DHCP-Server

[Sven444444 10]

Hallo,

 

habe am Freitagnachmittag ein echtes Blackout.

 

Ich möchte, das sich in unserem Firmennetz keine unberechtigten User mit ihrem PC eine DHCP-Adresse zugewiesen bekommen. Ich weiß, das man im DHCP-Server einen Wert mitgeben kann und nur wenn dieser mit dem Client übereinstimmt, gibt es einen Adresse.

 

Ich weiß aber nicht mehr wie ......

 

 

Sven

[trappa 10]

warum machst du den Adresspool nicht zu! Alle PCs, müssen sich einmal eine Adresse gezogen haben, danach, setzt du diese adresssen mit Hilfe der Mac-Adressen fest. Anschließend ist keiene IP mehr da, die noch vergeben werden kann, somit kann sich keiner reinhängen

[Kolath 10]

ganz einfach...

 

vergib nen ip adressbereich....

dann sperr den gesamten bereich wieder

dann richte für jeden client eine MAC-Adress-reservierung ein

dann bekommen nur die rechner, die ne Reservierung haben ne ip und kein anderer.

die gefahr, dass sich jemand selber seine ip aus dem adressbereich gibt, ist damit natürlich nicht gebannt.

 

so machen wir das zumindest

[Sven444444 10]

Ja, so kann man das auch machen.

Nur wenn man jeden Tag ein paar neue Rechner ausrollt , ist das nicht mehr sehr produktiv und administrierbar.

 

Dat ging auch wie gesagt viel trivialer, nur wie ??????????????????

[trappa 10]

genua das hab ich gemeint

[Kolath 10]

also das ist das einzige, was mir dazu einfällt... hat auch den vorteil, dass du immer weisst, welche ips vergeben sind. ausserdem ist das die möglichkeit, statische ip-vergabe und einfache netzwerkkonfiguration zu kombinieren.

 

dass heisst, wenn sich der gateway mal ändert, musst du nicht extra jeden client abklappern... das gleiche gilt natürlich auch für alle anderen services im netzwerk.

 

wenn jemand was besseres hat, dann würd ich das auch gern mal wissen wollen...

[Sven444444 10]

... wenn sich das gateway ändert, muß ich nicht an jeden client ran, deswegen hat man ja einen dhcp-server....

[Kolath 10]

sag ich doch... ;-)

[carlito 10]

Ich möchte, das sich in unserem Firmennetz keine unberechtigten User mit ihrem PC eine DHCP-Adresse zugewiesen bekommen. Ich weiß, das man im DHCP-Server einen Wert mitgeben kann und nur wenn dieser mit dem Client übereinstimmt, gibt es einen Adresse.

 

Dazu habe ich zwei Vorschläge:

 

1. Möglichkeit

Verwendung von Klassenkennungen. Dabei wird zwischen Hersteller- und Benutzerklassen unterschieden. Die Clients müssen entsprechend konfiguriert werden (ipconfig /setclassid) und senden dann bei ihrer DHCP Anforderung diese Klassenkennung mit. Wenn der DHCP Server mit der gleichen Klassenkennung konfiguriert ist, bekommen diese Clients eine DHCP Konfiguration zugewiesen. Clients, die keine Klassenkennung mitsenden, sollten keine IP-Konfiguration vom DHCP Server bekommen.

 

2. Möglichkeit

Switches mit IEEE 802.1x Unterstützung. Installiere einen RADIUS bzw. IAS Server und konfiguriere Zertifikate auf den Clients, die für die LAN-Verbindung (Eigenschaften -> Authentifizierung) verwendet werden. Stelle die Switches entsprechend ein, so das diese einen RADIUS Server zur Authentifizierung verwenden. Somit ist sichergestellt, das nur Clients, auf denen entsprechende Zertifikate installiert sind, eine Verbindung mit dem Switch (und somit dem Netzwerk, in dem der DHCP Server angeschlossen ist) herstellen können.

 

Ich persönlich würde es mit der ersten Methode versuchen, da das zweite Verfahren weitaus aufwendiger ist und auch entsprechende Hardware vorrausetzt.

[Sven444444 10]

Carlito, mein Held !!

 

Genau das war es was ich gesucht habe .

 

Danke.

 

 

Sven

[Sven444444 10]

Habe beim Client jetzt eine Klassenkennung mitgegeben, habe dann im DHCP-Server eine neue Benutzerklasse definiert,so weit so gut.

 

Wenn ich unter Bereichsoptionen unter Erweitert jetzt meine Benutzerklasse auswähle, wird die Standrardbenutzeklasse nicht mehr benutzt ????

(ich will das ja erstmal testen, nicht das dann alle keine IP-Adresse mehr bekommen, da die cleints ja noch keine Klassenkennung besitzen)

 

Sven

[carlito 10]

Genau das war es was ich gesucht habe.

 

Du hast es wahrscheinlich mit den ersten Methode gemacht, oder?

[Sven444444 10]

Ja, das ist am einfaxchten, die Klassenkennung auf den Clients kann man dann wunderbar per Anmeldescript "verteilen"

 

Sven

[carlito 10]

Wenn ich unter Bereichsoptionen unter Erweitert jetzt meine Benutzerklasse auswähle, wird die Standrardbenutzeklasse nicht mehr benutzt ????

 

Lies mal "DHCP-Optionsklassen". Zu finden über DHCP Konsole -> Servereigenschaften -> Hilfe -> Index.

[fawel 10]

Es gibt auch Switches, die sich die MAC Adresse merken. Kommt eine andere an den Port, wird dieser gesperrt und muss manuell freigegeben werden. Halte ich am sinnvollsten, die kosten nicht die Welt und bieten sicherheit nach aussen hin.

 

Einen Laptop an einen bestehenden LAN Port anschliessen kann jeder, dort eine feste IP einzutragen dürfte auch kein Problem sein... Wenn der Switch dann zumacht ists schon sicherer.

 

Auch in kleinen Umgebungen sinnvoll....