gelöst DHCP Superscope

Mitglied: BPeter

BPeter (Level 1) - Jetzt verbinden

13.02.2019, aktualisiert 15:47 Uhr, 2776 Aufrufe, 7 Kommentare

Hallo,
ich habe bei uns in einem Außenbüro einen DHCP Superscope erstellt mit 2 verschiedenen Netzen (192.168.x.x und 10.150.x.x). Zum Test habe ich den Adress-Pool für eine IP-Adresse gesetzt. Solange ich keine Reservierung setze, wird die eine IP auch nicht vergeben. Setze ich eine Reservierung, funktioniert es. Deaktiviere ich eine Scope, funktioniert es auch ohne Reservierung.
Hat jemand eine Idee?

OS Windows Server 2012R2

Gruß
Peter
Mitglied: GrueneSosseMitSpeck
13.02.2019, aktualisiert um 22:16 Uhr
Was für einen Unsinn willst du denn damit treiben? Da hast du das Prinzip vom DCHP nicht verstanden. Soll allen Ernstes ein Endgerät zufällig mal eine 10.150.x.x und dann vielleicht später eine 192.168.x.x Addresse kriegen? Also nee, ist kein Wunder daß das dann nur ncoh über eine MAC-basierende manuelle Zuweisung geht. Da sich 10.150 und 192.168 mit keiner Netzmaske außer 212.190.0.0 überlappen würden,... 11001010.10111110

Netzmasken wie diese sind schon mal was um seinen eigenen Job zu sichern, oder um den Nachfolger in den Wahnsinn zu treiben. Ich erinnere mich mal an so ein Rechenbeispiel aus einer Grundlagenschulung so 35 Jahre früher als TCP-IP V4 so langsam mal anfing, das IPX SPX von Novell zu verdrängen.

1 Scope ist ok, 2 Scopes im selben Netzsegment aber vollkommen unterschiedlichen IP-Bereichen sind böse, das ist ein Wunder daß der MS DHCP SErver das überhaupt zuläßt. Vermutlich nur deshalb weil man vielleicht zwei Scopes erzeugen will die innerhalb DERSELBEN Netzmaske liegen. Weil man vielleicht nur einen Teil der in einem Class B möglichen Addressen auch tatsächlcih per DHCP vergeben möchte.

Aber eigentlich ist das totaler Unsinn. Das ist ganz so als ob ein Client per Zufall 2 DHCP Server erreichen könnte... da ist Chaos garantiert. Denk mal dran daß beide IP Ranges ja auch routbar sein müssen, bei einer /16 Netzmaske geh ich mal davon aus daß es eine größere Anzahl von Endgeräten geben wird.

Normalerweise sorgt man dafür daß über einen physischen Verbreitungsweg auch nur ein einziger DHCP Server erreicht wird... z.B. einen im WLan Hotspot und einen fürs LAN. Und man sorgt normalerweise mit einer Firewall dafür daß der DHCP Broadcast in einem Netzsegment isoliert wird.
Bitte warten ..
Mitglied: tikayevent
13.02.2019 um 22:30 Uhr
Ein SuperScope ist dafür da, um IP-Adressen unabhängig von dem Subnetz bzw. bestimmten Relayagent-Informationen zu verteilen. Das wird dafür benutzt, wenn man die sehr unschöne Variante laufen hat, in der in einer Broadcast-Domäne zwei verschiedene IP-Subnetze verwendet werden. Damit erhält der Client immer unabhängig davon, über welches Subnetz die DHCP-Anfrage hereinkommt, immer die Zuweisung auf dem Subnetz, in dem der Client zuletzt eine Zuweisung hatte, solange diese noch gültig ist.

SuperScopes dienen NICHT als Ordner, um sich die DHCP-Bereiche schön anzeigen zu lassen.

SuperScope auflösen und laufen lassen!
Bitte warten ..
Mitglied: em-pie
14.02.2019 um 09:34 Uhr
Moin,


Zitat von tikayevent:

Ein SuperScope ist dafür da, um IP-Adressen unabhängig von dem Subnetz bzw. bestimmten Relayagent-Informationen zu verteilen. Das wird dafür benutzt, wenn man die sehr unschöne Variante laufen hat, in der in einer Broadcast-Domäne zwei verschiedene IP-Subnetze verwendet werden. Damit erhält der Client immer unabhängig davon, über welches Subnetz die DHCP-Anfrage hereinkommt, immer die Zuweisung auf dem Subnetz, in dem der Client zuletzt eine Zuweisung hatte, solange diese noch gültig ist.

SuperScopes dienen NICHT als Ordner, um sich die DHCP-Bereiche schön anzeigen zu lassen.

SuperScope auflösen und laufen lassen!

Dem kann ich nur zustimmen (aufgrund eigener "schmerzlicher" Erfahrungen).

Vergiss die Superscopes.
Wir wollten es auch der übersichtlichkeit wegen einsetzen, stellten aber irgendwann fest, dass wenn ein Client das VLAN (und damit das Subnetz) wechselt, erhält er trotzdem eine IP aus dem alten Subnetz. Warum? Die MAC/ Reservierung der MAC ist ja in dem Superscope noch enthalten und daher hat der Client die selbe, aber nicht zum Subnetzpassende IP erhalten.

Schaue dir das hier einmal an:
https://www.tecchannel.de/a/netzwerkpraxis-dhcp-server-in-windows-server ...
https://msdn.microsoft.com/en-us/library/dd891486.aspx

Mein Fazit:
Eine wirklich sinnvolle Verwendung von Scopes ist mir nicht eingefallen...

Gruß
em-pie
Bitte warten ..
Mitglied: BPeter
14.02.2019, aktualisiert um 09:48 Uhr
Zitat von GrueneSosseMitSpeck:

Was für einen Unsinn willst du denn damit treiben? Da hast du das Prinzip vom DCHP nicht verstanden. Soll allen Ernstes ein Endgerät zufällig mal eine 10.150.x.x und dann vielleicht später eine 192.168.x.x Addresse kriegen? Also nee, ist kein Wunder daß das dann nur ncoh über eine MAC-basierende manuelle Zuweisung geht. Da sich 10.150 und 192.168 mit keiner Netzmaske außer 212.190.0.0 überlappen würden,... 11001010.10111110

Netzmasken wie diese sind schon mal was um seinen eigenen Job zu sichern, oder um den Nachfolger in den Wahnsinn zu treiben. Ich erinnere mich mal an so ein Rechenbeispiel aus einer Grundlagenschulung so 35 Jahre früher als TCP-IP V4 so langsam mal anfing, das IPX SPX von Novell zu verdrängen.

1 Scope ist ok, 2 Scopes im selben Netzsegment aber vollkommen unterschiedlichen IP-Bereichen sind böse, das ist ein Wunder daß der MS DHCP SErver das überhaupt zuläßt. Vermutlich nur deshalb weil man vielleicht zwei Scopes erzeugen will die innerhalb DERSELBEN Netzmaske liegen. Weil man vielleicht nur einen Teil der in einem Class B möglichen Addressen auch tatsächlcih per DHCP vergeben möchte.

Aber eigentlich ist das totaler Unsinn. Das ist ganz so als ob ein Client per Zufall 2 DHCP Server erreichen könnte... da ist Chaos garantiert. Denk mal dran daß beide IP Ranges ja auch routbar sein müssen, bei einer /16 Netzmaske geh ich mal davon aus daß es eine größere Anzahl von Endgeräten geben wird.

Normalerweise sorgt man dafür daß über einen physischen Verbreitungsweg auch nur ein einziger DHCP Server erreicht wird... z.B. einen im WLan Hotspot und einen fürs LAN. Und man sorgt normalerweise mit einer Firewall dafür daß der DHCP Broadcast in einem Netzsegment isoliert wird.


Das Problem ist, dass der 192.168.x.x/24 Bereich voll ist. Parallel haben wir einen 10.150.x.x/22 erstellt, der auch geroutet wird. Jetzt will ich die Clients langsam von einem Netz ins andere ziehen. Dafür habe ich DHCP-Policies (Vendor Class und MAC basiert) erstellt. Leider ist das den Clients egal. Dass die Clients ohne Policy oder Reservierung sich das richtige Netz nehmen sollen, ist eigentlich einleuchtend.
Nur warum die Policy nicht funktioniert, leuchtet mir nicht ein. Die Policy habe ich von einem anderen Büro kopiert, wo wir die gleichen EInstellungen haben. Eine Policy mit definierter MAC-Adresse hat auch nicht funktioniert.
Bitte warten ..
Mitglied: em-pie
14.02.2019 um 11:36 Uhr
Zitat von BPeter:
Das Problem ist, dass der 192.168.x.x/24 Bereich voll ist.
Dann erstelle ein 192.168.y.x/ 24er Bereich
>Parallel haben wir einen 10.150.x.x/22 erstellt, der auch geroutet wird.
Keine gute Idee, ein /22er Netz zu verwenden.
Beschäftigt euch mit VLANs und lasst mehrere 10.150.x.0/ 24er Netze parellel, aber in verschiedenen VLANs laufen.
Das ist die deutlich sauberere Variante, da so nicht nur die IP-Netze getrennt sind, sondern auch die L2-Domain, also alles, was sich auf MAC-Adress-Ebene abspielt. das ist dann so, als würdest du z.B. das Netz 192.168.x.x/0 über Switch 1 verkabeln und das 10.150.x.0/ 24er Netz über Switch zwei, ohne dass beide Switche direkt miteinander verbunden sind.

Denn somit kannst du z.B. Server und Clients trennen. Mit deinem jetzigen Konstrukt, kann ein Client auf Layer2-Ebene immer noch mit den Server sprechen, selbst wenn du in einer Firewall eine Regel hast, die es untersagt, dass das 192.168.x.y-Netz mit 10.150.x.y/22-Sprechen darf. Warum? weil beide Endgeräte immernoch in der selben Braodcastdomain "hocken"!

Lies dich mal am besten durch @aqui s hervorragenden Thread durch:
https://administrator.de/contentid/110259
Bitte warten ..
Mitglied: BPeter
15.02.2019 um 08:50 Uhr
Vlan's sind bei uns "noch" nicht gewünscht. Bitte nicht diskutieren warum.

Ob Superscope oder einzelne Scopes, das Verhalten ist das gleiche. Anbei ein Bild der Situation. Ich hatte gehofft, dass ich durch Policies die verschiedenen Geräte in verschiedene Ranges bekommen kann. In anderen Büros funktioniert dies.
dhcp - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: BPeter
18.02.2019 um 15:10 Uhr
Nachdem ich den DHCP-Server in die neue Range genommen habe, funktioniert alles. bin mal auf das nächste Büro gespannt.

Danke für eure Hilfe
Bitte warten ..
Heiß diskutierte Inhalte
Router & Routing
Cisco RIPv1 RIPv2
MrLabelFrageRouter & Routing26 Kommentare

Hallo Zusammen, ich muss nochmal auf eine schon behandelte Frage eingehen. Bitte jemand, der auch den Cisco Paket Tracer ...

Schulung & Training
IT Ausbildung
gelöst IntershipFrageSchulung & Training20 Kommentare

Hallo Leute, ist diese Ausbildung etwas für den IT-Einstig? Willkommen bei der GFN! Arbeitsuchende Berufstätige Kostenträger Über uns Jobs ...

LAN, WAN, Wireless
RJ45 Buchsen Verbindung
gelöst DennisAdm1nFrageLAN, WAN, Wireless14 Kommentare

Ich habe als Aufgabe bekommen die LAN-Verbindung in einem Haus zu fixen, dabei ist mir aufgefallen, dass der RJ45-Stecker ...

Server-Hardware
SFP(+) Schnittstellenkarte für Dell R230 mit OPNsense
MegaGigaFrageServer-Hardware12 Kommentare

Hallo Zusammen Bei uns wird es bald FTTH geben. Nun möchte ich direkt von der OTO an meine OPNsense ...

LAN, WAN, Wireless
Suche Access Point Wandhalterung
gelöst EZimmerFrageLAN, WAN, Wireless11 Kommentare

Einen schöne guten Tag, wir haben uns bei einer Ausschreibung beteiligt und sind nun auch der Suche nach folgendem ...

Windows 10
Windows10 Hilfsprogramme endgültig löschen
istike2FrageWindows 109 Kommentare

Hallo, wir sind gerade dabei mit Windows OOBE ein Image vorzubereiten. Wir würden gerne Xbox, HP Hilfsprogramme, Cortana usw. ...

Ähnliche Inhalte
Windows Netzwerk
Einrichtung DHCP
gelöst halingtonFrageWindows Netzwerk6 Kommentare

Hallo zusamen, ich hätte mal gerne eure Meinung zum Aufbau von DHCP (hier am Beispiel eines Server 2012 R2). ...

Windows Server
Netzwerkinfrastruktur (DHCP)
Cyrus1980FrageWindows Server18 Kommentare

Guten Abend, ich habe eine Frage die ich nicht beantworten kann: Frage) Sie betreuen als Netzwerkadministrator mehrere Windows-2016-Server. Sollen ...

Windows Server
DHCP servername
gelöst KlausiMausFrageWindows Server12 Kommentare

Hallo, mein DHCP hat eine IP-Adresse als Namen? Diese Adresse gibt es in meinem Netzwerk gar nicht. Wie kommt ...

Windows Server
DHCP Namensschutz
gelöst VerwirrterUserFrageWindows Server10 Kommentare

Hallo Zusammen, meine Frage bezieht sich auf den Windows DHCP Namensschutz. Also was genau macht er in der Praxis? ...

Windows Netzwerk

DHCP Server und DHCP Relay Konfiguration - Grundlagen

gelöst Andreas377FrageWindows Netzwerk14 Kommentare

Guten Tag, Ich bekomme aus dem Subnetz keine IP Adresse vom DHCP Server. Bin durch die lange Fehlersuche nun ...

Netzwerkmanagement

DHCP Bereiche aufteilen

gelöst Ex0r2k16FrageNetzwerkmanagement12 Kommentare

Hallo zusammen, im Zuge eines Infrastruktur Umbaus würde ich gerne einem Standort vernünftiges, verwaltetes DHCP beibringen. Da ich 2 ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT