9
DHCP-Server im AD ohne Autorisierung starten
Hallo zusammen,
ich habe eine kleine Frage. Bei uns im Haus soll es neue digitale Türschilder geben. Die werden per WLAN an einen Server angebunden und darüber konfiguriert.
Also habe ich ein neues WLAN inkl. VLAN angelegt etc. Im Anschluss einen neuen Windows Server installiert mit zwei Netzwerkkarten. Die eine Netzwerkkarte im Server-VLAN, die andere in dem neuen wo auch die Türschilder via WLAN drin landen.
Nun war meine Idee einfach auf dem neuen Windows Server einen DHCP-Server laufen zu lassen, der nur auf der zweiten Netzwerkkarten IP-Adressen verteilt. Bis hierhin gabs erstmal kein Problem.
Dadurch das der Server aber über das Server-VLAN im AD ist, konnte ich den DHCP-Server nicht starten. Dieser möchte sich auf jeden Fall im AD autorisieren. Das möchte ich aber nicht, da der mit unserem restlichen Netzwerk nichts zu tun hat und ich den nur für die Türschilder brauche, damit diese mit ihrem Server sprechen können.
Ich konnte das Problem bereits lösen, indem ich in der Registry folgenden DWORD angelegt und auf 1 gesetzt habe:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters
\DisableRogueDetection
Kennt jemand hier einen sauberen Weg, ohne irgendwelches gepfusche in der Registry? Oder ist das die einzige Möglichkeit?
Danke im Voraus!
PMacke
ich habe eine kleine Frage. Bei uns im Haus soll es neue digitale Türschilder geben. Die werden per WLAN an einen Server angebunden und darüber konfiguriert.
Also habe ich ein neues WLAN inkl. VLAN angelegt etc. Im Anschluss einen neuen Windows Server installiert mit zwei Netzwerkkarten. Die eine Netzwerkkarte im Server-VLAN, die andere in dem neuen wo auch die Türschilder via WLAN drin landen.
Nun war meine Idee einfach auf dem neuen Windows Server einen DHCP-Server laufen zu lassen, der nur auf der zweiten Netzwerkkarten IP-Adressen verteilt. Bis hierhin gabs erstmal kein Problem.
Dadurch das der Server aber über das Server-VLAN im AD ist, konnte ich den DHCP-Server nicht starten. Dieser möchte sich auf jeden Fall im AD autorisieren. Das möchte ich aber nicht, da der mit unserem restlichen Netzwerk nichts zu tun hat und ich den nur für die Türschilder brauche, damit diese mit ihrem Server sprechen können.
Ich konnte das Problem bereits lösen, indem ich in der Registry folgenden DWORD angelegt und auf 1 gesetzt habe:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters
\DisableRogueDetection
Kennt jemand hier einen sauberen Weg, ohne irgendwelches gepfusche in der Registry? Oder ist das die einzige Möglichkeit?
Danke im Voraus!
PMacke
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 82549317478
Url: https://administrator.de/contentid/82549317478
Ausgedruckt am: 25.11.2024 um 16:11 Uhr
9 Kommentare
Neuester Kommentar
Moin, Wie sieht denn eure DHCP Lösung aus?
Warum soll der bestehende DHCP Server die Nummer nicht überhemen? Ich würde auch gar nicht mehrere Instanzen betreiben wollen eine mit DHCP Helper reicht völlig.
Der DHCP steht im besten Fall auch in keine Client Netz.
Gruß
Spirit
Warum soll der bestehende DHCP Server die Nummer nicht überhemen? Ich würde auch gar nicht mehrere Instanzen betreiben wollen eine mit DHCP Helper reicht völlig.
Der DHCP steht im besten Fall auch in keine Client Netz.
Gruß
Spirit
Moin,
dir ist klar, dass du Geräte CALs für die digitalen Türschilder brauchst, wenn du das mit einem DHCP auf Windows Basis machst?
Gruß
Jasper
dir ist klar, dass du Geräte CALs für die digitalen Türschilder brauchst, wenn du das mit einem DHCP auf Windows Basis machst?
Gruß
Jasper
Zitat von @JasperBeardley:
Moin,
dir ist klar, dass du Geräte CALs für die digitalen Türschilder brauchst, wenn du das mit einem DHCP auf Windows Basis machst?
Gruß
Jasper
Moin,
dir ist klar, dass du Geräte CALs für die digitalen Türschilder brauchst, wenn du das mit einem DHCP auf Windows Basis machst?
Gruß
Jasper
Das beantwortet jetzt genau wie seine Frage? Hat genau was mit der Frage zu tun?
@PMacke, wenn du uns nun noch verrätst was du für Hardware da im Einsatz hast ... AP?
Grüße
Zitat von @Spirit-of-Eli:
Moin, Wie sieht denn eure DHCP Lösung aus?
Warum soll der bestehende DHCP Server die Nummer nicht überhemen? Ich würde auch gar nicht mehrere Instanzen betreiben wollen eine mit DHCP Helper reicht völlig.
Der DHCP steht im besten Fall auch in keine Client Netz.
Gruß
Spirit
Moin, Wie sieht denn eure DHCP Lösung aus?
Warum soll der bestehende DHCP Server die Nummer nicht überhemen? Ich würde auch gar nicht mehrere Instanzen betreiben wollen eine mit DHCP Helper reicht völlig.
Der DHCP steht im besten Fall auch in keine Client Netz.
Gruß
Spirit
Moin,
Im Normalfall sieht es so aus:
Firewall steht in jedem VLAN als Default-Gateway und arbeitet als DHCP-Relay zu unserem zentralen DHCP-Server. Meine Idee war es alles so einfach wie möglich zu halten und ich dachte so ist es am sichersten. So stehen in dem Netz halt nur der eine Server und die Schilder.
Gruß,
PMacke
Zitat von @Xaero1982:
Das beantwortet jetzt genau wie seine Frage? Hat genau was mit der Frage zu tun?
@PMacke, wenn du uns nun noch verrätst was du für Hardware da im Einsatz hast ... AP?
Grüße
Zitat von @JasperBeardley:
Moin,
dir ist klar, dass du Geräte CALs für die digitalen Türschilder brauchst, wenn du das mit einem DHCP auf Windows Basis machst?
Gruß
Jasper
Moin,
dir ist klar, dass du Geräte CALs für die digitalen Türschilder brauchst, wenn du das mit einem DHCP auf Windows Basis machst?
Gruß
Jasper
Das beantwortet jetzt genau wie seine Frage? Hat genau was mit der Frage zu tun?
@PMacke, wenn du uns nun noch verrätst was du für Hardware da im Einsatz hast ... AP?
Grüße
Moin,
HPE Aruba mit Mobility Conductor. Clearpass dann noch als RADIUS-Server.
Gruß,
PMacke
Zitat von @JasperBeardley:
Moin,
dir ist klar, dass du Geräte CALs für die digitalen Türschilder brauchst, wenn du das mit einem DHCP auf Windows Basis machst?
Gruß
Jasper
Moin,
dir ist klar, dass du Geräte CALs für die digitalen Türschilder brauchst, wenn du das mit einem DHCP auf Windows Basis machst?
Gruß
Jasper
Moin,
Ist das so? Kenne mich mit der Microsoft Lizenzierung nicht wirklich aus. Hat das dann was mit dem Windows DHCP-Server speziell zu tun? Weil den Windows Server brauche ich ja für die Verwaltungssoftware von den Schildern sowieso.
Gruß,
PMacke
Zitat von @PMacke:
Moin,
Im Normalfall sieht es so aus:
Firewall steht in jedem VLAN als Default-Gateway und arbeitet als DHCP-Relay zu unserem zentralen DHCP-Server. Meine Idee war es alles so einfach wie möglich zu halten und ich dachte so ist es am sichersten. So stehen in dem Netz halt nur der eine Server und die Schilder.
Gruß,
PMacke
Zitat von @Spirit-of-Eli:
Moin, Wie sieht denn eure DHCP Lösung aus?
Warum soll der bestehende DHCP Server die Nummer nicht überhemen? Ich würde auch gar nicht mehrere Instanzen betreiben wollen eine mit DHCP Helper reicht völlig.
Der DHCP steht im besten Fall auch in keine Client Netz.
Gruß
Spirit
Moin, Wie sieht denn eure DHCP Lösung aus?
Warum soll der bestehende DHCP Server die Nummer nicht überhemen? Ich würde auch gar nicht mehrere Instanzen betreiben wollen eine mit DHCP Helper reicht völlig.
Der DHCP steht im besten Fall auch in keine Client Netz.
Gruß
Spirit
Moin,
Im Normalfall sieht es so aus:
Firewall steht in jedem VLAN als Default-Gateway und arbeitet als DHCP-Relay zu unserem zentralen DHCP-Server. Meine Idee war es alles so einfach wie möglich zu halten und ich dachte so ist es am sichersten. So stehen in dem Netz halt nur der eine Server und die Schilder.
Gruß,
PMacke
Am besten ist du bleibst bei deinem bisherigen Konstrukt. Auch jetzt für die Türschilder.
1
Moin,
Nur, wenn er nicht all seine User per User Cal lizenziert hat.
Entweder wie @Spirit-of-Eli sagte genau so für die Türschilder umsetzen oder die Firewall in dem VLAN DHCP spielen lassen.
Gruß,
Avoton
dir ist klar, dass du Geräte CALs für die digitalen Türschilder brauchst, wenn du das mit einem DHCP auf Windows Basis machst?
Nur, wenn er nicht all seine User per User Cal lizenziert hat.
Im Normalfall sieht es so aus:
Firewall steht in jedem VLAN als Default-Gateway und arbeitet als DHCP-Relay zu unserem zentralen DHCP-Server. Meine Idee war es alles so einfach wie möglich zu halten und ich dachte so ist es am sichersten. So stehen in dem Netz halt nur der eine Server und die Schilder.
Firewall steht in jedem VLAN als Default-Gateway und arbeitet als DHCP-Relay zu unserem zentralen DHCP-Server. Meine Idee war es alles so einfach wie möglich zu halten und ich dachte so ist es am sichersten. So stehen in dem Netz halt nur der eine Server und die Schilder.
Entweder wie @Spirit-of-Eli sagte genau so für die Türschilder umsetzen oder die Firewall in dem VLAN DHCP spielen lassen.
Gruß,
Avoton
Zitat von @Avoton:
Moin,
Nur, wenn er nicht all seine User per User Cal lizenziert hat.
Entweder wie @Spirit-of-Eli sagte genau so für die Türschilder umsetzen oder die Firewall in dem VLAN DHCP spielen lassen.
Gruß,
Avoton
Moin,
dir ist klar, dass du Geräte CALs für die digitalen Türschilder brauchst, wenn du das mit einem DHCP auf Windows Basis machst?
Nur, wenn er nicht all seine User per User Cal lizenziert hat.
Im Normalfall sieht es so aus:
Firewall steht in jedem VLAN als Default-Gateway und arbeitet als DHCP-Relay zu unserem zentralen DHCP-Server. Meine Idee war es alles so einfach wie möglich zu halten und ich dachte so ist es am sichersten. So stehen in dem Netz halt nur der eine Server und die Schilder.
Firewall steht in jedem VLAN als Default-Gateway und arbeitet als DHCP-Relay zu unserem zentralen DHCP-Server. Meine Idee war es alles so einfach wie möglich zu halten und ich dachte so ist es am sichersten. So stehen in dem Netz halt nur der eine Server und die Schilder.
Entweder wie @Spirit-of-Eli sagte genau so für die Türschilder umsetzen oder die Firewall in dem VLAN DHCP spielen lassen.
Gruß,
Avoton
Moin,
danke für die Antwort.
1. Ich finde das Thema mit den Cals gerade echt interessant. Habe ich gar nicht drüber nach gedacht. Ich glaube wir haben User-Cals mit SA, muss ich aber morgen nochmal nachfragen. Sollten wir keine User Cals sondern Device Cals haben, müssten wir für jedes Türschild mit einer Device Cals kaufen? Ausnahmen für IoT Geräte gibt's für Microsoft wahrscheinlich nicht. Aber ob der Server jetzt noch DHCP macht oder nicht, ist doch für die Lizenzierung unerheblich oder?
2. Wo genau liegt mein Denkfehler? Ich meine ich könnte jetzt noch die Firewall mit in das Netz hängen und entweder DHCP von dort aus machen oder per Relay auf unseren "normalen" verweisen. Ist meine Vorgehensweise so sehr falsch? Ich habe nun per Layer 2 (VLAN) die Türschilder mit dem Server verbunden? Da bringt mir auch meine Firewall nichts an zusätzlicher Sicherheit.
