AD klaut DHCP request

[skywalker27 10]

Tach auch leute,

 

ich hab einen dsl-router mit aktiertem dhcp. funktioniert einwandrei.

 

sobald ich meinen w2k3 server mit active directory hochfahre verteild der dhcp-dsl-router keine ips mehr.

 

ich hab das auch noch in anderen konstelationen wiederholen können. d.h. mein server blockiert irgendie alle dhcp server.

 

auf dem 2k3 ist kein dhcp aktiviert.

 

hat hier einer nen rat?

[sa-Hermes 10]

Hi Skywalker,

 

ich kenne das Problem von einem Freund von mir. Allerdings nicht in Verbindung mit einem DSL-Router.

 

Wir haben Mitte des Jahres eine TESTUMGEBUNG aufgebaut und benutzen dafür DNS und DHCP auf einem W2K3SRV (Server 1). Alles lief einwandfrei bis Mein Kollege mit seinem "Server" (Server 2) ankam. Er hatte ebenfalls W2K3SRV installiert, aber mit AD (ActiveDirectory) und dem entsprechend als PDC (primär Domaincontroller). Dieser PDC hat meinen Dienst unterdrückt, sodass unser Netz nicht mehr zu benutzen war.

 

Wir haben es dann so geregelt, dass wir die AD ausgeschalten haben, bzw. deinstalliert. Wir wussten nicht wie wir dem PDC (Server 2) klarmachen sollten, dass wir wollen, dass auf dem anderen Server (Server 1) die Dienste laufen sollen.

 

Ich weiß nicht, ob ich dir damit helfen konnte, aber vielleicht gibt es Anderen den finalen Einfall um dieses Problem zu Lösen. Würde mich ja auch Interessieren!

 

 

Mit freundlichen Grüßen

sa|Hermes

[Der Karl 10]

Moin,

 

DHCP funktioniert per Broadcast, d.h. das läßt sich gar nicht unterdrücken. Könnte aber sein, daß die betreffenden Clients sich dann nicht im AD anmelden können, da der DHCP-Server nicht im AD authentifiziert ist.

 

In diesem Fall, DHCP auf dem Router ausknipsen und einen DHCP-Server z.B. auf dem DC installieren.

 

Gruß Karl

[skywalker27 10]

dhcp auf dem router ist notwendig und kann nicht ausgeschaltet werden.

 

der win2k3 server läuft auch nicht immer. ich brauch eine lösung das der dsl-dhcp-router und das active directory gleichzeitig läuft.

[freak04 10]

Hallo,

 

ich brauch eine lösung das der dsl-dhcp-router und das active directory gleichzeitig läuft.

 

der DHCP-Server muss im AD autorisiert werden, sonst klappt's nie mit dem Nachbarn.

 

guckst Du hier ...

http://support.microsoft.com/default.aspx?scid=kb;DE;323360

 

 

mfg

[skywalker27 10]

danke schon mal für die hilfe.

 

den microsoft artikel hab ich auch schon mal gelesen.

jedoch ist der punkt "DHCP" nur zu sehen wenn auch auf dem domänen controller lokal der dhcp-server installiert ist.

 

das mit dem autorisieren hab ich glaub schon mal wo gehört. aber wie ist jetzt die frage?

[Perin 10]

Hi skywalker,

 

lass Dich nicht kirre machen. Einen SHCP-Server eines DSL-Modems kann man natürlich nicht im AD autorisieren, ausser auf dem Router läuft Windows 2000/XP/2003. Ich würde mal auf dem Router uPnP deaktivieren und DHCP auf dem Server ausschalten.

 

Im Übrigen bin ich der Meinung, dass bei Deiner Konfiguration in jeder produktiven Umgebung der DHCP auf den Server gehört und nicht auf einen Router.

 

cu,

 

Perin

[skywalker27 10]

das ist auch kein produktiv system.

auf dem ad-server sind auch keine user/clients

 

der ad-server läuft nur bei bedarf. der dsl-router fast immer.

[sa-Hermes 10]

Ist-Situation:

 

Microsoft hat einen weg gefunden um "unerwünschte" DHCPs zu unterdrücken. Dies hat enorme sicherheitsrelevante Vorteile, da niemand einfach kommen kann und einen 2ten oder 3ten dhcp ins Netzt hängen kann. Ist doch eigentlich gut, oder?

 

Die Frage ist nur kann ich diese Funktion unterdrücken?

- Wenn ja, wo?

 

 

Mit freundlichen Grüßen

sa|Hermes

[Velius 10]

Original geschrieben von sa|Hermes

 

Microsoft hat einen weg gefunden um "unerwünschte" DHCPs zu unterdrücken.

 

 

Nö, stimmt ned!!

 

 

 

 

...von mir geschrieben in einem anderen Thread

:D

 

 

Der W2K/W2K3 DHCP vergiebt erst dann Adressen, wenn er von einem der DC's die genehmigung erhalten hat. Normalerweise wird das einmal, beim Installieren des DHCP's gemacht. Da es sich ja um eine MS Produkt handelt, geht das auch, ist aber nirgends von RFC's abgedeckt. Ein anderer DHCP (Router) muss nicht in AD authorisiert sein!!

 

The process of authorizing DHCP servers is useful only for DHCP servers running Windows 2000 or Windows Server 2003.

 

Authorizing DHCP servers

 

 

 

 

@ sa|Hermes

 

Dieser Satz trifft in deinem Fall besonders zu:

However, if there is a Windows Server 2003 domain on the same subnet or on a connected network with routers configured for DHCP or BOOTP forwarding, the DHCP server in the Windows NT 4.0 domain detects its own unauthorized status and ceases to provide IP address leases to clients.

[sa-Hermes 10]

Dieser Satz trifft in deinem Fall besonders zu:

However, if there is a Windows Server 2003 domain on the same subnet or on a connected network with routers configured for DHCP or BOOTP forwarding, the DHCP server in the Windows NT 4.0 domain detects its own unauthorized status and ceases to provide IP address leases to clients. [/b]

 

 

@ Velius

 

Hört sich so an, als ob es stimmen würde *g*. Ich hab ja kein MCSE und hab mir meine eigene Theorie erstellt...

 

Aber wenn W2K3SRV das alle unterdrücken könnt, wäre das doch ein Sicherheitsvorteil, oder?

 

-----------------------------------------------------------------------------------

 

Die Frage ist WIE ich einen anderen Server die Erlaubnis gebe. Ich wurdde bis jetzt noch nicht daraus schlau - leider. Geht es denn nur mir so?

 

 

in diesem Sinne

sa|Hermes

[Velius 10]

Original geschrieben von sa|Hermes

 

Wir haben Mitte des Jahres eine TESTUMGEBUNG aufgebaut und benutzen dafür DNS und DHCP auf einem W2K3SRV (Server 1). Alles lief einwandfrei bis Mein Kollege mit seinem "Server" (Server 2) ankam. Er hatte ebenfalls W2K3SRV installiert, aber mit AD (ActiveDirectory) und dem entsprechend als PDC (primär Domaincontroller). Dieser PDC hat meinen Dienst unterdrückt, sodass unser Netz nicht mehr zu benutzen war.

 

 

Eigentlich ist es ganz einfach. Du hast in das bestehende Subnetz, wo ein DHCP bereits vorhanden war, einen DC gestellt. Dummerweise ist dieser DHCP im AD nicht authorisiert, somit versagt der DHCP seinen Dienst.

Sobald der DC wieder weg ist, läuft alles einwandfrei.

 

Diese Funktion klappt aber nur bei MS DHCP > W2K, denn der DHCP fragt seinen Status bei einem vorhanden Controller ab, und nicht umgekehrt.

Der zweite Fall wäre auch nur schwer zu realiesieren; die DC überprüfen alle DHCP's, ob sie authorisiert sind......

Dafür müsstest du schon ein neues Protoll entwickeln.

[skywalker27 10]

ok - jetzt haben wir eine diagnose

 

und wie lösen wir das problem?

[Velius 10]

Ich denke, es liegt am Router....

 

Modell??

[skywalker27 10]

Original geschrieben von Velius

Ich denke, es liegt am Router....

 

Modell??

 

Billion Bipac 741 modem/router/switch/firewall mit aktueller Firmware