Wie werden doppelte IP Adressen vermieden ?

Mitglied: Dr.R00T

Dr.R00T (Level 1) - Jetzt verbinden

24.11.2011 um 13:34 Uhr, 11280 Aufrufe, 14 Kommentare

Halli Hallo,
Ich bin ein FiSi im 2. Jahr und bei mir im Geschäft haben wir folgendes Problem:

Wir haben uns vor 1 1/2 Jahren ein "schönes" Softwareverteilungsprogramm von Matrix42 (Empirum...) zugelegt.

Gestern haben wir dann ein Paket an alle Rechner in unserem Netzwerk verteilen wollen und von knapp 300 PC's wurden 30 Rechner nicht installiert.
Warum diese Rechner nicht installiert wurden wissen wir auch schon und zwar wird bei uns komischerweise eine IP Adresse an 2 Rechner vergeben...
Keiner dieser Rechner hat eine Statische IP, sondern bekommen diese immer von unserem DCHP Server zugewiesen.

Deshalb: Wie kann ich das für die Zukunft verhindern und im Moment unterbinden ?

Mit freundlichen Grüßen aus Freiburg

NexXxuS
Mitglied: Indrador
24.11.2011 um 13:38 Uhr
Hi,

kannst du noch ein wenig näher auf euer Netzwerk eingehen?
300 Clients reichen ja nicht für ein "Class-C" Netz also reden wir hier erstmal von einem größeren Netz, VLANs oder Subnets.

Oder wir reden von einem Class C und ihr habt einfach zuviele gleichzeitige Rechner.

Gruß
Bitte warten ..
Mitglied: Dr.R00T
24.11.2011 um 13:45 Uhr
Hallo Indrador,

Bei uns geht es über Subnetze.
Also die IP Range sollte nicht das Problem sein.
Nach meinem Überschlag müssten wir noch knapp 200 freie Adressen haben.

GreezZz

NexXxuS
Bitte warten ..
Mitglied: aqui
24.11.2011 um 13:51 Uhr
.. ."geht es über Subnetze ?!" Was soll das heissen ?? Ist euer Netzwerk segmentiert (VLANs) ?? Oder hast du nur eine größere Subnetzmaske ? Bei 300 Client Adressen muss entweder das eine oder andere der Fall sein. Deine Antwort ist da recht schwammig.
Na ja egal...sind wir mal gnädig im 2ten Jahr...obwohl man da eigentlich den IP Durchblick haben sollte ?!
Wenn in einem DHCP kontrolliertem IP Netz doppelte IPs auftreten hat das immer folgende Gründe:
  • Keine genaue "Buchführung" und Abgleich mit dem DHCP Bereich falls parallel statische IPs in dem(n) Netz(en) vergeben wurden an Server, Router, NAS etc. und es dadurch zu Überschneidungen kommt.
  • Jemand betreibt "wilde" DHCP Server in dem Netz(en) und du hast kein DHCP Snooping zur Sicherheit auf den Switches konfiguriert.
Eins der Punkte ist also bei dir der Fall...
Bitte warten ..
Mitglied: mrtux
24.11.2011 um 13:51 Uhr
Hi !

Zitat von @Dr.R00T:
Also die IP Range sollte nicht das Problem sein.

Wenn Du sinnvolle Hilfe erwartest, dann mach bitte worum dich der Kollege Indrador schon gebeten hat: Beschreibe dein bitte dein Netzwerk etwas genauer!
Wir sind hier Admins mit fehlenden (aber notwendigen) technischen Fakten und keine (ratenden) Astrologen mit Karten oder Glaskugeln....

mrtux
Bitte warten ..
Mitglied: Der-Phil
24.11.2011 um 14:11 Uhr
Hallo,

prüfe mal die MAC-Adressen der entsprechenden Computer.
Ich hatte vor vielen Jahren mal billige Netzwerkkarten bei nem Kunden, bei denen die MAC vom Treiber angegeben wurde. Hat man dann das Image auf eine andere Hardware kopiert, wurde die gleiche MAC genutzt...

Phil
Bitte warten ..
Mitglied: Dr.R00T
24.11.2011 um 14:12 Uhr
Entschuldigung das ich mich für alles andere interessiere ...

So:
Wir haben ein Klasse-C Netz.
Und ein Subnetz, dass bei .8.01 beginnt und bei .10.255 endet.
Die "doppelten" IP's werden ausschließlich an Workstations verteilt, nicht an Server, Router oder SAN...

Dieses "DHCP Snooping" lese ich jetzt zum ersten Mal...
Bitte warten ..
Mitglied: Dr.R00T
24.11.2011 um 14:17 Uhr
Es sind alles verschiedene MAC Adressen...
Bitte warten ..
Mitglied: Nagus
24.11.2011 um 14:22 Uhr
Moin,
wie sieht es mit Reservierungen auf dem DHCP aus?
Bitte warten ..
Mitglied: clSchak
24.11.2011 um 15:15 Uhr
Zitat von @Dr.R00T:

Die "doppelten" IP's werden ausschließlich an Workstations verteilt, nicht an Server, Router oder SAN...

haben denn deine Server statische IP's? Oder wird bei euch "alles" dynamisch zugewiesen, ich gehe mal davon aus, dass Ihr ein /22 Netz habt, also die Range nicht von 192.168.8.0 - 192.168.10.255 geht sondern eher von 192.168.8.0-192.168.11.255 (eine /23 Maske würde nur bis 9.255 gehen).

Was du noch prüfen könntest ist wie es mit den Adress-Leases aussieht, nicht das es dort zu Problemen kommt und dann auch schauen was der 2. DHCP Server macht (ich gehe jetzt einfach davon aus das der im Cluster läuft bzw. mindestens ein StandBy DHCP konfiguriert ist für den Notfall) - nicht das die gerade nicht synchronisiert sind und jeder fleißig dem anderen die IP Adresse "wegnimmt"

PS: Klasse A / B / C Netze gibt es seit langen nicht mehr ... entscheident ist die Subnetzmaske :) face-smile
Bitte warten ..
Mitglied: aqui
24.11.2011 um 15:32 Uhr
@Nexus
Wir haben ein Klasse-C Netz.... Und ein Subnetz, dass bei .8.01 beginnt und bei .10.255 endet.
Das ist Unsinn, sowas gibt es nicht ! Ist aber OK, wenn man sich dafür nicht interessiert......
Die IP Klassen Einteilung ist so oder so schon seit Jahrzehnten passe mit der Einführung von CIDR IP Adressen. Vergiss das also.
Auch deine Rechnung bzw. der Bereich der IP Adressen die du oben für dein Netzwerk angibst ist so unmöglich !!
Du hast entweder eine 23 Bit (255.255.254.0) oder eine 22 Bit Maske (255.255.252.0)
Die Host Adress Bereich für gültige IP Adressen an Endgeräte sind dann wie folgt: (Beispiel)
Netzwerk: 172.16.8.0, Gültige Host IP Adressen: 172.16.8.1 bis 172.16.9.254, Broadcast Adresse: 172.16.9.255
Maske: /23 = 255.255.254.0
oder
Netzwerk: 172.16.8.0, Gültige Host IP Adressen: 172.16.8.1 bis 172.16.11.254, Broadcast Adresse: 172.16.11.255
Maske: /22 = 255.255.252.0
Deine IP Ranges sind also völlig unmöglich.
Ggf. liegt hier der Fehler das du schlicht und einfach ein inkonsistente Subnetzmaske in deinem Netzwerk aktiv hast.
Da solltest du also mal genauer hinsehen !
Mal ganz abgesehen davon das man niemals so viele Endgeräte in eine Broadcast Domain schieben sollte...aber auch OK wenn die Interessen woanders liegen als im IP Netzdesign...
Und...mit DHCP Snooping ( http://en.wikipedia.org/wiki/DHCP_snooping ) würde auch keine Doppelvergabe passieren...wieder was gelernt im 2ten Jahr ! ;-) face-wink
Bitte warten ..
Mitglied: dregor
24.11.2011 um 16:37 Uhr
Um das Problem mal genauer zu beschreiben:

Subnet-Mask 255.255.252.0 und keine VLANs, Clients haben keine statischen IP-Adressen.
Auf den DCs läuft Windows Server 2003. Darauf laufen DHCP- und DNS-Server.

Das Problem ist, dass im DNS alte Einträge erhalten bleiben von PCs, die es schon lange nicht mehr gibt und deren DHCP-Lease abgelaufen ist.
Das Ganze zeigt sich dann so, dass in unserer lokalen Forward-Lookupzone mehreren Rechnern dieselbe IP-Adresse zugeordnet sind, in der Reverse eine IP mehreren Rechnern zugeordnet ist.
Dabei unterscheiden sich Forward- und Reverse-Lookupzone bei der Rechner-IP-Zuordnung auch noch.

Der DNS-Server ist so konfiguriert, dass er veraltete Einträge NICHT automatisch entfernt.

Der DHCP-Server ist so konfiguriert:
Dynamische DNS-Updates => DNS-A und -PTR-Einträge immer dynamisch aktualisieren
A- und PTR-Einträge beim Löschen der Lease verwerfen
DNA-A- und PTR-Einträge, die keine Updates anfordern dynamisch aktualisieren.

Dem DHCP-Server ist KEIN User für dynamische DNS-Updates zugeordnet.
Die DCs (auf denen DHCP und DNS läuft) sind nicht in der "DnsUpdateproxy"-Gruppe.

Ich vermute, der DHCP-Server löscht bei einem abgelaufenen Lease nicht die Einträge im DNS.

Die Frage ist, was jetzt sinnvoll ist
1) DNS konfigurieren, dass verweiste Einträge regelmäßig gelöscht werden?
2) DHCP in die "DnsUpdateproxy"-Gruppe?
3) DHCP einen User für dynamische DNS-Updates zuordnen? Muss dann im DNS noch bei den Sicherheitseinstellungen etwas geändert werden? Bzw. welche Rechte braucht der User?
(Mehrfachnennungen möglich ;) )


Liebe Grüße und danke für eure Zeit,
Der andere FiSi
Bitte warten ..
Mitglied: Indrador
24.11.2011 um 16:49 Uhr
Zitat von @dregor:
Um das Problem mal genauer zu beschreiben:

Subnet-Mask 255.255.252.0 und keine VLANs, Clients haben keine statischen IP-Adressen.
Auf den DCs läuft Windows Server 2003. Darauf laufen DHCP- und DNS-Server.

Das Problem ist, dass im DNS alte Einträge erhalten bleiben von PCs, die es schon lange nicht mehr gibt und deren DHCP-Lease
abgelaufen ist.
Das Ganze zeigt sich dann so, dass in unserer lokalen Forward-Lookupzone mehreren Rechnern dieselbe IP-Adresse zugeordnet sind, in
der Reverse eine IP mehreren Rechnern zugeordnet ist.
Dabei unterscheiden sich Forward- und Reverse-Lookupzone bei der Rechner-IP-Zuordnung auch noch.

Der DNS-Server ist so konfiguriert, dass er veraltete Einträge NICHT automatisch entfernt.

Der DHCP-Server ist so konfiguriert:
Dynamische DNS-Updates => DNS-A und -PTR-Einträge immer dynamisch aktualisieren
A- und PTR-Einträge beim Löschen der Lease verwerfen
DNA-A- und PTR-Einträge, die keine Updates anfordern dynamisch aktualisieren.

Dem DHCP-Server ist KEIN User für dynamische DNS-Updates zugeordnet.
Die DCs (auf denen DHCP und DNS läuft) sind nicht in der "DnsUpdateproxy"-Gruppe.

Ich vermute, der DHCP-Server löscht bei einem abgelaufenen Lease nicht die Einträge im DNS.

Die Frage ist, was jetzt sinnvoll ist
1) DNS konfigurieren, dass verweiste Einträge regelmäßig gelöscht werden?
2) DHCP in die "DnsUpdateproxy"-Gruppe?
3) DHCP einen User für dynamische DNS-Updates zuordnen? Muss dann im DNS noch bei den Sicherheitseinstellungen etwas
geändert werden? Bzw. welche Rechte braucht der User?
(Mehrfachnennungen möglich ;) )


Liebe Grüße und danke für eure Zeit,
Der andere FiSi

Hi,

also ich lösche veraltete Einträge nach 5 Tagen und dynamische Updates (sichere) sind erlaubt.

Gruß
Bitte warten ..
Mitglied: dregor
25.11.2011 um 08:25 Uhr
Hi Indrador,

Dynamische Updates sind bei uns auf "sichere und unsichere" eingestellt. Löschst du die Einträge im DNS mit dem "Alterung/Aufräumvorgang" oder hast du noch den DHCP so konfiguriert, dass er bei ablaufendem Lease DNS-Einträge ändert?

Grüße!
Bitte warten ..
Mitglied: Indrador
25.11.2011 um 19:16 Uhr
Hi Dregor,

Kurz und knapp, im Aufräumvorgang.

Gruß
Bitte warten ..
Heiß diskutierte Inhalte
Switche und Hubs
Probleme im Netzwerk Switche teilweise nicht erreichbar
hukimanVor 1 TagFrageSwitche und Hubs30 Kommentare

Guten Morgen, seit Monaten haben wir hier immer wieder Probleme mit dem Netzwerk, das Problem konnte ich leider aber noch immer nicht finden. Es ...

Erkennung und -Abwehr
Einer Malware auf der Spur. Benötige Sherlock Holmes!
streamVor 1 TagFrageErkennung und -Abwehr7 Kommentare

Guten Abend Wenn ich meine Windows-10-Kiste starte, so gibt mir mein Router eine Meldung aus, dass eine bestimmte IP-Adresse wegen Bösartigkeit geblockt wurde. Auf ...

Batch & Shell
Tabellarische Ausgabe der Netzwerkschnittstellen
gelöst dysti99Vor 1 TagFrageBatch & Shell19 Kommentare

Mit - ip a - werden ja die Netzwerkschnittstellen angezeigt. Ich möchte mit ein Batchscript folgende Ausgabe erreichen: 1 eth0 192.168.1.1 AD:13:67:56:14:D1 2 eth1 ...

Notebook & Zubehör
Tipp für festgefressene Scharniere bei Lenovo V120 Notebook?
LochkartenstanzerVor 13 StundenFrageNotebook & Zubehör18 Kommentare

Moin Kollegen, Ich habe hier ein Lenovo V120 mit einem laut Internet üblichen Problem von "festgefressenen" Scharnieren. Ich könnte jetzt aufwendig das Notebook zerlegen ...

Microsoft Office
Wechsel von Office - Exchange on premise zu Office 365 - Exchange Online
jann0rVor 22 StundenAllgemeinMicrosoft Office10 Kommentare

Moin, ich weiß nicht so richtig, unter welche Überschrift man dieses Thema hier am besten packen kann, daher mal als allg. Beitrag / Erfahrungsbericht. ...

Microsoft
MS Teams und Office im gemeinnützigen Verein
DanielBodenseeVor 1 TagFrageMicrosoft6 Kommentare

Hallo zusammen, ich würde gerne in unserem anerkannten gemeinnützigen Verein eine gemeinsame Platform aufbauen, über die wir Diskutieren und uns austauschen können, insbesondere bei ...

Linux Netzwerk
SAMBA FS Portfreigabe
gelöst Jannik2018Vor 1 TagFrageLinux Netzwerk17 Kommentare

Hallo zusammen, ich habe eine Portfreigabe für meinen SAMBA Server mit Netzwerkfreigaben auf port 445 TCP eingerichtet allerdings wenn ich per DNS oder externer ...

Netzwerkgrundlagen
Netzwerksaufbau bei nahezu auschließlichem Zugriff auf NAS bzw. Server
Ghent74Vor 1 TagFrageNetzwerkgrundlagen10 Kommentare

Hallo zusammen, in unserem kleinen Büro (6 Arbeitsplätze, Netzwerkdrucker, Netzwerkplotter, NAS) stellen immer mehr Softwarefirmen ihre Programme auf eine Art Datenbank um. Eine Art ...