Erweiterung der IP-Adressen

[Emmermacher 15]

Hallo.

 

Wir sind hier gerade dabei, den Adressraum für unsere IP-Adressen zu erweitern.

Aktuell ist im Einsatz 192.168.10/24. Hier soll werden 192.168.0.0/22.

Server, Drucker, Switches und Gateway haben festen Adressen, was auch so bleiben wird. Hier ist eine Änderung der Subnetmasken kein Problem.

 

Was muss man in den Bereichen DNS/DHCP beachten?

Im DNS muss eine neue Reverselookupzon erstellt werden. Wie heist diese dann? Ich würde 168.192.in-addr.arpa anlegen, da der Adressraum bei 0.168.192.in-addr.arpa nicht ausreichen wird.

 

Wie ändert man die Subnetmaske beim DHCP-Server? Kann man hier alles Exportieren, die Einträge anpassen? Ich würde dann im DHCP alles löschen und die veränderten Einstellungen importieren.

 

Is im AD noch etwas zu beachten? Da wir seit neustem einen zweiten Standort in unserer Domain haben, habe ich hier unter "Active Directory-Standorte und -Dienste" entsprechende Einträge vorgenommen. Zwei Subnets und zwei Standorte.

Unsere Server sin W2k8 r2.

 

Vielen Dank im voraus für Eure Anworten.

 

Euch allen wünsche ich einen schönen vierten Advent!

 

Dirk Emmermacher

[daabm 1.185]

Wenn Du das einfach als zusätzliche Netze machen kannst, ist es völlig streßfrei :p

 

Ansonsten gebe ich gerne zu, dass ich das noch nie machen musste...

[Emmermacher 15]

Hallo Martin.

 

Herzlichen Dank für Deine Antwort. Das ist natürlich auch noch eine Möglichkeit. Mit dem Thema beschäftigt man sich normalerweise auch nicht. Leider wachsen unsere Netzstrukturen immer wieder. Vermeiden lässt sich das wohl nicht. Mitterweile reicht das klassische Class-C Netz bei uns nicht mehr. Seit Einführung von virtuellen Systemen ist die Anzahl der Server fast explosionsartig gestiegen.

 

Dann werde ich mal ein paar zusätzliche Zonen einrichten.

 

LG

 

Dirk

[lefg 276]

Moin,

 

das Erweitern eines Adressraumes sehe ich als einfach an, habe ich im laufenden Betrieb mehrfach störungsfrei durchgeführt, niemand hat etwas davon gemerkt.

 

Dem Wunsch der Verdoppelung des Adressraumens folgend, ausgehend von einem aktuellen Bereich 192.168.0.0/24 beginne ich am Router, andere dessen Maske auf /23, damit erhält er den Adressraum von 192.168.0.1-192.168.1.254.

 

Dann ändere ich an den Server die Mask auf /23, auch den mit dem DHCP

 

Zzum Schluss ändere ich am DHCP den Adressraum, so das gewollt ist, notwendig ist.

 

Man kann es natürlich auch in einer anderen Reihenfolge machen, mit dem Server, mit dem des DHCP beginnen.

 

 

Es gibt auch andere Methoden, Subnetze oder VLAN(Möglichkeit der Priorisierung).

 

Nach meiner Erfahrung reicht im Normalfall ein /23 lange aus nach dem Zukleinwerden eines /24, ein /22 kann, muss aber nicht sein.

 

Um wieviele Router, Server, Drucker, Clients handelt es sich denn wirklich?

 

Und falls jemand meint, es brauche in absehbarer Zeit doch mehr Raum, dann eben /22, das frisst kein Brot. :)

 

Falls doch wirklich viel mehr Teilnehmer werden, es mehr Verkehr im Netz wird, man den Eindruck hat, das Netz werde langsamer, dann schaue man sich mal den Broadcast an. Falls der wirklich aussergewöhnlich gestiegen, dann ergründe man möglichst die wahre Ursache. Falls diese sozusagen natürlichen Ursprungs, dann denke man wiederv über Teilnetze und/oder VLAN nach.

bearbeitet 22. Dezember 2014 von lefg

[Emmermacher 15]

Hallo lefg.

 

Herzlichen Dank für Deine Antwort.

Da unser Netz relativ einfach strukturiert ist, habe ich die Umsetzung bereits vorgenommen.

Die Firewall ist angepasst, ebenso Switch, Drucker und alle Server (halt alles, was feste IP-Adressen bekommt). VLANs haben wir nicht.

Eine Workstation hatte ich testweise manuell umgestellt. Hier gab es keine Fehler. Alles war erreichbar.

 

Gestern habe ich im DNS-Server die entsprechenden Reverse-Lookupzonen eingerichtet (192.168.0.0 , 192.168.2.0 , 192.168.3.0)

Heute morgen dann der letzte Schritt. Auf dem zweiten DC habe ich DHCP enstprechend installiert. Auf dem anderen DC ist DHCP zur Zeit heruntergefahren. Aktuell aht sich noch niemand beschwert, das etwas nicht funktioniert.

 

Eine Überwachung der Broadcasts habe ich auf einem Server über PRTG eingerichtet. Hier werde ich erst mal Werte sammeln müssen. Da ich mit PRTG solche Sensoren noch nicht erstellt, probiere ich ein wenig herum.

 

 

Ansonsten wünsche ich Euch allen ein frohes Fest und paar freie Tage!

 

LG

 

Dirk

[lefg 276]

Moin Dirk,

 

 

Reverse-Lookupzonen eingerichtet (192.168.0.0 , 192.168.2.0 , 192.168.3.0)

 

 

Braucht man denn in diesem Fall die RLZ 192.168.2 und 192.168.3?  Bei /252 reicht das Netz doch von 192.168.0-192.168.0 bis 192.168.3, oder?

[Emmermacher 15]

Hallo lefg.

 

Eigentlich brauche ich diese aktuell nicht. Wenn sie vorhanden sind, schadet das aber mit Sicherheit auch nicht.

Aktuell versuche ich die DNS-Server noch zu übereden, die Reverse-lookup Einträge zu aktualisieren.

Jede Reverse-Lookupzone hat alle vorhandenen DNS-Server als NS-record eingetragen.

 

Auf den betroffenen Client habe ich es ipconfig /registerdns versucht. Kein Erfolg.

DNS-Cache löschen und veraltete EInträge löschen hat auch nichts gebracht.

 

Der DHCP-Server steht im Breich DNS auf: Dyn. DNS-Aktualisierungen mit den unten angegebenen Einstellungen aktualisieren: [X]

DNS-A und PTR-Einträge immer dynamisch aktualisieren [X]

A- und PTR-Einträge beim Löschen der Lease verwerfen [X]

DHCP-Namesschutz ist nicht aktiv.

Der Netzwerkzugriffschutz ist aktiviert.

Anzahl der Konflikterkennungsversuche: 1 (musste wegen virtueller Desktop von 0 auf 1 gesetzt werden.

 

Die Reversezonen stehen auf:

Dynamische Updates: Sichere und nicht sichere.

DNS-Server sind alle vorhandenen eingetragen

Veraltete Ressourceneinträge werden aufgeräumt, ebenso beim DNS-Server.

 

Da bin ich wohl mit diesem Fehler nicht alleine. Eine funktioniende Lösung habe ich bislang noch nicht gefunden :(.

 

LG

 

Dirk

[lefg 276]

Funktioniert denn die Vorwärtsauflösung? Brauchst Du eine Rückwärtsauflösung? Wofür?

 

Was funktioniert sonst nicht?

 

Mache sonst einen neuen Thread auf mit einem aussagekräftigen Titel!

bearbeitet 23. Dezember 2014 von lefg

[Emmermacher 15]

So langsam habe ich das Thema im Griff.

Dem DHCP-Server fehlten noch die Authentifizierungsdaten zum DNS. Nach und nach tauchen jetzt die Workstations in der richtigen Zone auf.

Mein PVS ist auf jeden Fall mit Reverse-Zonen glücklicher.

 

Frohes Fest und einen Guten Rutsch in neue Jahr wünscht Euch

 

Dirk

bearbeitet 23. Dezember 2014 von Emmermacher

[lefg 276]

 

ebenso Switch,

 

Wozu?

[Emmermacher 15]

Hallo lefg.

 

Ich wünsche Euch allen ein frohes neues Jahr.

 

Unser Buchhaltungssystem benötigt auf jeden Fall eine saubere DNS-Konfig. Das läuft ansonsten auf den Clients nicht. Nachdem ich noch auf ein paar Linuxservern Richtlinen in den Bereichen Firewall und Samba angepasst habe, läuft das jetzt rund. Auf dem alten DHCP-Server werde ich die Einstellungen löschen und neu einrichten. Der bekommt dann den Bereich 192.168.2.x zugewiesen. Dann habe ich auch hier endlich eine Redundanz.

 

LG

 

Dirk

[lefg 276]

Moin Dirk,

 

ja, DNS, die ordentlche Konfiguration, die  Namensaufløsung per DNS ist wohl mehr als die halbe Miete zum Funktionieren einer Windowsdomain mit ADS und auch anderer Systeme wie die Buchhaltung, die Database dafür.

 

Redundanz, ja natürlich, für eine eine Windowsdomain bevorzuge ich einen zweiten DC, dieser trägt natürlich auch einen DNS, natürlich ist der DNS im AD-integriert. Ich bevorzuge homogene Systeme, auf Linux kann ich in dem Zusammenhang verzichten, brauche es da nicht, brauche da auch nichts zu konfigurieren, anzupassen, brauche keine extra Richtlinien.

 

Nun, wenn Du alles zum Funktionieren hast, dann ist alle gut.

 

Ein Punkt, funktioniert auch noch alles bei Ausfall des (1.)DC? Hast Du den Worst Case getestet?

 

Gruß

 

Edgar

bearbeitet 7. Januar 2015 von lefg