102597
Sep 19, 2011, updated at Oct 18, 2012 (UTC)
3835
7
0
W2k3 - Zwei Netzwerke auf einem Server trennen
Hallo, Zusammen.
Ich schaue schon wieder seit längerem nach der Lösung meines Problems und hoffe hier noch mal auf eine Unterstützung.
Meine bisherigen Suchen haben leider kein Ergebnis gebracht (wohl, weil ich nicht weiß, wie ich das Problem richtig ausdrücke).
Ich habe einen W2k3 Server auf dem u.a. DHCP läuft.
In dem Server sind zwei Netzwerkkarten eingebaut die mit festen IPS aus zwei Bereichen konfiguriert sind
(192.168.23.210/255.255.255.0 und 192.168.2.205/255.255.255.0)
Mit Hilfe dieses Forums habe ich es geschafft den DCHP-Server nur an die Haupt-IP 192.168.23.210 zu binden. DHCP-Anfragen unter 192.168.2.205 werden nicht beantwortet.
Nun wundere ich mich, warum auch Rechner die sich im "anderen" Netzwerk 192.168.2.x anmelden, IPs vom DHCP auf diesem Server erhalten. Bis ich festgestellt habe, dass ich von jedem Client aus dem Netz 192.168.2.x auf jede IP aus dem anderen Netz 192.168.23.x pingen und folglich auch auf den DHCP-Server 192.168.23.210 zugreifen kann.
So, wie ich das bisher verstanden hatte begrenze ich mit der Subnetmask den IP-Raum - das scheint aber falsch zu sein.
Daher meine Frage, wie bzw. wo ich den W2k3-Server konfigurieren muss, dass Clients aus dem Netz 192.168.2.x nicht auf die IPs unter 192.168.23.x zugreifen können.
Ein Routing bzw. RAS ist nicht eingerichtet - dahe rbin ich verwirrt.
Es ist das Routing, richtig? Nur, warum kann ich aus dem 2er-Netz auf das 23-Netz zugreifen?
Konnte ich meine Frage verständlich stellen?
Oder müsst Ihr noch etwas wissen? Dann fragt bitte!
Danke vorab und schöne Grüße!
Meine bisherigen Suchen haben leider kein Ergebnis gebracht (wohl, weil ich nicht weiß, wie ich das Problem richtig ausdrücke).
Ich habe einen W2k3 Server auf dem u.a. DHCP läuft.
In dem Server sind zwei Netzwerkkarten eingebaut die mit festen IPS aus zwei Bereichen konfiguriert sind
(192.168.23.210/255.255.255.0 und 192.168.2.205/255.255.255.0)
Mit Hilfe dieses Forums habe ich es geschafft den DCHP-Server nur an die Haupt-IP 192.168.23.210 zu binden. DHCP-Anfragen unter 192.168.2.205 werden nicht beantwortet.
Nun wundere ich mich, warum auch Rechner die sich im "anderen" Netzwerk 192.168.2.x anmelden, IPs vom DHCP auf diesem Server erhalten. Bis ich festgestellt habe, dass ich von jedem Client aus dem Netz 192.168.2.x auf jede IP aus dem anderen Netz 192.168.23.x pingen und folglich auch auf den DHCP-Server 192.168.23.210 zugreifen kann.
So, wie ich das bisher verstanden hatte begrenze ich mit der Subnetmask den IP-Raum - das scheint aber falsch zu sein.
Daher meine Frage, wie bzw. wo ich den W2k3-Server konfigurieren muss, dass Clients aus dem Netz 192.168.2.x nicht auf die IPs unter 192.168.23.x zugreifen können.
Ein Routing bzw. RAS ist nicht eingerichtet - dahe rbin ich verwirrt.
Es ist das Routing, richtig? Nur, warum kann ich aus dem 2er-Netz auf das 23-Netz zugreifen?
Konnte ich meine Frage verständlich stellen?
Oder müsst Ihr noch etwas wissen? Dann fragt bitte!
Danke vorab und schöne Grüße!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 173352
Url: https://administrator.de/contentid/173352
Printed on: April 23, 2024 at 12:04 o'clock
7 Comments
Latest comment
Hallo,
Was genau möchtest du denn realisieren mit deinem Server mit 2 Netzwerkkarten und unterschiedliche DHCP Server aber nicht untereinander Routen können? Vielleicht ist ein Router (auch Virtueller) hier die bessere und einfachere Variante.
Gruß,
Peter
Zitat von @102597:
So, wie ich das bisher verstanden hatte begrenze ich mit der Subnetmask den IP-Raum - das scheint aber falsch zu sein.
Nene, das ist schon richtig.So, wie ich das bisher verstanden hatte begrenze ich mit der Subnetmask den IP-Raum - das scheint aber falsch zu sein.
Es ist das Routing, richtig? Nur, warum kann ich aus dem 2er-Netz auf das 23-Netz zugreifen?
Wie du schon selbst geschrieben hast "Es ist das Routing, richtig?". Es ist das Routing welches es dir ermöglicht auf andere Netze zuzugreifen. Und da dein Server Multihomed ist, sprich er hat mehr als eine IP, und du hast damit du dein DHCP korrekt anwenden kannst ( W2k3 - DHCP-Server - IP-Adresse festlegen (bei Einsatz mehrerer Netzwerkkarten) )die Routing / RAS Rolle installiert. damit ist er auch router und Routet zwischen deinen Netzen. Was ja meistens auch erwünscht ist.Was genau möchtest du denn realisieren mit deinem Server mit 2 Netzwerkkarten und unterschiedliche DHCP Server aber nicht untereinander Routen können? Vielleicht ist ein Router (auch Virtueller) hier die bessere und einfachere Variante.
Gruß,
Peter
Hallo!
Die Aufgabe ist, dass die Client aus dem sonst separaten Netzwerk .2.x nur auf einen Dienst auf dem W2k3-Server zugreifen sollen. Eben über die zusätzliche IP .2.205.
In beiden Netzwerken - .23.x und .2.x - ist ein DHCP. Alle Client suchen also bei der Anmeldung nach einem DHCP - leider in beiden Netzwerken.
Ich will jetzt vermeiden, dass ein Client aus dem physikalischen Netzwerk .2.x eine IP vom DHCP-Server 192.168.23.210 erhält. Umgekehrt darf das ebenso nicht sein.
Da der DHCP auf dem W2k3-Server nur noch mit der IP .23.210 gebunden ist, sollte das klappen, wenn aus dem Netz 2.x nicht auf die IP .23.210 zugegriffen werden kann.
Ist das ungefährt verständlich?
Danke!
Die Aufgabe ist, dass die Client aus dem sonst separaten Netzwerk .2.x nur auf einen Dienst auf dem W2k3-Server zugreifen sollen. Eben über die zusätzliche IP .2.205.
In beiden Netzwerken - .23.x und .2.x - ist ein DHCP. Alle Client suchen also bei der Anmeldung nach einem DHCP - leider in beiden Netzwerken.
Ich will jetzt vermeiden, dass ein Client aus dem physikalischen Netzwerk .2.x eine IP vom DHCP-Server 192.168.23.210 erhält. Umgekehrt darf das ebenso nicht sein.
Da der DHCP auf dem W2k3-Server nur noch mit der IP .23.210 gebunden ist, sollte das klappen, wenn aus dem Netz 2.x nicht auf die IP .23.210 zugegriffen werden kann.
Ist das ungefährt verständlich?
Danke!
Irgendwo machst du aber trotzdem Routing wie Kollege Pjordorf schon bemerkt hat, andernfalls wäre eine Kommunikation dieser beiden Netze bzw. von Clients in diesen beiden IP Netzen technisch völlig unmöglich !
Finde also dein "Routing Loch" dann weisst du warum eine Kommunikation möglich ist !!
Traceroute und Pathping sind hier deine Freunde wenn du mal von einem Client zum anderen pingst. Da kannst du dann genau sehen wer routet und diese Netze verbindet !!
Details erklärt dir dies Tutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
..."Alle Client suchen also bei der Anmeldung nach einem DHCP - leider in beiden Netzwerken." Nein, das ist technisch schlicht falsch !
DHCP funktioniert NICHT über geroutete Netze hinweg, da es einen UDP Broadcast Mechanismus benutzt und UDP Broadcasts werden eben nicht über Routergrenzen übertragen. Da erzählst du also technischen Unsinn !! Vergiss das besser wieder schnell...!
Wenn du in den beiden IP Netzen jeweils separate DHCP Server betreibst die NICHT auf dem Win Server liegen dann bekommt jeder Client auch nur die IP Adresse die zu seinem IP Segment gehört, niemals aber die von "der anderen Seite", da die dort niemals ankommt wenn du sauber beide Segmente getrennt hast wie es sich gehört.
Es sei denn du hast irgendwo ein Loop Kabel eingebaut und die Segmente über den Router hinweg im Layer 2 (auf Basis der Mac Adressen) verbunden. Zu befürchten ist das nach deiner o.a. Schilderung.
In diesem Falle herrscht dann natürlich völliges IP Adress Tohuwabohu und das Chaos nimmt seinen Lauf.... Das dann keine geordnete Kommunikation mehr möglich ist leigt auf der Hand.
Das kannst du aber immer sehen wenn du mit einem Wireshark Sniffer im Netz mal lauschst und checkst ob beide DHCP Server auf ein Request antworten...dann hast du so ein Problem.
Normalerweise regelt man das auch niemals so mit 2 separaten, externen DHCP Servern sondern nur mit einem zentralen auf dem Server selber.
Der vergibt dann 2 Scopes also die 2 IP Netze über einen Relay Agent an die entsprechenden Clients in ihrem Segment...und auch NUR an diese. (Siehe o.a. Tutorial !)
Finde also dein "Routing Loch" dann weisst du warum eine Kommunikation möglich ist !!
Traceroute und Pathping sind hier deine Freunde wenn du mal von einem Client zum anderen pingst. Da kannst du dann genau sehen wer routet und diese Netze verbindet !!
Details erklärt dir dies Tutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
..."Alle Client suchen also bei der Anmeldung nach einem DHCP - leider in beiden Netzwerken." Nein, das ist technisch schlicht falsch !
DHCP funktioniert NICHT über geroutete Netze hinweg, da es einen UDP Broadcast Mechanismus benutzt und UDP Broadcasts werden eben nicht über Routergrenzen übertragen. Da erzählst du also technischen Unsinn !! Vergiss das besser wieder schnell...!
Wenn du in den beiden IP Netzen jeweils separate DHCP Server betreibst die NICHT auf dem Win Server liegen dann bekommt jeder Client auch nur die IP Adresse die zu seinem IP Segment gehört, niemals aber die von "der anderen Seite", da die dort niemals ankommt wenn du sauber beide Segmente getrennt hast wie es sich gehört.
Es sei denn du hast irgendwo ein Loop Kabel eingebaut und die Segmente über den Router hinweg im Layer 2 (auf Basis der Mac Adressen) verbunden. Zu befürchten ist das nach deiner o.a. Schilderung.
In diesem Falle herrscht dann natürlich völliges IP Adress Tohuwabohu und das Chaos nimmt seinen Lauf.... Das dann keine geordnete Kommunikation mehr möglich ist leigt auf der Hand.
Das kannst du aber immer sehen wenn du mit einem Wireshark Sniffer im Netz mal lauschst und checkst ob beide DHCP Server auf ein Request antworten...dann hast du so ein Problem.
Normalerweise regelt man das auch niemals so mit 2 separaten, externen DHCP Servern sondern nur mit einem zentralen auf dem Server selber.
Der vergibt dann 2 Scopes also die 2 IP Netze über einen Relay Agent an die entsprechenden Clients in ihrem Segment...und auch NUR an diese. (Siehe o.a. Tutorial !)
Hallo,
Gruß,
Peter
Zitat von @102597:
Die Aufgabe ist, dass die Client aus dem sonst separaten Netzwerk .2.x nur auf einen Dienst auf dem W2k3-Server zugreifen sollen.
OK. Also wird definitiv kein Routing benötigt.Die Aufgabe ist, dass die Client aus dem sonst separaten Netzwerk .2.x nur auf einen Dienst auf dem W2k3-Server zugreifen sollen.
In beiden Netzwerken - .23.x und .2.x - ist ein DHCP.
Nicht ganz. Der DHCP für dein 23'er Netz ist dein Server selbst. Du hast im 2'er Netz noch einen anderen DHCP Server am laufen. Dein Multihomed Server bietet also den DHCP nur für das 23'er Netz an.Ich will jetzt vermeiden, dass ein Client aus dem physikalischen Netzwerk .2.x eine IP vom DHCP-Server 192.168.23.210 erhält.
Dann darfst du kein Routing verwenden. Ist die Routing/RRas bei dir aktiviert?dass ich von jedem Client aus dem Netz 192.168.2.x auf jede IP aus dem anderen Netz 192.168.23.x pingen kann
geht nur wenn du Routing am Server 2003 aktiviert hast.Gruß,
Peter
Irgendwo machst du aber trotzdem Routing wie Kollege Pjordorf schon bemerkt hat, andernfalls wäre eine Kommunikation
dieser beiden Netze bzw. von Clients in diesen beiden IP Netzen technisch völlig unmöglich !
dieser beiden Netze bzw. von Clients in diesen beiden IP Netzen technisch völlig unmöglich !
Das glaube ich, nur wo und wie?
Routing/RAS ist am Server nicht eingerichtet. Dienst ist nicht aktiviert.
Finde also dein "Routing Loch" dann weisst du warum eine Kommunikation möglich ist !!
Das versuche ich ja...
..."Alle Client suchen also bei der Anmeldung nach einem DHCP - leider in beiden Netzwerken." Nein, das ist
technisch schlicht falsch !
DHCP funktioniert NICHT über geroutete Netze hinweg, da es einen UDP Broadcast Mechanismus benutzt und UDP Broadcasts werden
eben nicht über Routergrenzen übertragen. Da erzählst du also technischen Unsinn !! Vergiss das besser wieder
schnell...!
technisch schlicht falsch !
DHCP funktioniert NICHT über geroutete Netze hinweg, da es einen UDP Broadcast Mechanismus benutzt und UDP Broadcasts werden
eben nicht über Routergrenzen übertragen. Da erzählst du also technischen Unsinn !! Vergiss das besser wieder
schnell...!
Tja, doch wieso ist es so wie es ist?
Die Ausgangssituation ist die:
Zwei befreunete Firmen mit eigenen Netzwerken - beide laufen unabhängig voneinander.
Nun will ein Rechner von Netzwerk B auf einen Dienst, der auf dem Server im Netzwerk A läuft.
Ich habe die Netzwerke wie beschrieben über eine zweite Netzwerkkarte verbunden.
Wenn ein Client aus dem physikalischen Netzwerk B hochfährt und isch anmeldet bekommt er eine IP vom DHCP-Server aus Netzwerk A (192.168.23.210).
Das ist so - ob es technisch möglich erscheint oder nicht.
Ich kann von einem Client der IP 192.168.2.50 (Netzwerk B) problemlos auf den Server mit der IP 192.168.23.210 und z.B die 192.168.23.200 (beides Netzwerk A) pingen.
Da der DHCP-Server auf dem Server mit beiden Netzwerkkarten nur auf die IP 192.168.23.210 gebunden ist und keine Anfragen auf der IP 192.168.2.205 beantwortet MUSS ja die IP vom DHCP der IP 192.168.23.210 kommen, oder?!
Also muss doche in Routing zwischen den beiden Netzwerkkarten da sein. Nur warum?
Es sei denn du hast irgendwo ein Loop Kabel eingebaut und die Segmente über den Router hinweg im Layer 2 (auf Basis der Mac
Adressen) verbunden. Zu befürchten ist das nach deiner o.a. Schilderung.
Adressen) verbunden. Zu befürchten ist das nach deiner o.a. Schilderung.
Nein, habe ich nicht... Die einzige physikalische Verbindung erfolgt über die zweite Netzwerkarte im Server A. Beide Netzwerkkarten haben fest IPs, kein Loop-Kabel, keine MAC-Adressen.
Ich bin ratlos...
> dass ich von jedem Client aus dem Netz 192.168.2.x auf jede IP aus dem anderen Netz 192.168.23.x pingen kann
geht nur wenn du Routing am Server 2003 aktiviert hast.
geht nur wenn du Routing am Server 2003 aktiviert hast.
Nicht bewusst. Wo/wie kann ich das prüfen?
Der Dienst Routing/RAS ist in jedem Fall deaktiviert.
hast Du vielleicht irgendwo noch einen switch sitzen oder einen DHCP-Proxy?
Wenn Du pingen kannst, dann mach doch einfach mal einen tracert/traceroute. Dann siehst Du, wer da mein routen zu müssen.
lks
Wenn Du pingen kannst, dann mach doch einfach mal einen tracert/traceroute. Dann siehst Du, wer da mein routen zu müssen.
lks
