bcc 10 Geschrieben 7. Dezember 2010 Melden Teilen Geschrieben 7. Dezember 2010 Hallo zusammen Ich beschäftige mich im Moment unter anderem mit folgender Frage. Wir haben im Moment zwei DHCP Server in zwei verschiedenen Standorten. Die jeweils weiter Standorte mit IP Adressen versorgen, wir haben die ganze Geschichte via Routing gelöst. Nun wollten wir dies Zentralisieren, dies ist aber nicht die eigentliche Frage. Sonder, mein Ziel ist es den DHCP einerseits Redundant bereit zu stellen und es sollte möglich sein, dass wir mehr im Bereich Sicherheit machen. Sprich es soll einem Fremden nicht möglich sein, ein Netzwerkkabel von einem bestehenden Computer an seinen zu hängen und eine IP zu beziehen. Nun ist die Frage wir dies am besten realisiert wird? Es gibt zb. NAP oder mit Klassen zu arbeiten. Nett wäre es wenn nur Clients IP’s beziehen die zb. zur Domain gehören. Ich hoffe Ihr versteht was ich meine und mein erster Beitrag ist nicht zu schräg!? Es würde mich sehr freuen einige Anregungen von euch zu lesen! Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 7. Dezember 2010 Melden Teilen Geschrieben 7. Dezember 2010 Servus, die Möglichkeiten um DHCP ausfallsicher zu gestalten sind: 1. Du kannst auf dem zweiten Server die gleichen Scopes als DHCP Server einrichten. Den DHCP Server im AD autorisieren, aber den Dienst deaktivieren. Im Fehlerfall (primärer DHCP fällt aus) kannst du den zweiten DHCP aktiv schalten. 2. Du kannst die IP-Bereiche teilen. Dann verteilen beide DHCP-Server die IP-Adressen und im Fehlerfall musst du im Idealfall nichts machen (ausreichend verfügbare IP-Adressen vorausgesetzt). 3. Zwei DHCP-Server haben den gesamten Adressbereich, aber jeder der Server schliesst den zu verteilenden Bereich des jeweils anderen Servers aus. Z.B. verteilen beide Server 10.0.0.1 - 10.0.0.254. Wenn beide Server in etwa die Hälfte der Adressen verteilen sollen, dann schliesst der erste DHCP von 10.0.0.1 - 10.0.0.128 aus und der zweite DHCP von 10.0.0.129 - 10.0.0.254. 4. Einen DHCP-Cluster installieren. Was das Thema DHCP und Sicherheit betrifft, siehe: LDAP://Yusufs.Directory.Blog/ - Ist DHCP ein Sicherheitsfeature? Zitieren Link zu diesem Kommentar
bcc 10 Geschrieben 7. Dezember 2010 Autor Melden Teilen Geschrieben 7. Dezember 2010 Hallo Daim Erst einmal Danke für dein Feedback. An die Variante 1 habe ich auch schon gedacht, aber bei uns läuft fast alles über Reservierungen, ähnlich wir du es in deinem Link beschreibst. Nun ist meinem Ziel dies eben nicht mit solchen Reservierungen zu machen, sondern den DHCP zu nutzen wie er gedacht ist. Nur wie läuft es wenn der erste DHCP ausfällt, sprich ich muss ja dann die Sicherung vom ersten DHCP einspielen damit der zweite die gesamten Infos hat? Variante 3 werde ich mir mal genauer anschauen. Variante 4 scheint sehr komplex zu sein, sprich in der Administration? NAP scheint auch eine Möglichkeit zu sein, genau wie du es beschreibt auch IPSec. Zu NAP habe ich keine Möglichkeit gefunden um die Clients zu identifizieren? Sprich ich habe wohl die Möglichkeit, diese auf Windows Updates, bestehende und Aktuelle Virenscanner zu prüfen, aktive Firewalls aber keine Zugehörigkeit von einer Domain? Wie steht ihr zur Möglichkeiten von Klassen (Kennzeichnung der LAN Verbindung). Danke dir, im Voraus!! Zitieren Link zu diesem Kommentar
NilsK 2.796 Geschrieben 7. Dezember 2010 Melden Teilen Geschrieben 7. Dezember 2010 Moin, faq-o-matic.net Wie kann man einen DHCP-Server unter Windows ausfallsicher gestalten? Klassen werden dir nicht besonders viel helfen. Die sind eine organisatorische Krücke, um bestimmte Optionen für bestimmte Clients zu setzen. Und NAP ist keine Alternative zu IPSEC, sondern eine völlig separate Technik. Es bietet eine erweiterbare Plattform, d.h. wenn du zusätzliche Kriterien berücksichtigen willst, kannst du das grundsätzlich tun. Mir scheint allerdings, als wären die Anforderungen bislang ausgesprochen schwammig definiert, daher müsste man da ansetzen - jede hier diskutierte Variante erzeugt erheblichen Aufwand, den man nicht ohne genaue Vorklärung beginnen sollte. Gruß, Nils Zitieren Link zu diesem Kommentar
bcc 10 Geschrieben 13. Dezember 2010 Autor Melden Teilen Geschrieben 13. Dezember 2010 Hallo zusammen Nun erste mal Danke für euer Feedback. Ich werde es nun so versuchen umzusetzen, dass ich von bestehenden DHCP Server 2003 einen Export mache, dies via NETSH DHCP SERVER \\Servername export c:\temp\dhcpbd all nun lese ich immer wieder dass ich dann ab Server 2008 R2 diese einfach via netsh dhcp server import c:\dhcpdatabase.dat all importieren kann? Ist das so? Wenn ich dann den aktuellen Stand vom 2003er DHCP Server exportiert habe und auf dem Zielserver importiert habe wird der 2003 DHCP gestoppt. Damit der neuen 2008er R2 den DHCP Teil übernimmt. Wenn dies dann gemacht ist, wollte ich eine Sicherung vom ersten DHCP Server 2008 R2 machen, das wenn dieser ausfällt ich die Sicherung auf dem zweiten DHCP Server 2008 R2 einlesen kann. Bin ich da auf dem richtigen Weg? Der zweite (Backup) DHCP wird dann nicht autorisiert, hat jedoch die Scope Informationen vom ersten, nun fällt der erste DHCP Server aus, ich importiere den Backup? Funktioniert dies? Oder muss ich zuerst den Scope auf dem Backup DHCP Server löschen? Danke euch!! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.