21.6.X auf 172.21.8.X angepasst. Danach die Konfiguration im DHCP gelöscht und mit
Import-DhcpServer -ComputerName DHCP -File C:\dhcpanders.xml -Verbose -ScopeId 172.21.0.0 -Lease -BackupPath E:\Backup
die neue Version eingespielt.
Die Clients haben auch die Adresse mit .8 bekommen und die Subnetzmaske wurde in ipconfig mit 255.255.0.0 angezeigt.

Ich vermute mal vorsichtig, dass da etwas anderes im argen liegt.
Deshalb wären ein paar Information mehr, nicht schlecht.

Grüße
Epi

Mit einer /21er Subnetzmaske hört der Hostbereich imho bei 172.21.7.254 auf.
schemalan
Rocksau
Rocksau 20.07.2021 um 13:55:51 Uhr
Goto Top
Mahlzeit, (das Weglassen war nicht unhöflich gemeint, bin nur nicht so gut im Smalltalk)

hab jetzt einen Teil der Infos in eine Antwort gepackt. Bevor der Beitrag zum Roman wird, noch eine Antwort mit den weiteren Punkten:
VLAN ist momentan keine Option. Da wir Legacy Anwendungen und teils historische Geräte betreiben, kommt es zu diversen Problemen. VLAN werden hier derzeit nur in speziellen Anwendungsfällen eingesetzt.

Zitat von @Fabezz:
Wenn du hier von übersichtlicher sprichst gehen wir Mal davon aus dass dein Netzwerk ein wenig größer ist.

Naja, rund 100 Geräte, von denen einige statische Adressen haben, einige via DHCP die Adresse bekommen. Wenn ich dann im log lese, das der Client 172.21.4.34 irgendetwas anstellt, darf ich erstmal alle Geräte durchschauen, wer es ist. Mein Ansatz daher:
172.21.1.X für alle Server, 172.21.2.X für alle Drucker, 172.21.3.X für alle PC und so weiter. Die via DHCP vergebenen Adressen sollen dann via
Get-DhcpServerv4Lease -IPAddress 172.21.10.50 | Add-DhcpServerv4Reservation -IPAddress 172.21.3.101
in eine Reservierung geändert werden.

Danke schonmal für die bisherigen Antworten,

Schöne Grüße

Rocksau