99536
Goto Top

Wie werden doppelte IP Adressen vermieden ?

Halli Hallo,
Ich bin ein FiSi im 2. Jahr und bei mir im Geschäft haben wir folgendes Problem:

Wir haben uns vor 1 1/2 Jahren ein "schönes" Softwareverteilungsprogramm von Matrix42 (Empirum...) zugelegt.

Gestern haben wir dann ein Paket an alle Rechner in unserem Netzwerk verteilen wollen und von knapp 300 PC's wurden 30 Rechner nicht installiert.
Warum diese Rechner nicht installiert wurden wissen wir auch schon und zwar wird bei uns komischerweise eine IP Adresse an 2 Rechner vergeben...
Keiner dieser Rechner hat eine Statische IP, sondern bekommen diese immer von unserem DCHP Server zugewiesen.

Deshalb: Wie kann ich das für die Zukunft verhindern und im Moment unterbinden ?

Mit freundlichen Grüßen aus Freiburg

NexXxuS

Content-Key: 176771

Url: https://administrator.de/contentid/176771

Printed on: July 14, 2024 at 17:07 o'clock

Member: Indrador
Indrador Nov 24, 2011 at 12:38:46 (UTC)
Goto Top
Hi,

kannst du noch ein wenig näher auf euer Netzwerk eingehen?
300 Clients reichen ja nicht für ein "Class-C" Netz also reden wir hier erstmal von einem größeren Netz, VLANs oder Subnets.

Oder wir reden von einem Class C und ihr habt einfach zuviele gleichzeitige Rechner.

Gruß
Mitglied: 99536
99536 Nov 24, 2011 at 12:45:24 (UTC)
Goto Top
Hallo Indrador,

Bei uns geht es über Subnetze.
Also die IP Range sollte nicht das Problem sein.
Nach meinem Überschlag müssten wir noch knapp 200 freie Adressen haben.

GreezZz

NexXxuS
Member: aqui
aqui Nov 24, 2011 at 12:51:20 (UTC)
Goto Top
..."geht es über Subnetze ?!" Was soll das heissen ?? Ist euer Netzwerk segmentiert (VLANs) ?? Oder hast du nur eine größere Subnetzmaske ? Bei 300 Client Adressen muss entweder das eine oder andere der Fall sein. Deine Antwort ist da recht schwammig.
Na ja egal...sind wir mal gnädig im 2ten Jahr...obwohl man da eigentlich den IP Durchblick haben sollte ?!
Wenn in einem DHCP kontrolliertem IP Netz doppelte IPs auftreten hat das immer folgende Gründe:
  • Keine genaue "Buchführung" und Abgleich mit dem DHCP Bereich falls parallel statische IPs in dem(n) Netz(en) vergeben wurden an Server, Router, NAS etc. und es dadurch zu Überschneidungen kommt.
  • Jemand betreibt "wilde" DHCP Server in dem Netz(en) und du hast kein DHCP Snooping zur Sicherheit auf den Switches konfiguriert.
Eins der Punkte ist also bei dir der Fall...
Member: mrtux
mrtux Nov 24, 2011 at 12:51:44 (UTC)
Goto Top
Hi !

Zitat von @99536:
Also die IP Range sollte nicht das Problem sein.

Wenn Du sinnvolle Hilfe erwartest, dann mach bitte worum dich der Kollege Indrador schon gebeten hat: Beschreibe dein bitte dein Netzwerk etwas genauer!
Wir sind hier Admins mit fehlenden (aber notwendigen) technischen Fakten und keine (ratenden) Astrologen mit Karten oder Glaskugeln....

mrtux
Member: Der-Phil
Der-Phil Nov 24, 2011 at 13:11:41 (UTC)
Goto Top
Hallo,

prüfe mal die MAC-Adressen der entsprechenden Computer.
Ich hatte vor vielen Jahren mal billige Netzwerkkarten bei nem Kunden, bei denen die MAC vom Treiber angegeben wurde. Hat man dann das Image auf eine andere Hardware kopiert, wurde die gleiche MAC genutzt...

Phil
Mitglied: 99536
99536 Nov 24, 2011 at 13:12:08 (UTC)
Goto Top
Entschuldigung das ich mich für alles andere interessiere ...

So:
Wir haben ein Klasse-C Netz.
Und ein Subnetz, dass bei .8.01 beginnt und bei .10.255 endet.
Die "doppelten" IP's werden ausschließlich an Workstations verteilt, nicht an Server, Router oder SAN...

Dieses "DHCP Snooping" lese ich jetzt zum ersten Mal...
Mitglied: 99536
99536 Nov 24, 2011 at 13:17:01 (UTC)
Goto Top
Es sind alles verschiedene MAC Adressen...
Member: Nagus
Nagus Nov 24, 2011 at 13:22:53 (UTC)
Goto Top
Moin,
wie sieht es mit Reservierungen auf dem DHCP aus?
Member: clSchak
clSchak Nov 24, 2011 at 14:15:55 (UTC)
Goto Top
Zitat von @99536:

Die "doppelten" IP's werden ausschließlich an Workstations verteilt, nicht an Server, Router oder SAN...

haben denn deine Server statische IP's? Oder wird bei euch "alles" dynamisch zugewiesen, ich gehe mal davon aus, dass Ihr ein /22 Netz habt, also die Range nicht von 192.168.8.0 - 192.168.10.255 geht sondern eher von 192.168.8.0-192.168.11.255 (eine /23 Maske würde nur bis 9.255 gehen).

Was du noch prüfen könntest ist wie es mit den Adress-Leases aussieht, nicht das es dort zu Problemen kommt und dann auch schauen was der 2. DHCP Server macht (ich gehe jetzt einfach davon aus das der im Cluster läuft bzw. mindestens ein StandBy DHCP konfiguriert ist für den Notfall) - nicht das die gerade nicht synchronisiert sind und jeder fleißig dem anderen die IP Adresse "wegnimmt"

PS: Klasse A / B / C Netze gibt es seit langen nicht mehr ... entscheident ist die Subnetzmaske face-smile
Member: aqui
aqui Nov 24, 2011 at 14:32:48 (UTC)
Goto Top
@Nexus
Wir haben ein Klasse-C Netz.... Und ein Subnetz, dass bei .8.01 beginnt und bei .10.255 endet.
Das ist Unsinn, sowas gibt es nicht ! Ist aber OK, wenn man sich dafür nicht interessiert......
Die IP Klassen Einteilung ist so oder so schon seit Jahrzehnten passe mit der Einführung von CIDR IP Adressen. Vergiss das also.
Auch deine Rechnung bzw. der Bereich der IP Adressen die du oben für dein Netzwerk angibst ist so unmöglich !!
Du hast entweder eine 23 Bit (255.255.254.0) oder eine 22 Bit Maske (255.255.252.0)
Die Host Adress Bereich für gültige IP Adressen an Endgeräte sind dann wie folgt: (Beispiel)
Netzwerk: 172.16.8.0, Gültige Host IP Adressen: 172.16.8.1 bis 172.16.9.254, Broadcast Adresse: 172.16.9.255
Maske: /23 = 255.255.254.0
oder
Netzwerk: 172.16.8.0, Gültige Host IP Adressen: 172.16.8.1 bis 172.16.11.254, Broadcast Adresse: 172.16.11.255
Maske: /22 = 255.255.252.0
Deine IP Ranges sind also völlig unmöglich.
Ggf. liegt hier der Fehler das du schlicht und einfach ein inkonsistente Subnetzmaske in deinem Netzwerk aktiv hast.
Da solltest du also mal genauer hinsehen !
Mal ganz abgesehen davon das man niemals so viele Endgeräte in eine Broadcast Domain schieben sollte...aber auch OK wenn die Interessen woanders liegen als im IP Netzdesign...
Und...mit DHCP Snooping ( http://en.wikipedia.org/wiki/DHCP_snooping ) würde auch keine Doppelvergabe passieren...wieder was gelernt im 2ten Jahr ! face-wink
Member: dregor
dregor Nov 24, 2011 at 15:37:47 (UTC)
Goto Top
Um das Problem mal genauer zu beschreiben:

Subnet-Mask 255.255.252.0 und keine VLANs, Clients haben keine statischen IP-Adressen.
Auf den DCs läuft Windows Server 2003. Darauf laufen DHCP- und DNS-Server.

Das Problem ist, dass im DNS alte Einträge erhalten bleiben von PCs, die es schon lange nicht mehr gibt und deren DHCP-Lease abgelaufen ist.
Das Ganze zeigt sich dann so, dass in unserer lokalen Forward-Lookupzone mehreren Rechnern dieselbe IP-Adresse zugeordnet sind, in der Reverse eine IP mehreren Rechnern zugeordnet ist.
Dabei unterscheiden sich Forward- und Reverse-Lookupzone bei der Rechner-IP-Zuordnung auch noch.

Der DNS-Server ist so konfiguriert, dass er veraltete Einträge NICHT automatisch entfernt.

Der DHCP-Server ist so konfiguriert:
Dynamische DNS-Updates => DNS-A und -PTR-Einträge immer dynamisch aktualisieren
A- und PTR-Einträge beim Löschen der Lease verwerfen
DNA-A- und PTR-Einträge, die keine Updates anfordern dynamisch aktualisieren.

Dem DHCP-Server ist KEIN User für dynamische DNS-Updates zugeordnet.
Die DCs (auf denen DHCP und DNS läuft) sind nicht in der "DnsUpdateproxy"-Gruppe.

Ich vermute, der DHCP-Server löscht bei einem abgelaufenen Lease nicht die Einträge im DNS.

Die Frage ist, was jetzt sinnvoll ist
1) DNS konfigurieren, dass verweiste Einträge regelmäßig gelöscht werden?
2) DHCP in die "DnsUpdateproxy"-Gruppe?
3) DHCP einen User für dynamische DNS-Updates zuordnen? Muss dann im DNS noch bei den Sicherheitseinstellungen etwas geändert werden? Bzw. welche Rechte braucht der User?
(Mehrfachnennungen möglich ;) )


Liebe Grüße und danke für eure Zeit,
Der andere FiSi
Member: Indrador
Indrador Nov 24, 2011 at 15:49:48 (UTC)
Goto Top
Zitat von @dregor:
Um das Problem mal genauer zu beschreiben:

Subnet-Mask 255.255.252.0 und keine VLANs, Clients haben keine statischen IP-Adressen.
Auf den DCs läuft Windows Server 2003. Darauf laufen DHCP- und DNS-Server.

Das Problem ist, dass im DNS alte Einträge erhalten bleiben von PCs, die es schon lange nicht mehr gibt und deren DHCP-Lease
abgelaufen ist.
Das Ganze zeigt sich dann so, dass in unserer lokalen Forward-Lookupzone mehreren Rechnern dieselbe IP-Adresse zugeordnet sind, in
der Reverse eine IP mehreren Rechnern zugeordnet ist.
Dabei unterscheiden sich Forward- und Reverse-Lookupzone bei der Rechner-IP-Zuordnung auch noch.

Der DNS-Server ist so konfiguriert, dass er veraltete Einträge NICHT automatisch entfernt.

Der DHCP-Server ist so konfiguriert:
Dynamische DNS-Updates => DNS-A und -PTR-Einträge immer dynamisch aktualisieren
A- und PTR-Einträge beim Löschen der Lease verwerfen
DNA-A- und PTR-Einträge, die keine Updates anfordern dynamisch aktualisieren.

Dem DHCP-Server ist KEIN User für dynamische DNS-Updates zugeordnet.
Die DCs (auf denen DHCP und DNS läuft) sind nicht in der "DnsUpdateproxy"-Gruppe.

Ich vermute, der DHCP-Server löscht bei einem abgelaufenen Lease nicht die Einträge im DNS.

Die Frage ist, was jetzt sinnvoll ist
1) DNS konfigurieren, dass verweiste Einträge regelmäßig gelöscht werden?
2) DHCP in die "DnsUpdateproxy"-Gruppe?
3) DHCP einen User für dynamische DNS-Updates zuordnen? Muss dann im DNS noch bei den Sicherheitseinstellungen etwas
geändert werden? Bzw. welche Rechte braucht der User?
(Mehrfachnennungen möglich ;) )


Liebe Grüße und danke für eure Zeit,
Der andere FiSi

Hi,

also ich lösche veraltete Einträge nach 5 Tagen und dynamische Updates (sichere) sind erlaubt.

Gruß
Member: dregor
dregor Nov 25, 2011 at 07:25:55 (UTC)
Goto Top
Hi Indrador,

Dynamische Updates sind bei uns auf "sichere und unsichere" eingestellt. Löschst du die Einträge im DNS mit dem "Alterung/Aufräumvorgang" oder hast du noch den DHCP so konfiguriert, dass er bei ablaufendem Lease DNS-Einträge ändert?

Grüße!
Member: Indrador
Indrador Nov 25, 2011 at 18:16:18 (UTC)
Goto Top
Hi Dregor,

Kurz und knapp, im Aufräumvorgang.

Gruß