17
IP-Adressen statisch oder per Reservierung vergeben
In unserem Firmennetzwerk haben wir insgesamt 35 Netzwerkgeräte (Switche, Server, NAS, Access Points, usw.), 10 Drucker und 63 Client-Geräte.
Was ist da die beste Möglichkeit, diesen Geräten eine feste IP-Adresse zu vergeben?
Aktuell sind die IP-Adressen in den Adaptereinstellungen der jeweiligen Clients statisch vergeben.
Bei unserem alten Server waren diese aber im DHPC-Manager unter Reservierungen fest vergeben.
Was haben diese beiden Möglichkeiten jeweils für Vor- und Nachteile?
Ich persönlich denke, dass das über Reservierungen in DHCP etwas besser ist, da ich diese zentral von meinen PC aus administrieren kann. Beispielsweise wenn ein Mitarbeiter einen neuen PC bekommt, dann weiße ich vorübergehend seinen alten PC eine andere freie IP-Adresse zu und seinen neuen PC dann seine "richtige" IP-Adresse und fertig.
Ebenfalls werden die IP-Adressen nach einem bestimmten Schema vergeben:
ab der *.*.10.1 sind die ganzen Server, Switche, Firewall usw.
ab *.*.10.20 alle Drucker
ab *.*.10.30 Geschäftsführung
ab *.*.10.40 Sekretariat
usw nach Raum sortiert
ab *.*.10.140 alle Tablets
ab *.*.10.150 alle MDE-Geräte
Ich denke ihr wisst wie ich das meine.
Für den Bereich *.*.10.180 bis *.*.10.219 hätte ich den Bereich vorgesehen für den dynamischen DHCP-Bereich. Das wäre für die paar Diensthandys und Home-Office-Laptops, welche immer nur kurzzeitig in der Firma sind.
Bin auf eure Antworten gespannt
Was ist da die beste Möglichkeit, diesen Geräten eine feste IP-Adresse zu vergeben?
Aktuell sind die IP-Adressen in den Adaptereinstellungen der jeweiligen Clients statisch vergeben.
Bei unserem alten Server waren diese aber im DHPC-Manager unter Reservierungen fest vergeben.
Was haben diese beiden Möglichkeiten jeweils für Vor- und Nachteile?
Ich persönlich denke, dass das über Reservierungen in DHCP etwas besser ist, da ich diese zentral von meinen PC aus administrieren kann. Beispielsweise wenn ein Mitarbeiter einen neuen PC bekommt, dann weiße ich vorübergehend seinen alten PC eine andere freie IP-Adresse zu und seinen neuen PC dann seine "richtige" IP-Adresse und fertig.
Ebenfalls werden die IP-Adressen nach einem bestimmten Schema vergeben:
ab der *.*.10.1 sind die ganzen Server, Switche, Firewall usw.
ab *.*.10.20 alle Drucker
ab *.*.10.30 Geschäftsführung
ab *.*.10.40 Sekretariat
usw nach Raum sortiert
ab *.*.10.140 alle Tablets
ab *.*.10.150 alle MDE-Geräte
Ich denke ihr wisst wie ich das meine.
Für den Bereich *.*.10.180 bis *.*.10.219 hätte ich den Bereich vorgesehen für den dynamischen DHCP-Bereich. Das wäre für die paar Diensthandys und Home-Office-Laptops, welche immer nur kurzzeitig in der Firma sind.
Bin auf eure Antworten gespannt
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 62326120261
Url: https://administrator.de/contentid/62326120261
Ausgedruckt am: 24.11.2024 um 10:11 Uhr
17 Kommentare
Neuester Kommentar
IPv6 scheint in dem Fall irrelevant ?
1
Moin,
naja, es macht mehr Sinn dein DNS zu pflegen.
Sicherheitstechnisch sollten die Gruppierungen am besten getrennt sein. (Verschiedene Netze)
Ansonsten kannst du das echt machen wie du Damit am besten klar kommst.
Für die Clients würde ich mir auch keine Mühe bei den Adressen geben.
naja, es macht mehr Sinn dein DNS zu pflegen.
Sicherheitstechnisch sollten die Gruppierungen am besten getrennt sein. (Verschiedene Netze)
Ansonsten kannst du das echt machen wie du Damit am besten klar kommst.
Für die Clients würde ich mir auch keine Mühe bei den Adressen geben.
Hallo,
statische Adressen für Geräte, welche auch statisch sind —> NAS, AP, Switch, Drucker, Server.
Adressen für mobile Geräte reservieren bringt eher nichts, ist aber vielleicht nur eine persönliche Einstellung 😉
SG
statische Adressen für Geräte, welche auch statisch sind —> NAS, AP, Switch, Drucker, Server.
Adressen für mobile Geräte reservieren bringt eher nichts, ist aber vielleicht nur eine persönliche Einstellung 😉
SG
1
Für Server, Switche und Router würde ich IPs fest eintragen. Wenn, aus welchen Gründen auch immer, dein DHCP nicht läuft oder gestört wird ergeben sich dann nicht weitere Probleme. Wenn du z.B. mal ein neues Gerät mit vorkonfigurierten aktiven DHCP Server ins Produktivnetz hängst (ja in kleinen Umgebungen machen Leute sowas) dann hat nicht plötzlich dein Server eine neue IP...
Bei Druckern & Co. kann man eine statische Zuweisung auch über DHCP machen.
Clients brauchen gar keine feste IP, wozu auch? Auch die Einteilung würde ich verwerfen oder zumindest deutlich reduzieren. Wenn dann solltest du eher in verschiedene IP Netze segmentieren, eine Nummernvergabe nach Raum im selben Subnetz ist doch eher sinnfrei und nur Arbeit.
Bei Druckern & Co. kann man eine statische Zuweisung auch über DHCP machen.
Clients brauchen gar keine feste IP, wozu auch? Auch die Einteilung würde ich verwerfen oder zumindest deutlich reduzieren. Wenn dann solltest du eher in verschiedene IP Netze segmentieren, eine Nummernvergabe nach Raum im selben Subnetz ist doch eher sinnfrei und nur Arbeit.
1
Aus Sicherheits-Sicht solltest du MAC-Spoofing nicht außer Acht lassen
Naja ist schon immer so in dieser Firma und ich finde das persönlich relativ praktisch. Ich erkenne anhand der IP-Adresse quasi schon, um welches Gerät es sich handelt und wo es steht, wenn mal was sein sollte.
Zitat von @PC-Helfer:
Adressen für mobile Geräte reservieren bringt eher nichts, ist aber vielleicht nur eine persönliche Einstellung 😉
Adressen für mobile Geräte reservieren bringt eher nichts, ist aber vielleicht nur eine persönliche Einstellung 😉
Die mobilen Geräte, welche nur temporär im Haus sind, sollen ihre IP ja auch weiterhin per DHCP bekommen.
Ja theoretisch braucht man das bei Clients nicht machen. Aber wie weiter oben schon geschrieben, wurde das in dieser Firma schon immer so gemacht und ich sehe das als kleinen Vorteil.
Zumal es sowieso nicht so häufig vorkommt, das neue PCs oder sowas angeschafft werden. Manche PCs sind schon 10 Jahre alt, aber laufen noch einwandfrei und reichen dem Mitarbeiter von der Leistung her völlig aus.
Das AD, DHCP-Server und DNS-Server laufen auf einen virtuellen Server. Als kleine Ausfallsicherheit haben wir einen weiteren virtuellen Server, welcher identisch konfiguriert ist, welchen wir im Ernstfall relativ einfach einsetzen können.
Den Vorteil hast du bei einer vernünftigen Segmentierung auch. Und das macht Sinn.
Gerade ist das ganze ja rein kosmetisch und hat technisch null nutzen.
Gerade ist das ganze ja rein kosmetisch und hat technisch null nutzen.
Ich würde es NICHT an den Clients fest eintragen. Habe ich zwar früher auch gemacht ist aber wahnsinnig unflexibel, weil Du ja bei einer Änderung immer an das Gerät musst ... welches häufig ja nur über Netzwerk zugänglich ist.
Ebenso, wenn die Geräte mal irgendwo zwischengelagert, in ein anderes Netzwerk umgezogen werden, womöglich noch mit Fernwartung, usw.
Das läuft mittlerweile alles über den DHCP und wird dort festgezurrt.
Ebenso, wenn die Geräte mal irgendwo zwischengelagert, in ein anderes Netzwerk umgezogen werden, womöglich noch mit Fernwartung, usw.
Das läuft mittlerweile alles über den DHCP und wird dort festgezurrt.
Moin,
Alles, was eine feste IP benötigt (also alles, außer irgendwelche Client-Geräte) hat eine fest eingetragene Adresse.
bedingte Ausnahme: die Drucker. Die haben am DHCP-Server eine Reservierung eingetragen. Ist aber auch hier eher Geschmackssache.
Alles, was eine feste IP benötigt (also alles, außer irgendwelche Client-Geräte) hat eine fest eingetragene Adresse.
bedingte Ausnahme: die Drucker. Die haben am DHCP-Server eine Reservierung eingetragen. Ist aber auch hier eher Geschmackssache.
Wenn, aus welchen Gründen auch immer, dein DHCP nicht läuft oder gestört wird ergeben sich dann nicht weitere Probleme.
Spannend: Stromausfall, alles läuft (in Teilen) an und nichts geht, weil der DHCP-Server noch nicht online war und man auch nicht an die Hyper-V-Server etc. kommt, weil keine IP...Das AD, DHCP-Server und DNS-Server laufen auf einen virtuellen Server. Als kleine Ausfallsicherheit haben wir einen weiteren virtuellen Server, welcher identisch konfiguriert ist, welchen wir im Ernstfall relativ einfach einsetzen können.
Und wie häufig wird der mit dem produktiven Server synchronisiert?1
ab der *.*.10.1 sind die ganzen Server, Switche, Firewall usw.
ab *.*.10.20 alle DruckerSprich: 19 Adressen. Was, wenn ein 20zigster Server dazu kommt? Der bekommt dann *.*.10.washaltfreiist? Überhaupt nicht schön und wird irgendwann richtig anstrengend.
Ich empfehle klar eine (VLAN)Segmentierung.
Gruß
Zitat von @em-pie:
Spannend: Stromausfall, alles läuft (in Teilen) an und nichts geht, weil der DHCP-Server noch nicht online war und man auch nicht an die Hyper-V-Server etc. kommt, weil keine IP...
Spannend: Stromausfall, alles läuft (in Teilen) an und nichts geht, weil der DHCP-Server noch nicht online war und man auch nicht an die Hyper-V-Server etc. kommt, weil keine IP...
Nach einem längeren Stromausfall, also wenn die USV die V-Server und zum Schluss den physikalischen Server heruntergefahren hat, wird eh erstmal der physikalische Server gestartet und dann die V-Server und erst danach die Clients. So ist es von der Geschäftsführung gewünscht.
Das passiert regelmäßig. Wie häufig kann ich nicht sagen, aber glaube 1x täglich.
Zitat von @9697748851:
Sprich: 19 Adressen. Was, wenn ein 20zigster Server dazu kommt? Der bekommt dann *.*.10.washaltfreiist?
Sprich: 19 Adressen. Was, wenn ein 20zigster Server dazu kommt? Der bekommt dann *.*.10.washaltfreiist?
Zwischen den Bereichen sind immer genügend IP-Adressen frei.
Aktuell bspw:
10.1 bis 10.11 belegt für Server, Switche usw
10.12 bis 10.19 frei
10.20 bis 10.28 belegt (Drucker)
10.29 bis 10.34 frei
10.35 und 10.36 belegt (PCs Geschäftsführung)
etc pp
Also Platz ist dazwischen immer genügend. Wir sind nur etwa 24 Mitarbeiter. Das ist alles soweit überschaubar.
Nur nach den Tablets kommen gleich die MDE-Geräte. Aber es kommen sowieso keine Tablets mehr, sondern nur noch MDEs.
Moin, bin da auch für Ordnung.
Historisch haben wir wir leider auch ein Mischmasch DHCP vergigbt Server IP. Wird reserviert und fest eingetragen.
Ist immer unschön! Feste IP muss aus dem DHCP Pool raus. Sonst kommt "BAD_ADDRESS" o.ä. Oder man muss die IPs explizit von der Verteilung ausschließen - geht auch. Aber wir haben einen Flickenteppich.
Feste IP via DHCP geht. Aber allein die Namen werden mitunter nicht aktualisiert bei den Reservierungen. Um dann wieder durchzusteigen, muss man mit PowerShell Beschreibung ändern. Dann irgendwann stimmt alles halbwegs....
Feste IP Range außerhalb DHCP und du musst dich hier nur um DNS kümmern.
Man muss zwar die DHCP Beschreibung nicht ändern, aber 10x localhost oder WIN-R34SFDSF2 ist auch Mist.
Arbeiten kann man mit beiden. Nur um DHCP sauber zu halten muss man ggf. noch Kommandos im Anschluss absetzen! Das erspart man sich mit Ranges.
mfg Crusher
Historisch haben wir wir leider auch ein Mischmasch DHCP vergigbt Server IP. Wird reserviert und fest eingetragen.
Ist immer unschön! Feste IP muss aus dem DHCP Pool raus. Sonst kommt "BAD_ADDRESS" o.ä. Oder man muss die IPs explizit von der Verteilung ausschließen - geht auch. Aber wir haben einen Flickenteppich.
Feste IP via DHCP geht. Aber allein die Namen werden mitunter nicht aktualisiert bei den Reservierungen. Um dann wieder durchzusteigen, muss man mit PowerShell Beschreibung ändern. Dann irgendwann stimmt alles halbwegs....
Feste IP Range außerhalb DHCP und du musst dich hier nur um DNS kümmern.
Man muss zwar die DHCP Beschreibung nicht ändern, aber 10x localhost oder WIN-R34SFDSF2 ist auch Mist.
Arbeiten kann man mit beiden. Nur um DHCP sauber zu halten muss man ggf. noch Kommandos im Anschluss absetzen! Das erspart man sich mit Ranges.
mfg Crusher
Zitat von @DaPlaya9971:
Zwischen den Bereichen sind immer genügend IP-Adressen frei.
Aktuell bspw:
10.1 bis 10.11 belegt für Server, Switche usw
10.12 bis 10.19 frei
10.20 bis 10.28 belegt (Drucker)
10.29 bis 10.34 frei
10.35 und 10.36 belegt (PCs Geschäftsführung)
Zwischen den Bereichen sind immer genügend IP-Adressen frei.
Aktuell bspw:
10.1 bis 10.11 belegt für Server, Switche usw
10.12 bis 10.19 frei
10.20 bis 10.28 belegt (Drucker)
10.29 bis 10.34 frei
10.35 und 10.36 belegt (PCs Geschäftsführung)
Auch kein Hallo.
Keinerlei Firewallregeln greifen in diesem Setup und ein jedes Gerät kann auf alles zugreifen.
Daher +1 für die Empfehlung der Kolleg*innen, die Bereiche sauber in VLANs zu trennen und mit entsprechenden Regelwerken zu versehen.
Infrastruktur Geräte á la Server und Switche statische IPs konfigurieren und zur Absicherung noch DHCP Reservierungen in deren Netzwerksegment.
Drucker im eigenen Segment ebenfalls DHCP Reservierungen verpassen und alle anderen Geräte aus deren Segmente IPs via DHCP verteilen.
Ich hoffe, dass keine Fritzbox als Router / Firewall zum Einsatz kommt
Gruß
Marc
Ich hoffe, dass keine Fritzbox als Router / Firewall zum Einsatz kommt face-smile
In wie fern verändert sich die Situation mit der stateful firewall eines anderen Herstellers?Zitat von @Visucius:
Ich hoffe, dass keine Fritzbox als Router / Firewall zum Einsatz kommt face-smile
In wie fern verändert sich die Situation mit der stateful firewall eines anderen Herstellers?Gar nichts. Es würde aber eine Erklärung dafür sein, warum alles in einem Subnetz ist
Gruß
Marc
Nein wir haben eine "richtige" Hardware-Firewall
Na dann rann an die Buletten! Die oben genannten Modifikationen sollten damit gemeinhin umsetzbar sein
