13
Ist es möglich, dem User in einem Win2k8R2 AD eine IP abhängig von der Domäne zuzuweisen?
Hi,
Ich habe folgendes vor:
Ich habe zwei Win2k8R2 Domänen in einem 192.168.0.0/24 - Netz. (d.h. via Subnetzmaske 255.255.224.0 im Bereich 192.168.0.0-192.168.32.255)
Ich möchte nun Benutzern nach dem Anmelden an einer Domäne eine IP-Adresse abhängig von dieser Domäne zuweisen.
Beispiel: Benutzer in der Domäne A erhält eine IP im Bereich 192.168.10.10-254, Benutzer in der Domäne B erhält eine IP im Bereich 192.168.20.10-254.
Alle nicht an einer Domain angemeldeten Benutzer erhalten vom DHCP eine andere Adresse, z.b. im Bereich 192.168.50.10-254.
Die Netze sind bereits via Routing/RAS - Dienst miteinander verbunden. Was mir jetzt fehlt ist die Zuweisung der IPs nach obiger Idee.
Erst einmal interessiert mich ob das generell so funktionieren würde.
Wenn ja würde ich mich natürlich über Stubser in die richtige Richtung freuen. Wenn es nicht geht auch über eine Erklärung warum nicht
Danke schon einmal,
Chirecop
Ich habe folgendes vor:
Ich habe zwei Win2k8R2 Domänen in einem 192.168.0.0/24 - Netz. (d.h. via Subnetzmaske 255.255.224.0 im Bereich 192.168.0.0-192.168.32.255)
Ich möchte nun Benutzern nach dem Anmelden an einer Domäne eine IP-Adresse abhängig von dieser Domäne zuweisen.
Beispiel: Benutzer in der Domäne A erhält eine IP im Bereich 192.168.10.10-254, Benutzer in der Domäne B erhält eine IP im Bereich 192.168.20.10-254.
Alle nicht an einer Domain angemeldeten Benutzer erhalten vom DHCP eine andere Adresse, z.b. im Bereich 192.168.50.10-254.
Die Netze sind bereits via Routing/RAS - Dienst miteinander verbunden. Was mir jetzt fehlt ist die Zuweisung der IPs nach obiger Idee.
Erst einmal interessiert mich ob das generell so funktionieren würde.
Wenn ja würde ich mich natürlich über Stubser in die richtige Richtung freuen. Wenn es nicht geht auch über eine Erklärung warum nicht
Danke schon einmal,
Chirecop
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 168134
Url: https://administrator.de/contentid/168134
Ausgedruckt am: 22.11.2024 um 03:11 Uhr
13 Kommentare
Neuester Kommentar
Moin Moin
Machen wir einen Deal.
Wenn Du mir einen guten Grund nennen kannst, wozu das gut sein soll (aber einen richtig guten), dann werde ich versuchen Dir zu erklären warum das so nicht geht.
Abgemacht?
Gruß L.
Machen wir einen Deal.
Wenn Du mir einen guten Grund nennen kannst, wozu das gut sein soll (aber einen richtig guten), dann werde ich versuchen Dir zu erklären warum das so nicht geht.
Abgemacht?
Gruß L.
Hallo,
erstmal vorweg.... ohne IP Adresse keine Domainanmeldung...
Wenn du nach der Anmeldung unbedingt eine neue IP vergeben willst kannst du das tun, indem du im Loginscript des Nutzers eine neue IP Adresse setzt, bzw per ipconfig /release /renew Dir eine neue vom DHCP Server abholst.
Mich würde interessieren warum überhaupt der ganze Aufwand?
Grüße Lenny
erstmal vorweg.... ohne IP Adresse keine Domainanmeldung...
Wenn du nach der Anmeldung unbedingt eine neue IP vergeben willst kannst du das tun, indem du im Loginscript des Nutzers eine neue IP Adresse setzt, bzw per ipconfig /release /renew Dir eine neue vom DHCP Server abholst.
Mich würde interessieren warum überhaupt der ganze Aufwand?
Grüße Lenny
Die Änderung der IP NACH der Anmeldung auf User-Ebene macht IMHO keinen Sinn, denn dann müsste der Rechner ja während der User angemeldet ist, eine neue IP-Adresse bekommen, also kurzzeitig die Netzwerkverbindung verlieren.
DHCP funktioniert aber auf Computerebene, nicht auf Userebene.
DHCP funktioniert aber auf Computerebene, nicht auf Userebene.
Hallo,
nur für dich zum Verständnis: wie entsteht der Kontakt zwischen dem Rechner und dem DC?
Doch wohl auf Netzwerkbasis, und dazu braucht es IP Adressen.
Eine andere IP Adresse zu weisen fürht also zwangsläufig zu einem Abriss der Netzwerkkommunikation
brammer
nur für dich zum Verständnis: wie entsteht der Kontakt zwischen dem Rechner und dem DC?
Doch wohl auf Netzwerkbasis, und dazu braucht es IP Adressen.
Eine andere IP Adresse zu weisen fürht also zwangsläufig zu einem Abriss der Netzwerkkommunikation
brammer
Siehe RADIUS.
Damit geht das problemlos.
Sinn macht das aber auch nur, wenn man Benutzer nach der Anmeldung in verschiedene VLANs stecken will.
Damit geht das problemlos.
Sinn macht das aber auch nur, wenn man Benutzer nach der Anmeldung in verschiedene VLANs stecken will.
IP gibts erst nach der Anmeldung (siehe WLAN mit 802.1x)
Im Grunde könnte ich durch den Gatewayserver via Routing und DNS die Domänen bekannt machen damit man sich einloggen kann.
IP gibts erst nach der Anmeldung (siehe WLAN mit 802.1x)
Nein, gibt es nicht und WLAN ist nicht vergleichbar.
Jeder Windows-Computer in einer Domain hat ein Computerkonto.
Dieses Konto (oder das Computerzertifikat) wird beim Systemstart benutzt, wenn das Ethernet-Interface auf 802.1x gesetzt ist.
Erst wenn sich dann ein Benutzer anmeldet wird die aktuelle RADIUS-Sitzung beendet und mit den Benutzerdaten neu aufgebaut.
An dem Punkt kann man VLAN und IP auch neu zu zweisen.
Bei WLAN hat sich Microsoft lediglich entschieden dort die Anmeldung erst im Benutzerkontext zu starten.
Du findest aber genug Anleitungen, wie man die WLAN-Anmeldung auch im Computerkontext aktivieren kann.
So ein Setup ist aber ziemlich komplex und ich habe es nicht ausprobiert.
Prinzipiell geht es, zumindestens unter Windows Server 2003, ob es sinnvoll ist, s.o..:
- Je Domäne läuft ein DHCP-Server.
- Es werden jedoch feste Reservierungen benutzt, d.h. der MAC ist eine IP zugeordnet.
- Meldet sich der Client an Domäne 1 an, so bekommt er entsprechend MAC die dort für ihn reservierte IP.
- Meldet sich der Client an Domäne 2 an, so bekommt er entsprechend MAC die dort für ihn reservierte IP.
Das ganze funktioniert aber nur, wenn generell über Reservierungen gearbeitet wird.
WN
- Je Domäne läuft ein DHCP-Server.
- Es werden jedoch feste Reservierungen benutzt, d.h. der MAC ist eine IP zugeordnet.
- Meldet sich der Client an Domäne 1 an, so bekommt er entsprechend MAC die dort für ihn reservierte IP.
- Meldet sich der Client an Domäne 2 an, so bekommt er entsprechend MAC die dort für ihn reservierte IP.
Das ganze funktioniert aber nur, wenn generell über Reservierungen gearbeitet wird.
WN
Hallo wellknown,
ich glaube du hast einen Fehler gemacht... Der Fragesteller möchte die IP anhand einer Useranmeldung vergeben. Dein Vorschlag macht schon Sinn... allerdings müsste man dann immer wieder den Client in eine andere Domain joinen.
DHCP Reservierungen funktionieren über die MAC Adresse und wenn sich der User am selben PC erst in Domain1 und anschließend in Domain2 anmeldet, ist das der DHCP reservierung relativ Wurscht.
Man muss die IP Adresse nach der Anmeldung von Hand neu setzen... das führt erstmal zum Netzabbruch... und sollten die Domains dann noch in isolierten Netzen liegen (also keien Verbindung von Domain1 nach 2 wird es noch abenteuerlicher.) Woher soll dann Domain2 wissen das sich der User schon authentifiziert hat usw... es macht einfach technisch keinen Sinn so etwas zu implementieren. Oder mir fällt zumindest keiner ein....
Wo liegt denn das Problem 2 Domains zu betreiben (wo sich der User anmeldet sei mal dahingestellt) und den Rest über dynamische Routen und Vertrauensstellungen zu regeln?!
mfg Lenny
ich glaube du hast einen Fehler gemacht... Der Fragesteller möchte die IP anhand einer Useranmeldung vergeben. Dein Vorschlag macht schon Sinn... allerdings müsste man dann immer wieder den Client in eine andere Domain joinen.
DHCP Reservierungen funktionieren über die MAC Adresse und wenn sich der User am selben PC erst in Domain1 und anschließend in Domain2 anmeldet, ist das der DHCP reservierung relativ Wurscht.
Man muss die IP Adresse nach der Anmeldung von Hand neu setzen... das führt erstmal zum Netzabbruch... und sollten die Domains dann noch in isolierten Netzen liegen (also keien Verbindung von Domain1 nach 2 wird es noch abenteuerlicher.) Woher soll dann Domain2 wissen das sich der User schon authentifiziert hat usw... es macht einfach technisch keinen Sinn so etwas zu implementieren. Oder mir fällt zumindest keiner ein....
Wo liegt denn das Problem 2 Domains zu betreiben (wo sich der User anmeldet sei mal dahingestellt) und den Rest über dynamische Routen und Vertrauensstellungen zu regeln?!
mfg Lenny
Hallo,
ob er je nach im Anmeldedialog gewählter Domäne eine IP bekommt oder die IP hinterher wechselt macht doch keinen Unterschied wenn man(n) immer nur in einer der Domänen arbeiten will. Und sie ist einfacher als Vertrauensstellungen oder dynamische Routen zu konfigurieren.
Alternativ kann man auch immer über VPN arbeiten (der Client-PC ist dann einfach in keiner Domäne, der User aber in jeder angelegt).
Gruß
WN
ob er je nach im Anmeldedialog gewählter Domäne eine IP bekommt oder die IP hinterher wechselt macht doch keinen Unterschied wenn man(n) immer nur in einer der Domänen arbeiten will. Und sie ist einfacher als Vertrauensstellungen oder dynamische Routen zu konfigurieren.
Alternativ kann man auch immer über VPN arbeiten (der Client-PC ist dann einfach in keiner Domäne, der User aber in jeder angelegt).
Gruß
WN
Zitat von @Chirecop:
Ich habe zwei Win2k8R2 Domänen in einem 192.168.0.0/24 - Netz. (d.h. via Subnetzmaske 255.255.224.0 im Bereich
192.168.0.0-192.168.32.255)
Ich habe zwei Win2k8R2 Domänen in einem 192.168.0.0/24 - Netz. (d.h. via Subnetzmaske 255.255.224.0 im Bereich
192.168.0.0-192.168.32.255)
Du solltest dringend Deine IP-Kenntnisse über Netzmasken auffrischen. Du meinst vermutlich 192.168.0.0/19. Oder Du meinst verschiedene /24-netze aus 192.168.0.0/16?
Zu Deinem Problem:
Du hast verschiedene Netzwerke, die physikalisch getrennt sind? Oder verbinden sich die Benutze per RAS in dein Netz und sollen je nach Benutzer verschiedene IP-Adressen bekommen? Irgendwie will heute meine Glaskugel nicht richtig funktionieren.
Versuche mal Deine Netzwerkokonfiguration so zu beschreiben, daß sie auch ein außenstehender versteht.
