Jump to content

DHCP-Server sinnvoll einsetzen und verwalten?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich bin neu hier im Forum und hoffe, dass wir uns gegenseitig mit unseren Erfahrungen helfen und etwas neues dazu lernen können.

 

Nun zu meiner Frage.

Ich bin seit kurzem in der IT-Abteilung tätig und da fragte ich mich, ob unser DHCP-Server sinnvoll administriert wird bzw. ob der DHCP-Server

sinnvoll die IPs verteilt. Das ist das erstemal, das ich mit einem WIN-DHCP-Server zu tun habe. Wir haben ein W2K12-R2 Server laufen, der u.a.

als DHCP-Server arbeitet. Er verteilt die IPs im Netzwerk für unsere Windows-Clients, Netzwerkdrucker und WIN-Server.

 

Wie verteilt man am besten, sinnvoll und strukturiert die IPs in einem Netzwerk? Die Server und Netzwerkdrucker bekommen eine static-IP über DHCP.

Aber ist es egal, ob man von 192.168.1.1 bis 192.168.1.254 wild die IPs verteilt und irgendwo dazwischen bekommt der eine Server die IP ".32", der ander

Server die IP ".196" und die Netzwerkdrucker die IPs "200" und "43"? Oder sollte man das strukturierter machen, dass der Adressbereich z.B. von 192.168.1.1

bis z.B. 192.168.1.10 nur für die Server sind, dann von .11 bis .20 nur für die Netzwerkdrucker reserivert sind und alles ab 192.168.1.50 z.B. nur für die DHCP-Clients?

 

Würde man die Server/Netzwerkdrucker über DHCP-Static eine feste IP vergeben oder sollte man direkt am Server/Netzwerkdrucker eine feste IP vergeben ohne DHCP-Static?

 

Wie nutzt man sinnvoll einen DHCP-Server?

 

Grüße

Janguru

Link zu diesem Kommentar

Das kommt - wie immer - darauf an. Grundsätzlich sollte man vor dem DCHP das Netzwerkdesign betrachten. Je nach Größe der Umgebung kann es sinnvoll sein VLAN und / oder verschiedene Subnetze für Server, Clients und Drucker zu verwenden. Server werden oft mit statischen (keine DHCP-Reservierung) IPs versehen. 

 

Wieviel Server, Clients und Drucker habt ihr?

Link zu diesem Kommentar

Hallo djmaker,

 

wir haben 8x W2K12 Server, 5x Netzwerkdrucker und ca. 60x Windows Clients im Einsatz.

 

Was sind die Gründe:

dass man Server (und Netzwerkdrucker) feste IPs per Hand vergibt und nicht über DHCP-Static?

dass man evtl. diese Geräte in ein VLAN / versch. Subnetze packt? Könnte aber jetzt nicht zum Thema passen  ;) . Aber interessieren tut es mich schon.

 

Janguru

bearbeitet von Janguru
Link zu diesem Kommentar

Hi,

 

ich kann Dir mal schreiben, wie wir das handhaben ... 

 

Server (mit Ausnahme der Terminalserver der Xenapp 7 Farm) haben alle statische IP Adressen

Drucker bekommen über unseren DHCP Servern quasi statische Adressen per Reservierung aus einem gesonderten Bereich

kabelgebundene und Wifi Clients bekommen normalerweise IPs vom DHCP zugewiesen (Kabel und Wifi sind bei uns in gesonderten IP Bereichen und VLans)

IP Phones bekommen ebenfalls per DHCP ihre IPs

 

wir haben allerdings eine deutlich größere Umgebung und verteilte Standorte, die teilweise unseren DHCP mit nutzen (DHCP Relay in den Niederlassungen)

 

Ich würde in Deinem Umfeld folgendermaßen strukturieren.

 

bei einem angenommen Class C Netz ohne VLANS oder Subnetze (m.E. in Deiner Größe nicht zwingend nötig)

 

192.168.0.1 - 30 (Server Bereich)

31-50 (Netzwerkdevices - Switch/Accesspoints)

51-99 (Drucker)

100-199 (Clients)

200-254 (Reserve)

 

warum Server ohne DHCP - ganz einfach, ich möchte sicherstellen, dass ich bei einem Wiederanlauf die Maschinen wirklich die gleiche IP bekommen. Das würde nicht klappen wenn der DHCP aus irgendwelchen Gründen nicht oder noch nicht verfügbar ist. Ein Drucker ist schnell mal ausgeschaltet und wieder eingeschaltet ... ich möchte aber nicht alle Server wieder neu booten wollen ...

bearbeitet von Squire
Link zu diesem Kommentar

Moin,

 

es ergibt durchaus Sinn, auch Server per DHCP zu versorgen. Da diese normalerweise immer dieselbe IP-Adresse haben sollen, vergibt man im DHCP-Server eine Reservierung. Vorteil gegenüber festen Adressen: Wenn sich mal z.B. der DNS-Server ändert, erfordert das nur ein einziges Update in der DHCP-Konfiguration. Ist gar nicht mal so selten.

 

Ein Neustart oder kurzer Ausfall des DHCP-Servers ist meist unproblematisch, wenn die Lease-Dauer nicht zu kurz ist.

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar

warum Server ohne DHCP - ganz einfach, ich möchte sicherstellen, dass ich bei einem Wiederanlauf die Maschinen wirklich die gleiche IP bekommen. Das würde nicht klappen wenn der DHCP aus irgendwelchen Gründen nicht oder noch nicht verfügbar ist. Ein Drucker ist schnell mal ausgeschaltet und wieder eingeschaltet ... ich möchte aber nicht alle Server wieder neu booten wollen ...

 

Das ist dann einfach eine Frage des Wiederanlaufkonzeptes.

Bei uns muss als erstes ein Server hochgefahren werden. Der ist dann der erste DC und spielt auch temporär DHCP. Dazu wird der authorisiert und bekommt dann die letzte Sicherung der Datenbank übergeholfen.

Die IPs der Server sind reserviert so das die gleiche Zuordnung gesichert ist.

Link zu diesem Kommentar

Letztlich Geschmacksfrage ob man Server per DHCP oder statisch konfiguriert. Hat beides seine Vor und Nachteile. Zumindest die Domain Controller, DHCP Server selbst und Firewall/Router sollte aber statisch konfiguriert sein.

 

Wir haben bei uns vor einer Weile die Netze neu gemacht (VLANs, IP-Readressierung) und dort Bereiche vergeben wo wir Reservierungen hinpacken. Also z.B. ein /23 und die ersten 100 Adressen des Netzwerkes sind für Reservierungen. Macht das Troubleshooting halt einfacher da man ggf. weiß "ah, niedrige IP - muss irgendwo reserviert sein".

Link zu diesem Kommentar

 

DHCP-Server sinnvoll einsetzen

 

Ich lernte, Sinn des DHCP sei das Verringern des Aufwandes für die Verwaltung. PCs aufstellen bei einem Roll out, einer Neueinrichtung oder einfachen Austausch kann ein hausmeisterlicher Helfer, ein Dozent, eine Kraft des Sekretariats, es muss kein Admin am Ort sein, dort extra hinfahren.

 

Ich lernte, der Adressraum eines LAN eines kleinen Unternehmens, eines Büros, einer Einrichtung ist 192.168.0.x/24, es kann so sein, muss aber nicht so sein. Falls die Adressen knapp werden sollten, reicht eine kleine Änderung auf /23 zum Erweitern des Adressraumes (Supernetting).

 

Das bevorzugte Gateway wurde 192.168.0.1, die Adresse des 1.DC/Servers 192.168.0.11, der Bereich der der Clients per DHCP 192.168.0.21-192.168.0.199.

 

Die Drucker wurden von 192..168.0.254 runtergezählt, ein Kollege fand das so gut, wegen sowas fangen wir keinen Krieg an.

 

Es kam von einflussreicher Seite der Wunsch, einen Bereich für Clients mit fester IP zu haben, gut merkbar, der Anfang des DHCP wurde auf geändert auf 192.168.0.31, der Bereich von 21-30 zur Verfügung gestellt.

 

Eines Tages kamen dann konfigurierbare Switche. Es schien günstig wegen Numerierungen diese ab 192.168.0.101 aufwärts zu adressieren, der DHCP-Bereich erhielt eine Aussparung ab 192.168.0.101 bis 19.168.0.139

 

Es kan die Anordnung, bestimmte Teile des physikalischen Netzes abzutrennen mittels einer gestellten Firewall mit Contenfilter. Das geschah sehr improvisiert auf die Schnelle. Die WAN der FW nahm sich die zufällig die 39. Nun, es wurde angeordnet, es bleibe so. Die IP-Adresse wurde für die MAC reserviert.

 

Es hätte aber auch alles ganz anders sein können. Dort wo ich gelegentlich hinkam, aushalf, war es anders und funktionierte auch.

bearbeitet von lefg
Link zu diesem Kommentar

Und dann gab es die ersten Sicherheitsvorfälle.

Plötzlich wollte keiner mehr ein Netz für alles.

Jetzt haben wir pro Liegenschaft ein VLAN für die Switche, eines für die PCs und demnächst eines für die IP-Telefone.

Die Server sind auch auch in mehrere VLANs verteilt.

Dazu die Gäste-VLANs, das VLAN für die Haustechniker, zwei für die Drucker und eines für die APCs und schon reicht eine Hand nicht mehr zum zählen.

Alleine das hier plötzlich die Broadcastgrenzen da sind reduziert Angriffe und Traffic.

Früher konnte ich auf meinem Switch im Büro den Clusterinterconnect der Novelcluster sehen.

 

Jetzt denken wir über Microsegmentierung in der virtuellen Umgebung nach.

 

Das 192.168.0.0/24 fällt einem immer dann auf die Füße wenn man ein VPN zu einem anderen Netz machen muss.

Link zu diesem Kommentar

Das 192.168.0.0/24 fällt einem immer dann auf die Füße wenn man ein VPN zu einem anderen Netz machen muss.

 

Im Rahmen einer landesweiten Reorganisation wurde die Netzadresse geändert an unserem Standort von 192.168.0.x auf 192.168.42.x. Das war unproblematisch. Es gab kurz die Überlegung und Diskussion es mittels NAT zu machen, wurde aber verworfen da als unnötig kompliziert empfunden.

bearbeitet von lefg
Link zu diesem Kommentar

VLAN? Eigentlich ja nicht das Thema des TO, da es aber schon erwähnt wurde, führe ich das mal an unserem Beispiel aus.

 

Der Urknall geschah so 1990 mit einem Netz aus Segmenten in Thinwire mit 3Com Multiportrepeter pro Haus. Es tummelten sich Rechner für die Verwaltung und Veranstaltungen mit NetBEUI und Netware.

 

In Folge einer Übernahme geschah eine strenge Trennung von Verwaltung und Veranstaltung, es folgte ein Ausbau mit Twisted Pair-Kabel und Hubs, kostengünstige Switche standen nicht zur Verfügung. Zwischen Häuser gehören ja eigentlich Lichtwellenleiter, TP war kostengünstiger. Zwischen den Häusern wurden als Hauptkabel Twisted Pair verlegt. In dwen LAN-Kästen gab es deshalb jeweils einen Repeater für Verwaltungrechner und einen für Rechner der Veranstaltung. Im Laufe der Zeit wurden die Hubs ersetzt, erst von einfachen Switchen, später von konfigurierbaren ProCurve 1700.

 

Dann wurde in den LAN-Kästen Platz für weitere Felder benötigt, es wurde enger und wärmer. Es war eine gute Gelegenheit eine Umstellung durchzuführen, die Menge der Geräte zu halbieren, neue Geräte anzuschaffen. Das Netz Veranstaltung blieb erstmal VLAN 1, das Netz Verwaltung kam in VLAN 2. Zwischen den beiden VLAN gibt es kein Routing, keine Bridge, keine Verbindung, es besteht eine strenge Trennung wie es befohlen.

 

Im Laufe der folgenden Zeit wurde noch einiges geändert, es kamen VLAN dazu für verschiedene Zwecke, unter anderem eines für die Konfiguration von Geräten auch nach Austausch defekter oder nach einem Reset.

 

Ein Bestreben, ein VLAN nur für die Drucker der Verwaltung zu schaffen könnte nicht erfüllt werden, die Geräte mussten im IP-Bereich der Verwaltungsrechner sein, nur so konnten sie die ferne Box in der Zentrale erreichen für die automatische Bestellung von Verbrauchsmaterial.

bearbeitet von lefg
Link zu diesem Kommentar
  • 2 Wochen später...

Hi Janguru,

 

ich kann dir empfehlen den DHCP Server in jedem Fall für die Clients zu benutzen. Da du momentan eine geringe Menge an Netzwerkteilnehmern hast ist das 192. er Klasse C Netz wohl ganz ok. Bedenke jedoch, dass du in Zukunft sicherlich mehr IP Adressen benötigen wirst. Wenn du das ganze gerade neu strukturierst, solltest du überlegen ein größeres Subnetz zu machen. 254  Netzwerkteilnehmer sind schnell erreicht. Wenn jetzt deine 60 Clients alle ein IP Telefon bekommen bist du schon bei 120 Teilnehmern, nochmal 60 Mobiltelefone im WLAN und schon sinds 180.

Da du offensichtlich noch neu in der Netzwerkmaterie bist würde ich dir erstmal von VLANs usw. abraten. Das ist zwar eine schöne Geschichte, erfordert aber auch einiges an Wissen.

 

Damit dir die User nicht an deinen Netzwerkgeräten rumspielen, würde ich empfehlen die Standardpasswörter auf deinen Switches, Druckern und ggf. Telefonen zu ändern.

 

Hier noch ein Link mit dem du die Netzwerkgröße und die zugehörigen Netzwerkmasken und IP Adressräume berechnen kannst.

 

http://www.subnet-calculator.com/

 

 

 

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...