Windows 2003 Server - Mehrere IPs / Netzmaske?

[Paulo 10]

Hallo,

 

ich hab standardmäßig die IP (Beispiel) 10.10.10.10 mit meinem Win2k3 Server im Subnetz 255.255.255.0

 

Nun hab ich noch 8 weitere IPs bekommen, nämlich 10.10.10.11-10.10.10.19

 

Es ist ein Internetserver.

 

Mir wurde gesagt:

Vergessen Sie nicht, die erste und letzte IP des Blocks nicht für Hosts zu verwenden,

und tragen Sie auch die korrekte Netzmaske in Ihrer Netzwerkkonfiguration ein.

 

Die Frage ist jetzt wie und wo trage ich die korrekte Netzmaske ein? Ist die Netzmaske 10.10.10.11-10.10.10.19 ?

 

Danke!

[dippas 10]

Hallo,

 

ich hab standardmäßig die IP (Beispiel) 10.10.10.10 mit meinem Win2k3 Server im Subnetz 255.255.255.0

 

Also ein privates Klasse-A Netz

 

Nun hab ich noch 8 weitere IPs bekommen, nämlich 10.10.10.11-10.10.10.19

 

Na diese glaube ich nun nicht, denn das sind auch private Klasse-A IPs

 

Mir wurde gesagt:

Vergessen Sie nicht, die erste und letzte IP des Blocks nicht für Hosts zu verwenden,

und tragen Sie auch die korrekte Netzmaske in Ihrer Netzwerkkonfiguration ein.

 

Die Frage ist jetzt wie und wo trage ich die korrekte Netzmaske ein? Ist die Netzmaske 10.10.10.11-10.10.10.19 ?

 

Die Netzmaske ist die Subnetzmaske und wird auch entsprechend hier eingetragen. Die Netzmaske ist NICHT 10.10.10.11-10.10.10.19!

 

Welche Subnetzmaske da genau reinkommt, wird der ISP sagen können.

 

grüße

 

dippas

[Paulo 10]

Hi und danke für deine Antwort.

 

10.10.10.10 war nur ein Beispiel, die echte IP ist 80.*.*.*

 

Die Subnetzmaske ist 255.255.255.0

Aber bei den Eigenschaften vom TCP/IP Protokoll steht nur meine eine IP drin. Ich möchte jedoch auch die anderen 9 IPs irgendwie hinzufügen. Ich müsste nur wissen wo ich die hinzufüge :o

 

Vielen Dank!

[dippas 10]

10.10.10.10 war nur ein Beispiel, die echte IP ist 80.*.*.*

 

Hab mir schon fast gedacht, dass das nur ein Beispiel ist, aber manchmal werden öffentliche und private IP-Adressen munter durcheinander gewürfelt, was Erklärungen/Problemlösungen ernorm erschweren kann, wenn man nicht weiß, über welche Dinge man sich denn nun unterhält ;-) Nichts für ungut.

 

Aber bei den Eigenschaften vom TCP/IP Protokoll steht nur meine eine IP drin. Ich möchte jedoch auch die anderen 9 IPs irgendwie hinzufügen. Ich müsste nur wissen wo ich die hinzufüge :o

 

Na jedenfalls nicht bei Deinem Internetserver. ;)

 

So nun aber zurück zu Deinem Problem:

 

Alle 9 IP-Adressen kannst Du eh nicht verbraten. Bezogen auf die 8 weiteren bedeutet das bespielsweise: 8 IP-Adressen minus erster und letzter für den "Netzabschluß" (falscher Begriff, weis ich, aber der richtige fällt mir gerade nicht ein) und minus 1 IP-Adresse für einen Router. Bleiben 5 von 8 zur Verwendung übrig.

 

Dann gilt ersteinmal die Regel: 1 IP-Adresse pro Netzwerkkarte

 

aber es gilt auch:

 

Keine Regel ohne Außnahme ;-)

 

Das lässt sich aber nur mit ganz speziellen Konfigurationen bzw. Geräten bewerkstelligen.

 

Mir scheint also, dass Du zunächst einmal Deine Internetanbindung umbauen musst, wenn Du "wie die Großen" arbeiten möchtest ;-)

 

Klartext:

 

Du hast die (Beispieladressen) 80.1.2.3 - 80.1.2.10 (=8 Stück) bekommen.

 

- 80.1.2.3 und 80.1.2.10 fallen weg ("Netzabschluss")

- 80.1.2.4 fällt auch weg (Router)

- 80.1.2.5-80.1.2.9 werden von einer Firewall verwaltet, die es erlaubt die zusätzlichen 4 IP-Adressen (80.1.2.5 erhält die Firewall selbst) "virtuell" zu verwalten, dass soll heißen, sie ist in der Lage Anfragen (beispielsweise für 80.1.2.6) in die DMZ an einen bestimmte Rechner (Webserver vielleicht) weiterzuleiten, wobei der Webserver selbst eine private IP-Adresse innerhalb der DMZ bekommt. NAT lässt grüßen.

 

Somit spielt die Firewall quasi die Verteilstation für Anfragen auf die zusätzlichen IP-Adressen. Die zusätzlichen IP-Adressen werden damit auch auf der Firewall eingerichtet.

 

Allerdings eine kleine, aber wichtige Anmerkung:

gehe bitte davon aus, dass soetwas nicht mit Konsumergeräten für 20 Euro klappt. Also der klassische DSL-Router mit Pseudo-DMZ sollte ausgemustert werden.

 

In diesem Zusammenhang sei doch noch die Frage erlaubt: Hängt euer Webserver wirklich mit einer konfigurierten, öffentlichen IP-Adresse im Internet? Ich meine so ohne Firewall oder sonstigen Schutz? Ich hoffe nicht.

 

Kannst Du zu meinen Punkten mal ein Feedback geben? Vielleicht helfen Dir meine Anmerkungen ja, mal etwas mehr zur bisherigen Konfiguration zu sagen.

 

grüße

 

dippas

[Paulo 10]

Dann gilt ersteinmal die Regel: 1 IP-Adresse pro Netzwerkkarte

 

aber es gilt auch:

 

Keine Regel ohne Außnahme ;-)

 

Das lässt sich aber nur mit ganz speziellen Konfigurationen bzw. Geräten bewerkstelligen.

 

Somit spielt die Firewall quasi die Verteilstation für Anfragen auf die zusätzlichen IP-Adressen. Die zusätzlichen IP-Adressen werden damit auch auf der Firewall eingerichtet.

 

Allerdings eine kleine, aber wichtige Anmerkung:

gehe bitte davon aus, dass soetwas nicht mit Konsumergeräten für 20 Euro klappt. Also der klassische DSL-Router mit Pseudo-DMZ sollte ausgemustert werden.

 

In diesem Zusammenhang sei doch noch die Frage erlaubt: Hängt euer Webserver wirklich mit einer konfigurierten, öffentlichen IP-Adresse im Internet? Ich meine so ohne Firewall oder sonstigen Schutz? Ich hoffe nicht.

 

Kannst Du zu meinen Punkten mal ein Feedback geben? Vielleicht helfen Dir meine Anmerkungen ja, mal etwas mehr zur bisherigen Konfiguration zu sagen.

 

grüße

 

dippas

 

Hallo und vielen Dank für deine ausführliche Antwort!

Es handelt sich um einen Windows 2003 Standard Server Rootserver (Dell) bei HostEurope. Auf dem Server läuft IIS6 und er ist hauptsächlich für ASP.NET 2 Anwendungen gedacht. Eine Firewall läuft dort im Moment nicht. Ist das bei Windows 2003 Server kritisch? Virenscanner scanned jede Nacht durch.

 

Zumindest hab ich nun von meinem Host diese weiteren 8 IPs bekommen.

 

das von Ihnen angeforderte Subnetz wurde mittlerweile vom RIPE freigegeben und

mit den angehängten Daten in die RIPE-Datenbank eingetragen.

Sie koennen diese IPs ab sofort verwenden. Vergessen Sie nicht,

die erste und letzte IP des Blocks nicht für Hosts zu verwenden,

und tragen Sie auch die korrekte Netzmaske in Ihrer Netzwerkkonfiguration ein.

 

Und wie ich diese Netzmaske verwende weis ich nun nicht genau:

 

Bitte nutzen Sie folgende Netzmaske:

 

255.255.255.248 (= /29)

 

Im Moment steht bei meiner Subnetmaske 255.255.255.0 . Vor allem weis ich nicht genau was die = /29 zu bedeuten hat.

 

"Das Netz ist bereits auf Ihren Server mit der IP 80.*.*.* geroutet."

 

Nur an der Konfiguration auf dem Server hängts..

 

Vielen Dank!

[Paulo 10]

Btw.: Es sind 2 NICs vorhanden. Eine Interne und eine die extern gebunden ist

[dmetzger 10]

Hier herrscht offensichtlich etwas Verwirrung.

 

Du hast die (Beispieladressen) 80.1.2.3 - 80.1.2.10 (=8 Stück) bekommen.

 

- 80.1.2.3 und 80.1.2.10 fallen weg ("Netzabschluss")

Das trifft bei der erwähnten Subnetzmaske 255.255.255.0 nicht zu, weil von 80.1.2.1 bis 80.1.2.254 alle IP-Adressen verwendbar wären. Zudem ist das Beispiel schlecht, weil es keinen mit xxx.xxx.xxx.3 beginnenden 8er-Block gibt.

 

Im Moment steht bei meiner Subnetmaske 255.255.255.0 . Vor allem weis ich nicht genau was die = /29 zu bedeuten hat.

Korrekt ist hier die Subnetzmaske 255.255.255.248.

 

@Paulo

 

Ergänzung: Hier findest Du Informationen zu den Grundlagen der IP-Adressierung. Dieses Grundwissen wäre an dieser Stelle hilfreich:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/99f79ed8-df1e-49a6-a4f4-eb1362366301.mspx

[Paulo 10]

Korrekt ist hier die Subnetzmaske 255.255.255.248.

 

@Paulo

 

Ergänzung: Hier findest Du Informationen zu den Grundlagen der IP-Adressierung. Dieses Grundwissen wäre an dieser Stelle hilfreich:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/99f79ed8-df1e-49a6-a4f4-eb1362366301.mspx

 

Danke ich lese es mir gerade durch.

Wenn ich die Subnetzmaske auf *.248 ändere kommt folgender Fehler:

 

Warnung: Der Standardgateway befindet sich nicht auf dem Netzwerksegment (Subnetz), das von der IP-Adresse und Subnetzmaske definiert wurde . Soll diese Konfiguartion gespeichert werden?

[dippas 10]

Es handelt sich um einen Windows 2003 Standard Server Rootserver (Dell) bei HostEurope. Auf dem Server läuft IIS6 und er ist hauptsächlich für ASP.NET 2 Anwendungen gedacht. Eine Firewall läuft dort im Moment nicht. Ist das bei Windows 2003 Server kritisch?

 

Jetzt kommt langsam Licht in die Sache.

 

Sorry, aber aufgrund Deiner bisherigen Postings bin ich davon ausgegangen, dass Du mit den angesprochenen IPs welche meinst, die Deiner Internetverbindung in der Firma zugeschalgen werden.

 

Du hast zwar geschrieben, dass da ein Internetserver hinge, aber der könnte ja auch bei Dir im Laden stehen. Unglücklich ausgedrückt und von mir unglücklich verstanden. Sei´s drum ;-)

 

Machen wir also weiter:

 

Zunächst einmal ist jeder Rechner (egal welches Betriebssystem), der ungeschützt im Internet steht kritisch. Allerdings sollte man davon ausgehen, dass HostEurope den ja wohl bestmöglich gesichert bereitstellt. An dieser Stelle also "keine Bange", aber bei solchen Themen immer sensibilisiert bleiben ;-)

 

Zumindest hab ich nun von meinem Host diese weiteren 8 IPs bekommen.

 

So, dass must Du mir jetz aber mal genau erklären:

1. Was heisst "von meinem Host"? Meinst Du Hoster - also der Serverhoster? Ein Host ist nämlich ein Rechner und er vergibt keine IP-Adressen ;-)

2. Warum hast Du die bekommen? Einfach nur so, oder habt ihr die beantragt? Wenn beantragt: Wofür?

 

Und wie ich diese Netzmaske verwende weis ich nun nicht genau:

....

Im Moment steht bei meiner Subnetmaske 255.255.255.0 . Vor allem weis ich nicht genau was die = /29 zu bedeuten hat.

 

oh, jetzt wird´s ziemlich theoretisch. Ich versuche mich aber zurück zu halten ;-)

 

Jede der vier Zahlen einer Subnetzmaske (getrennt durch die Punkte voneinander) ist ein Oktett, also ein Byte bestehend aus 8 Bit. Der Wert 255 bespielsweise entspricht in Binärschreibweise 11111111. Alle 8 Bit sind gesetzt.

 

Dabei errechnen sich 255 durch folgende Rechen/Schreibweise (von links nach rechts - hier untereinander):

 

Bit 1, Wert = 1

Bit 2, Wert = 2

Bit 3, Wert = 4

Bit 4, Wert = 8

Bit 5, Wert = 16

Bit 6, Wert = 32

Bit 7, Wert = 64

Bit 8, Wert = 128

 

Für jedes gesetzte Bit einfach den Wert aufaddieren. Bei allen 8 gesetzten Bits ergibt die Summe also 255.

 

Aber Achtung:

 

Bei Subnetzmasken wird innerhalb der Oktetts von rechts nach links gerechnet.

 

Eine Subnetzmaske 255.255.255.0 kann man binär auch 11111111.11111111.11111111.00000000 schreiben. Die Einsen durchzählen und man erhält das Ergebnis 24. Eine Subnetzmaske 255.255.255.0 ist also eine 24-Bit-Subnetzmaske. Kurzbezeichnung /24. Will meinen: Eine IP-Adresse 1.2.3.4 mit der Subnetzmaske 255.255.255.0 kann man in Kurzfassung auch 1.2.3.4/24 schreiben.

 

Deine /29 ist also eine 29-Bit-Subnetzmaske, oder binär geschrieben 11111111.11111111.11111111.00011111. Übersetzt also 255.255.255.248, kurzgeschrieben /29.

 

Noch eine nicht ganz unwichtige Information:

Wenn bei einer Firewallkonfiguration genau ein bestimmter Rechner gemeint sein soll, so ist dieser mit seiner IP-Adresse und einer Subnetzmaske /32 anzugeben. Na, welche Subnetzmaske kann das sein? Nur die Kombination IP-Adresse/32 identifiziert GENAU diesen Rechner, nicht die IP-Adresse alleine.

 

So, jetzt haben wir beide zusammen nen 1,5 Kasten Bitburger hinter uns gebracht und könnten zur Mittagszeit bereits schmutzige Lieder singen ;-)

 

Ach ja, wenn Du glaubst, das sei aber schwer verständlich, dann lass Dir gesagt sein: das ist eine Kurzfassung. ganz in echt erklärt dauert das noch ein wenig länger ;-)

 

....

[dippas 10]

....

 

[musste auf zwei Postings verteilen]

 

 

"Das Netz ist bereits auf Ihren Server mit der IP 80.*.*.* geroutet."

 

Tja, und da sind wir an dem Punkt, wo mein vorheriges Posting ansetzt:

 

Das gesamte Netz wird auf die IP 80.*.*.* geroutet, und das Gerät (ich sage bewusst NICHT Server) muss zusehen, wie es damit klarkommt. Kann er aber so nicht, benötigt Equipment/Konfiguration, dass/die das kann.

 

Und genau da wird´s ja interessant zu wissen, warum Du weitere IPs bekommen hast.

 

Geht es in die Richtung "mehrere unterschiedliche Webseiten - also http://www.abc.de und http://www.def.de etc. - erreichbar zu machen": Sorry, da kann ich nicht helfen, denn mit IIS kenne ich mich nicht so gut aus. Da gibt es hier genug die dazu mehr wissen. Es würde sich aber alles auf einer Maschine unter einer IP-Adresse abspielen.

 

Normalerweise verwendet man mehrere IP-Adressen, um eben auf mehrere unabhängig von einander laufen Maschinen zu verteilen.

 

Bespielsweise:

1. IP Firewall

2. IP Webserver

3. IP Mailserver

4. IP irgendwas anderes

etc.

 

Wenn ich weis, wofür die anderen IPs sein sollen, kann ich versuchen weitere Möglichkeiten aufzuzeigen. Laß mal was hören, Du bist dran ;-)

 

grüße

 

dippas

[dippas 10]

Hier herrscht offensichtlich etwas Verwirrung.

 

Es ist einfach zu warm ;)

 

Zudem ist das Beispiel schlecht, weil es keinen mit xxx.xxx.xxx.3 beginnenden 8er-Block gibt.]

 

Stimmt, aber wir hantieren ja hier nicht mit echten, sondern mit Besipieladressen. Ich wohne ja auch in der Musterstraße 123 in 45678 Musterhausen;-)

 

Zur Subnetzmaske 255.255.255.0 = klar bezeichnet die ein gesamtes Netz von x.x.x.1 - x.x.x.254, weshalb ja ein Splitting als /29-Netzmaske notwendig wird, aber nähere Erklärungen dazu würde ja wohl wirklich fast in einem Kurs enden, oder? ;-)

 

grüße

 

dippas

[Paulo 10]

Dankeschön für die genaue Erklärung! :)

 

Die IPs sollen für verschiedene Webservices verteilt werden. Heißt also jeder WebService bekommt eine eigene IP um vor allem genauen Überblick über den Traffic zu haben und um generell mehr Sicherheit zu bieten. Grundgedanke ist auch mehrere HostAdressen zu haben. Mit einer IP kann ich nur einen HostResolve haben. Mit 8 kann ich die hosts unterschiedlich bestimmen und somit expliziete WebServices einrichten.

 

Das Problem ist im Prinzip, dass Windows 2003 die weiteren 8 IPs nicht kennt. W2k3 kennt seine Interne IP (10.10.*.*) und die externe 80.*.*.*

Ich weis also nicht wie ich die Netzmaske anpasse und vor allem wie ich Win2k3 mitteile dass es noch mehr IPs gibt. Oder bräuchte ich da rein theoretisch 8 NICs dafür damit das so funktionieren würde?

 

Vielen Dank!

[dippas 10]

Die IPs sollen für verschiedene Webservices verteilt werden. Heißt also jeder WebService bekommt eine eigene IP um vor allem genauen Überblick über den Traffic zu haben und um generell mehr Sicherheit zu bieten.

 

Den Traffic wertest Du über die Logs des Webservers aus, in welchem auch die angesprochen Verzeichnisse stehen. In Punkto Sicherheit gewinnst Du durch mehrere IPs auf einem Server nichts, denn es bleibt immernoch der eine Server. Ist der erfolgreich angegriffen, ist dass gesamte System korumpiert.

 

Grundgedanke ist auch mehrere HostAdressen zu haben. Mit einer IP kann ich nur einen HostResolve haben. Mit 8 kann ich die hosts unterschiedlich bestimmen und somit expliziete WebServices einrichten.

 

Wie gesagt, kenne ich mich mit dem IIS nicht aus, aber verschiedene Webservices kann man auch auf einer Maschine einrichten.

 

Ich weis also nicht wie ich die Netzmaske anpasse und vor allem wie ich Win2k3 mitteile dass es noch mehr IPs gibt. Oder bräuchte ich da rein theoretisch 8 NICs dafür damit das so funktionieren würde?

 

Naja, das wäre eine Idee, die meines Erachtens aber nicht wirklich umsetzbar ist. Schließlich brauchen NICs auch Platz, obwohl es auch spezialisierte Karten gibt, die (ähnlich wie eine C2 oder C4 von AVM) mehrere Anschlüsse bieten.

 

Vor dem Hintergrund der Sicherheit, Auswertbarkeit etc. liegt der Schluss nahe 8 Server zu betreiben, die jeweils für sich betrachtet ein abgeschottetes System darstellen.

 

Du merkst, eine Umsetzung deines Wunsches erfordert sehr viel mehr als einem Webserver mal eben 8 IPs zu verpassen. Ich glaube nicht, das die Verfolgung dieses Wunsches ohne finanziellen Aufwand (8 Server oder 8 NICs oder vielleicht doch ne Firewall davor) so ohne weiteres machbar ist.

 

Mein Tip:

Versuche Deine Ideen mit einer IP und entsprechender Konfiguration des IIS in den Griff zu bekommen. Vielleicht ist das ja bedeutend einfacher als unbedingt auf die Verwertung der IPs zu achten.

 

Sorry, aber mehr kann ich im Moment dazu nicht beitragen.

 

grüße

 

dippas

[Paulo 10]

Also ich hab jetzt etwas gefunden:

 

Wenn ich in die Eigenschaften von meiner NIC gehe, die zum Internet verbunden ist und dort Eigenschaften von TCP/IP wähle -> Erweitert -> Kann ich da weitere IP Adressen hinzufügen.

 

Ich hab da jetzt stehn:

80.*.*.25 Subnetz: 255.255.255.0

80.*.*.193 Subnetz: 255.255.255.248 (Die Netzmaske wurde mir vom Host gegeben)

80.*.*.194 Subnetz: 255.255.255.248 (Die Netzmaske wurde mir vom Host gegeben)

 

etc.

 

Nun kann ich auch im IIS zu jeder Seite eine von den oben hinzugefügten IPs adden. Wenn ich jedoch so eine neue IP nehme kommt der Fehler: Bad Request (Invalid Hostname)

 

-> Warum? :o

 

Dankeschön!

[dippas 10]

Wenn ich in die Eigenschaften von meiner NIC gehe, die zum Internet verbunden ist und dort Eigenschaften von TCP/IP wähle -> Erweitert -> Kann ich da weitere IP Adressen hinzufügen.

 

oops, :(

 

da habe ich wohl was falsches behauptet.

Na jedenfalls nicht bei Deinem Internetserver.

Sorry, das wollte ich nicht. Aber diese Einstellmöglichkeit habe ich bisher einfach immer übersehen.

 

Kannst Du denn auch über alle IPs direkt auf den Server zugreifen?

 

grüße

 

dippas