13
DHCP - Vergabe von IP-Adressen nur an reservierte Clients
Hallo zusammen,
auf meiner Suche durchs Internet habe ich keine Antworten erhalten, was mich verwundert, denn ich könnte mir vorstellen, dass andere Admins ähnliche Fragen haben.
Also,
wir betreiben einen DHCP-Server unter Windows 2008 R2.
Ist es möglich, dass IP-Adressen nur an reservierte Clients verteilt werden und nicht-reservierte keine?
Freundliche Grüße
Alhambra
auf meiner Suche durchs Internet habe ich keine Antworten erhalten, was mich verwundert, denn ich könnte mir vorstellen, dass andere Admins ähnliche Fragen haben.
Also,
wir betreiben einen DHCP-Server unter Windows 2008 R2.
Ist es möglich, dass IP-Adressen nur an reservierte Clients verteilt werden und nicht-reservierte keine?
Freundliche Grüße
Alhambra
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 168551
Url: https://administrator.de/contentid/168551
Ausgedruckt am: 25.11.2024 um 19:11 Uhr
13 Kommentare
Neuester Kommentar
Moin Alhambra,
also entweder verstehe ich Deine Frage nicht oder Du hast Dich nie mit DHCP-Reservierung beschäftigt :-P
Du kannst doch beliebig Adressen reservieren, die immer wieder vergeben werden sollen? Ist jetzt nicht so, dass diese Funktion nicht dokumentiert oder eindeutig wäre?
Ansonsten, ganz von vorn:
http://lmgtfy.com/?q=server+2008+dhcp+reservierung
also entweder verstehe ich Deine Frage nicht oder Du hast Dich nie mit DHCP-Reservierung beschäftigt :-P
Du kannst doch beliebig Adressen reservieren, die immer wieder vergeben werden sollen? Ist jetzt nicht so, dass diese Funktion nicht dokumentiert oder eindeutig wäre?
Ansonsten, ganz von vorn:
http://lmgtfy.com/?q=server+2008+dhcp+reservierung
Du kannst unter Eigenschaften von "IPv4" in der Kategorie Filter eine "Liste Zulassen aktivieren" Option setzen
Vermutlich möchte er nicht das Gäste oder unauthorisierte Personen die sich ins Netz mit ihren Geräten einklinken eine IP Adresse vergeben bekommen.
Ist so oder so dilettantisch wenn dem so sein sollte, denn wenn derjenige einen Sniffer wie den Wireshark, MS NetMonitor oder nur ein simples tcpdump anschmeisst in dem Segment sieht er in 3 Sekunden was dort für IP Adressen verwendet werden. Dann vergibt er sich selber eine statische (oder wartet auf den DHCP im Netz) und ...et voila..schon ist er im Netz ! Das kann ja nun jeder Praktikant in 5 Minuten....
Andere Netzwerk Admins lösen sowas bekanntermaßen mit einer 802.1x Zugriffsauthentisierung am Netz !
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Ist so oder so dilettantisch wenn dem so sein sollte, denn wenn derjenige einen Sniffer wie den Wireshark, MS NetMonitor oder nur ein simples tcpdump anschmeisst in dem Segment sieht er in 3 Sekunden was dort für IP Adressen verwendet werden. Dann vergibt er sich selber eine statische (oder wartet auf den DHCP im Netz) und ...et voila..schon ist er im Netz ! Das kann ja nun jeder Praktikant in 5 Minuten....
Andere Netzwerk Admins lösen sowas bekanntermaßen mit einer 802.1x Zugriffsauthentisierung am Netz !
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Hallo,
@Coreknabe, ich glaube, du hast die Frage falsch verstanden. Ich verstehe das so, dass er DHCP nur für bestimmte Rechner verfügbar machen möchte.
Das sollte doch bei Server 2008 mit NAP möglich sein.
Siehe Link: DHCP-Server für NAP konfigurieren
Bei Server 2003 konnte das so gelöst werden:
Reservierungen festlegen, also MAC Adresse jedes einzelnen PC der DHCP Nutzen soll eingeben und zuzuweisende IP festlegen.
Danach im allgemeinen Adresspool nur eine IP Adresse definieren. Diese anschliessen in den Bereichsoptionen wieder sperren.
Rechner ohne Reservierung bekommen somit keine IP vom DHCP Server.
@Coreknabe, ich glaube, du hast die Frage falsch verstanden. Ich verstehe das so, dass er DHCP nur für bestimmte Rechner verfügbar machen möchte.
Das sollte doch bei Server 2008 mit NAP möglich sein.
Siehe Link: DHCP-Server für NAP konfigurieren
Bei Server 2003 konnte das so gelöst werden:
Reservierungen festlegen, also MAC Adresse jedes einzelnen PC der DHCP Nutzen soll eingeben und zuzuweisende IP festlegen.
Danach im allgemeinen Adresspool nur eine IP Adresse definieren. Diese anschliessen in den Bereichsoptionen wieder sperren.
Rechner ohne Reservierung bekommen somit keine IP vom DHCP Server.
Ganz einfach lass es über den internen Radius Server von Ms laufen Sprich Whitelist für Mac Adressen). Was Du dann noch machen kannst ist ein sogannantes GastLan einrichten zb das diese dann abgeschottet von den anderen Systemen ins Inet dürfen mit einer bestimmten Bandbreite. Alles eine Frage der Konfiguration. Solltest Du eventuell einen MCSE Schein haben mmhh lieber wieder abgeben 
.
beste Grüße
Sendmen
.beste Grüße
Sendmen
Man kann auch mit Kanonen auf Spatzen schießen ....
1) Scope erstellen
2) alle Adressen des Scopes von der Verteilung ausschließen
3) Reservierungen definieren
Damit erreichst Du, dass nur Clients, für die eine Reservierung eingerichtet wurde, eine IP-Konfig vom DHCP-Server bekommen.
Du erreichst damit NICHT, dass sich jemand mit einer manuellen Konfig ans Netz hängt. Dafür wären dann doch eine der o.g. "Kanonen" nötig.
1) Scope erstellen
2) alle Adressen des Scopes von der Verteilung ausschließen
3) Reservierungen definieren
Damit erreichst Du, dass nur Clients, für die eine Reservierung eingerichtet wurde, eine IP-Konfig vom DHCP-Server bekommen.
Du erreichst damit NICHT, dass sich jemand mit einer manuellen Konfig ans Netz hängt. Dafür wären dann doch eine der o.g. "Kanonen" nötig.
Hi
Muss den anderen Kollegen Recht geben, jeder der hier ein Zertifikat ordentlich gemacht, weis wie man unter Windows (MCSA or MCSE bzw MCITP ) oder Linux (LPIC2 ) ein DHCP Server konfiguriert wird.
Wenn Du noch mehr Sicherheit haben willst. Dann konfiguriere doch deine Layer2 Switche so, das an den Port nur diese spezielle MAC-Adresse ans Netz gehen darf, ansonsten schaltet sich der Port einfach auf aus usw...
Gruss
Holli
Muss den anderen Kollegen Recht geben, jeder der hier ein Zertifikat ordentlich gemacht, weis wie man unter Windows (MCSA or MCSE bzw MCITP ) oder Linux (LPIC2 ) ein DHCP Server konfiguriert wird.
Wenn Du noch mehr Sicherheit haben willst. Dann konfiguriere doch deine Layer2 Switche so, das an den Port nur diese spezielle MAC-Adresse ans Netz gehen darf, ansonsten schaltet sich der Port einfach auf aus usw...
Gruss
Holli
Überraschung: Dieser Thread ist wenig anspruchsvoll.
Hallo zusammen,
vielen Dank für Eure Antworten! Ich werde diverse Antworten mal genauer betrachten.
Nein, einen MSCE-Schein oder dergleichen habe ich nicht, ich wollte mir auch nur Input von anderen Admins holen, denn wie die verschiedenen Antworten es belegen, gibt es unterschiedliche Möglichkeiten, fremde PCs mehr oder weniger gut aus dem Netz fernzuhalten.
Unsere Switche haben diese Funktion leider nicht, das war auch mein erster Gedanke.
Nochmals besten Dank!
Alhambra
vielen Dank für Eure Antworten! Ich werde diverse Antworten mal genauer betrachten.
Nein, einen MSCE-Schein oder dergleichen habe ich nicht, ich wollte mir auch nur Input von anderen Admins holen, denn wie die verschiedenen Antworten es belegen, gibt es unterschiedliche Möglichkeiten, fremde PCs mehr oder weniger gut aus dem Netz fernzuhalten.
Unsere Switche haben diese Funktion leider nicht, das war auch mein erster Gedanke.
Nochmals besten Dank!
Alhambra
Fazit: Billigswitches rausschmeissen und ersetzen. Es gibt sehr preiswerte Consumer Switches, sog. "Web Smart Switches" auch von diversen Billigherstellern die diese Funktion problemlos supporten. Siehe o.a. Tutorial.
Damit hast du es dann wirklich wasserdicht und die paar Euro Mehrkosten sollten einem die eigene Sicherheit ja eigentlich wert sein, oder ? Man kann ja erstmal mit den am meisten gefährdeten Bereichen anfangen....
Damit hast du es dann wirklich wasserdicht und die paar Euro Mehrkosten sollten einem die eigene Sicherheit ja eigentlich wert sein, oder ? Man kann ja erstmal mit den am meisten gefährdeten Bereichen anfangen....
@Sendmen & holli.zimmi
Ich finds echt unterirdisch, dass einige immer so kontraproduktiv und eingebildet daher reden müssen...
oder statt nachzufragen antworten auf "vermutlich gemeinte fragen" geben...
1. wurde nicht gefragt, was er denn überhaupt erreichen will, stattdessen wurde gleich ´ne "Lösung", die man spontan für das beste hält, präsentiert
2. ist das doch total irrelevant wer welchen schein hat und wer nicht... und ´n mcse ist eh veraltet^^
emeriks und Superscharf haben als einzige lediglich in einfachen worten die frage beantwortet (die eigentlich ganz klar formuliert ist) und ende!!!
wenn einige so keine lust haben, oder sich nicht trauen fragen zu stellen, ist das doch kein wunder....
ich denke man sollte vorher überlegen ob man helfen oder posen will....und dann evtl. posten!
(sry wegen groß-/kleinschreibung, shift defekt
)
Ich finds echt unterirdisch, dass einige immer so kontraproduktiv und eingebildet daher reden müssen...
oder statt nachzufragen antworten auf "vermutlich gemeinte fragen" geben...
1. wurde nicht gefragt, was er denn überhaupt erreichen will, stattdessen wurde gleich ´ne "Lösung", die man spontan für das beste hält, präsentiert
2. ist das doch total irrelevant wer welchen schein hat und wer nicht... und ´n mcse ist eh veraltet^^
emeriks und Superscharf haben als einzige lediglich in einfachen worten die frage beantwortet (die eigentlich ganz klar formuliert ist) und ende!!!
wenn einige so keine lust haben, oder sich nicht trauen fragen zu stellen, ist das doch kein wunder....
ich denke man sollte vorher überlegen ob man helfen oder posen will....und dann evtl. posten!
(sry wegen groß-/kleinschreibung, shift defekt
)
Der TE hat gefragt
"Ist es möglich, dass IP-Adressen nur an reservierte Clients verteilt werden und nicht-reservierte keine?"
Darauf hin haben wir die User dieser Website / Board ein paar Vorschläge gegeben wie es denn Funktionieren könnte und mehr nicht. Wegen den Scheinen bitte zwischen den Zeilen lesen war eher Sarkastisch gemeint uns allen ist bewusst das man nicht zwingend Scheine haben muss Sie sind in der Vita aber ein "Nice to have" nicht mehr nicht weniger.
Und der TE scheint an diesem Thread kein Interesse mehr zu haben deswegen einfach mal einen Vorschlag " Please closed"
Mit besten Grüßen
Sendmen
"Ist es möglich, dass IP-Adressen nur an reservierte Clients verteilt werden und nicht-reservierte keine?"
Darauf hin haben wir die User dieser Website / Board ein paar Vorschläge gegeben wie es denn Funktionieren könnte und mehr nicht. Wegen den Scheinen bitte zwischen den Zeilen lesen war eher Sarkastisch gemeint uns allen ist bewusst das man nicht zwingend Scheine haben muss Sie sind in der Vita aber ein "Nice to have" nicht mehr nicht weniger.
Und der TE scheint an diesem Thread kein Interesse mehr zu haben deswegen einfach mal einen Vorschlag " Please closed"
Mit besten Grüßen
Sendmen
Ich kann @Sendmen & holli.zimmi nur beipflichten, treffender hätte ich es nicht ausdrücken können. Danke für diesen Beitrag!
Ein Schein (beispielsweise MCSE) sagt nicht immer viel aus. Ich persönlich habe MCSE erlebt, die zwar ziemlich arrogant daherkamen, aber sich schon fachlich zu weit von den Grundlagen entfernt hatten und nicht einmal eine Netzwerkkarte einbauen konnten. Andererseits habe ich Auszubildende zum Fachinformatiker gesehen, die einfach absolute Spitze waren.
Als TE habe ich natürlich noch interesse an diesem Thema, konnte auch hier gute Antworten finden - aber genau so auch schlechte.
Dann schließe ich den Thread mal...
Danke für die Infos!
Alhambra
Ein Schein (beispielsweise MCSE) sagt nicht immer viel aus. Ich persönlich habe MCSE erlebt, die zwar ziemlich arrogant daherkamen, aber sich schon fachlich zu weit von den Grundlagen entfernt hatten und nicht einmal eine Netzwerkkarte einbauen konnten. Andererseits habe ich Auszubildende zum Fachinformatiker gesehen, die einfach absolute Spitze waren.
Als TE habe ich natürlich noch interesse an diesem Thema, konnte auch hier gute Antworten finden - aber genau so auch schlechte.
Dann schließe ich den Thread mal...
Danke für die Infos!
Alhambra
