Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows DHCP Server - Firmenfremde Geräte den Netzwerk-Zugriff verweigern

Mitglied: c0d3.r3d

c0d3.r3d (Level 1) - Jetzt verbinden

11.08.2019 um 14:40 Uhr, 749 Aufrufe, 15 Kommentare

Hallo,

wie bereits oben im Titel genannt, haben wir auf einem 2012er Server unseren DHCP laufen. Ab und zu kommt es dazu, dass ein spaßiger Mitarbeiter oder ein Azubi meint, hey ich steck mal den Rechner aus dem Switch und schließe meine eigene Hardware an oder nutze eine der freien Netzwerkdosen. Bei uns haben außer die AP´s, die Drucker und die Server alle Rechner dynamische Adressen.

Gibt es eine Möglichkeit im DHCP Server einzustellen, das neue unbekannte MAC-Adressen vorher z.B. genehmigt werden müssen bevor sie eine IP zugewiesen bekommen? Oder kann man das mit irgendwelchen Filter-Methoden machen?

Grüße
Mitglied: emeriks
11.08.2019 um 15:13 Uhr
Hi,
wenns mit Bordmitteln sein soll, dann ginge das schon mit einfachen MAC-Filtern . Das kommt aber jetzt darauf an, von wieviel Geräten wir da sprechen.

E.
Bitte warten ..
Mitglied: NixVerstehen
11.08.2019 um 15:18 Uhr
Servus,

da hast du verschiedene Möglichkeiten. Ungenutzte Dosen kannst du vom Switch nehmen oder die Ports in ein „Quarantäne“-VLAN legen,

Wenn deine Switches die Möglichkeit bieten, dann kannst du DHCP-Trusted Port verwenden. Es soll ja Mitarbeiter geben, die aus Spaß alte Router an ungenutzte Dosen anschließen.

Mach dich mal zum Thema Radius und Windows-Server schlau. Der WinServer kann als NPS (Network Policy Server) fungieren.

Gruß NV
Bitte warten ..
Mitglied: aqui
11.08.2019, aktualisiert um 15:41 Uhr
Gibt es eine Möglichkeit im DHCP Server einzustellen
Wenig oder nicht wirklich mit DHCP Frickelei ! Mit statischen IPs überwindet man das auch als Laie in Sekunden...
Das Feature der Wahl heisst 802.1x Port Authentisierung und hat jeder nur halbwegs bessere China Switch an Bord.
Mit dem Mac Passthrough Filter kannst du fremde Geräte entweder ganz blockieren oder in ein sog. Gummizellen VLAN zwingen wo sie nix machen können und sich z.B. über ein Captive_Portal mit einem Gast Voucher authentisieren müssen. CPs haben heutzutage auch einfache Switches schon mit an Bord.
Oder du nutzt statt Mac Adressen die MS AD Login Credentials. Beides geht...auch in Kombination.
Guckst du hier:
https://administrator.de/wissen/netzwerk-zugangskontrolle-802-1x-freerad ...
Ist ein simples Allerwelts Szenario was man eigentlich als Netzwerker auch ohne Administrator Forum Thread kennen sollte !
Bitte warten ..
Mitglied: c0d3.r3d
11.08.2019 um 15:45 Uhr
Hallo,

@emeriks, wenn ich das jetzt richtig verstanden haben, müsste ich bei den Verweigerten Geräten die MAC-Adressen aller Geräte eintragen die keine bekommen sollen - das würde gehen, bei Geräten die ich kenne, aber was mach ich mit neuen Geräten deren MAC ich nicht kenne? Wir reden hier von rund ~ 150 Arbeitsstationen, an denen es möglich ist, LAN Kabel zu tauschen oder umzustecken. In einigen Räumen, z.B. in unseren Schulungsräumen sind Verriegelbare LAN-Kabel in Verwendung, was jedoch nicht die optimalste Lösung ist, weil diese gerne mal "rausgerissen" werden und auf dauer das ganze kostspielig werden kann.

@NixVerstehen, Ungenutzte Dosen kann ich leider nicht vom Switch nehmen, da nirgendswo beschrieben worden ist, an welche Dose welches Kabel vom Patchpanel geht und dies bei über 200 Dosen manuell auszutesten ist mir persönlich zu viel Aufwand - da würde ich eher auf die MAC-Filterung zurückgreifen. Die Switche bieten leider keine solche Möglichkeiten, sind leider in den betreffenden Bereichen 0815 Desktop Switche aus einem PC Laden, teilweise sogar nur 100Mbit/s welche in Reihe geschaltet sind - teilweise echt schlimm wie darunter die Performance leidet, aber daran darf ich so einfach leider nichts ändern - ist nicht mein zuständiger Bereich. Zum NPS hab ich kurz was überflogen in der Mittagspause, setzte mich damit gleich nochmal auseinander.

Gruß
Bitte warten ..
Mitglied: NixVerstehen
11.08.2019 um 16:40 Uhr
Zitat von c0d3.r3d:

@NixVerstehen, Ungenutzte Dosen kann ich leider nicht vom Switch nehmen, da nirgendswo beschrieben worden ist, an welche Dose welches Kabel vom Patchpanel geht und dies bei über 200 Dosen manuell auszutesten ist mir persönlich zu viel Aufwand ...

Also die üblichen gewachsenen Strukturen, die eben irgendwie funktionieren.

Als wir 2014 in ein erworbenes Gebäude umgezogen sind, hab ich mit einem Kollegen einen Tag lang, bewaffnet mit Walkie-Talkie, Spannungsprüfer und Netzwerktester alle Netzwerkdosen und Steckdosen ordentlich beschriftet, weil der Vorbesitzer nichts dokumentiert hatte. War zwar viel Arbeit, aber spart zukünftig reichlich Sucharbeit.

Laufen den wenigstens alle Kabel auf Patchpanels in einem zentralen Schrank?

Gruß NV
Bitte warten ..
Mitglied: sleaper
11.08.2019 um 16:42 Uhr
Hi,

Schau dir doch mal macmon (https://www.macmon.eu/) an.... alles drin was du dafuer brauchst. Bei Fragen kannst du dich gerne melden.

Gruß
Bitte warten ..
Mitglied: c0d3.r3d
11.08.2019 um 18:19 Uhr
@NixVerstehen, ja genau - die immer gewachsene Struktur in der nie was protokolliert wurde.

Zentralen Schrank würde ich es nicht nennen, jede Etage hat halt einen Switch auf den die Etage zusammenläuft und von dort dann in den Serverraum in den nächsten Switch läuft, welcher direkt mit dem Server verbunden ist.

@sleaper, schau ich mir Mal an. Danke.
Bitte warten ..
Mitglied: NixVerstehen
11.08.2019 um 18:28 Uhr
Zitat von c0d3.r3d:

Zentralen Schrank würde ich es nicht nennen, jede Etage hat halt einen Switch auf den die Etage zusammenläuft und von dort dann in den Serverraum in den nächsten Switch läuft, welcher direkt mit dem Server verbunden ist.

Hmm...je Etage dann ein Patchfeld und ein Switch? Oder liegt der Switch irgendwo unter einem Schreibtisch von dort geht's direkt per Patchkabeln an die Geräte?
Bitte warten ..
Mitglied: c0d3.r3d
11.08.2019 um 18:37 Uhr
Jeder Raum hat einen Switch in dem alle Geräte aus dem Raum Zusammen kommen, manchmal auch zwei oder drei in Reihe wenn's zu viele Geräte sind. Dieser Switch ist mit wieder mit einem Kabel an den Etagen Switch angeschlossen. Und dieser ist wiederum im Server Raum ans Patchfeld gebunden.

Vereinzelt gibt es auch Wanddosen, die fließen dann aber auch an den Raum-Switch.

Grundsätzlich ist die Idee gut gewesen, nur die Umsetzung schlecht.
Bitte warten ..
Mitglied: aqui
11.08.2019, aktualisiert um 18:39 Uhr
jede Etage hat halt einen Switch auf den die Etage zusammenläuft und von dort dann in den Serverraum in den nächsten Switch läuft, welcher direkt mit dem Server verbunden ist.
Flaches, dummes Layer 2 Netzwerk oder gibt es irgendwelche intelligente oder sinnvolle Segmentierung (VLANs etc.) ??!
Bitte warten ..
Mitglied: NixVerstehen
11.08.2019 um 19:12 Uhr
Zitat von c0d3.r3d:

Jeder Raum hat einen Switch in dem alle Geräte aus dem Raum Zusammen kommen, manchmal auch zwei oder drei in Reihe wenn's zu viele Geräte sind. Dieser Switch ist mit wieder mit einem Kabel an den Etagen Switch angeschlossen. Und dieser ist wiederum im Server Raum ans Patchfeld gebunden.

Vereinzelt gibt es auch Wanddosen, die fließen dann aber auch an den Raum-Switch.

Ok, Ihr habt also je Etage einen Etagen-Switch. Von dort führen wahllos wild verlegte Patchkabel zu irgendwelchen Desktop-Switches, die man eben wie Mehrfachsteckdosen solange aneinander gereiht hat, bis jedes Gerät einen freien Switchport bekommt. Und du bist der arme Administrator, der das möglichst ohne nennenswerte Kosten am Leben erhalten soll?

Falls das wie oben beschrieben zutrifft, ist der Zugriff betriebsfremder Geräte auf euer Netz vermutlich noch euer geringstes Problem.
Da muss erstmal eine Struktur und eine ordentliche Verkabelung rein.

Gruß NV
Bitte warten ..
Mitglied: c0d3.r3d
11.08.2019 um 20:12 Uhr
Naja, sinnvoll oder intelligent liegt im Auge des Betrachters - früher ist das wohl für sinnvoll erachtet worden. Es gibt VLAN's für die Eintrittskontrolle mit der Chip-Karte und für die Videoanlage im Haus - aber wo da die Kabel liegen hab ich keinen Blassen Schimmer - ich glaube ich will das auch garnicht wissen. Es ist eh schon katastrophal genug, dass jede Etage nur über ein 100MBit/s Switch miteinander verbunden ist und da hinter so ca 20-40 Rechner hängen - da dauert das Aufrufen von Webseiten schonmal - und den Proxy kann ich ausschließen. Wenn ich an Terminal Stationen sitze geht's mit dem surfen flott, die Server sind ja über Gigabit angebunden.

Mit der Mehrfachsteckdose trifft es wirklich sehr gut, zum Glück ist die Stromverteilung nicht so verlegt, da gibt es zum Glück nur Boden oder Wanddosen - und ne halbwegs gute Beschriftung.

Ja, die Struktur ist wie aus dem Bilderbuch, nämlich so wie man es nicht machen sollte. Ich hab auch bereits einen Termin mit dem zuständigen Chef für das Gebäude gemacht, weil nächstes Jahr VoIP geplant ist und da sehe ich definitiv mit der Struktur schwarz.

Wie würden denn eine sinnvolle Aufteilung eurer Meinung nach aussehen? Jede Etage mit einem Patchpanel (Gigabit) und von dort direkt zu den Clients ohne den Raum-Switch oder den Raum-Switch auch durch einen größeren Gigabit ersetzen, sodass keine Mehrfachswitche mehr nötig sind, außer halt von dem Raum in den Etagen Switch?
Bitte warten ..
Mitglied: maretz
11.08.2019 um 22:22 Uhr
Moin,

was ich machen würde - je nachdem was ihr als Switch habt:
- Radius aufsetzen und dort die MAC-Adressen der Firmengeräte einlesen (sollte recht einfach mittels Script gehen wenn man die ausm DHCP von Windows exportiert bekommt)
- Switch auf den Radius setzen
- Jeden Port bei Benutzung einer nicht zugelassenen MAC auf Shut setzen und gesperrt lassen...
--> Der Kollege/Azubi steckt seinen Rechner wieder an, geht immer noch nicht, IT anrufen, Ar***tritt abholen. Wenn es lt. Firmenrichtlinie verboten ist private Geräte anzuklemmen (bzw. nicht explizit erlaubt!) UND dann noch die Firmen-Hardware abgezogen wird wäre der Spass für mich zuende. Ich wäre der letzte der nicht versucht Möglichkeiten zu finden, wer aber mein Netz kaputt macht muss damit rechnen das der o.g. Ar...tritt auch mal am Ar... vorbei geht und selbe Höhe der vorderen Körperseite trifft....
Bitte warten ..
Mitglied: maretz
11.08.2019 um 22:27 Uhr
Für eine ordentliche Struktur kann der einzige Rat nur lauten: Entweder hol dir nen Firma ODER mach dir in Ruhe Gedanken.. Es gibt ungefähr 2000 Layouts die möglich sind. Die hängen dann vom Budget, von deinem Gebäude und von den Möglichkeiten ab... Nehmen wir an du musst durch x Brandabschnitte dann mag es ggf. sinn machen sogar mehrere Etagen-Verteiler pro Etage zu haben. Nehmen wir an du hast nur nen altes Kabel mit 4 Adern was leider einbetoniert wurde und du hast keine Option da was neues zu legen -> dann macht GBit schon wenig Sinn...

Dafür gibt es aber Firmen die sich mit genau diesen Themen auskennen - in nem Forum ohne wirkliche Baupläne, Fotos usw. sowas zu machen würde nur nen Schuss ins Blaue bedeuten... D.h. du hast ne chance von ca. 1/1999 das es wirklich passt.
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
Netzwerk Zugriff über VPN
Frage von Motte990Windows Netzwerk5 Kommentare

Hallo Leute. Ich habe mit meinem Bruder über unsere 2 Fritzboxen ( Unterschiedliche Standorte ) eine VPN Verbindung aufgebaut. ...

Netzwerkmanagement

OES-Netzwerk - DHCP verteielt nicht an alle

Frage von PN-SchrauberNetzwerkmanagement7 Kommentare

Hallo, ich brauche mal wieder eine Idee von euch, diesmal zum Thema DHCP. Und zwar habe ich einig Rechner, ...

Windows Server

Windows Server bekommt kein Netzwerk bzw. keine IP Adresse vom DHCP

Frage von spcvltWindows Server5 Kommentare

Hallo zusammen, ich habe einen virtuellen Windows Server 2012R2. Dieser sollte sich eine feste IP Adresse von einem Debian ...

Hardware

IDRAC, Hardware zugriff über Netzwerk

Frage von nodejsHardware5 Kommentare

Hallo Ihr lieben, ich bin auf der Suche nach der Möglichkeit ein 0815 Mainboard übers Netzwerk zu Administrieren. z.B. ...

Neue Wissensbeiträge
Humor (lol)

"Linux und 5 Gründe Warum man kein Windows verwenden sollte sondern Ubuntu Linux"

Tipp von Snowbird vor 1 TagHumor (lol)8 Kommentare

Gerade gefunden. Ja, ist etwas älter, aber irgendwie lustig?

Humor (lol)

"Warum Linux in einer vernetzten Welt einfach keinen Komfort bietet!"

Tipp von Snowbird vor 2 TagenHumor (lol)13 Kommentare

Ein interessanter Einblick warum Linux nichts für Geräteübergreifende Arbeit ist :)

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von Lochkartenstanzer vor 2 TagenHumor (lol)17 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...

Windows Update

KB4517297 verfügbar, behebt Fehler in VB6 VBA VBScript

Information von sabines vor 2 TagenWindows Update

Das Update behebt mögliche Fehler in VB6, VBA und VBScript, die durch das Update KB4512486 vom August entstanden sind. ...

Heiß diskutierte Inhalte
Router & Routing
Deinstalliertes Geräte wird in FritzBox noch immer als verbundenes Gerät angezeigt
gelöst Frage von imebroRouter & Routing18 Kommentare

Hallo, in meiner FritzBox 7490 wird im Bereich "Funknetz" ein Gereät bei den verbundenen Geräten angezeigt, wobei ich nicht ...

Windows 10
Windows 10 druckt nicht mehrere Kopien?
Frage von StefanKittelWindows 1015 Kommentare

Hallo, ich hatte gerade einen Anruf eines Kunden. Sein neuer PC (Win 10 1903) druckt nicht mehr mehrere Seiten ...

Verschlüsselung & Zertifikate
Mit BitLocker verschlüsselte Festplatte löschen?
gelöst Frage von SnowbirdVerschlüsselung & Zertifikate14 Kommentare

Hallo, ich habe eine mit Bitlocker verschlüsselte externe Festplatte. Diese möchte ich gerne löschen sodass nichts mehr auffindbar ist. ...

Sonstige Systeme
Ist es möglich ein ISDN-Telefon an einen analogen Anschluss anzuschließen?
Frage von cramtroniSonstige Systeme14 Kommentare

Also anders herum geht es ja, da gibt es ja diese Adapter von RJ11 auf TAE-F, aber gibt es ...