Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Kein DCHP im VLAN trotz DHCP-Relay

Frage Netzwerke

Mitglied: easyfisi

easyfisi (Level 1) - Jetzt verbinden

17.03.2011, aktualisiert 15:45 Uhr, 12057 Aufrufe, 8 Kommentare

Hallo,

habe folgendes Problem. Ich habe an einem HP 2626 VLANs eingerichtet. Diese benutze ich für NAP und der DHCP soll in allen drei VLANs aktiv sein ohne Scope.
Alle VLANs sind tagged. Der DHCP befindet sich in VLAN 1 und für VLAN 2+3 ist die IP-helper-address eingetragen.
Leider wird keine IP im VLAN 2+3 verteilt. Allerdings ist im NPS zu sehen, dass es mit der Anmeldung glatt läuft. Client bekommt auch vollzugriff, nur eben keine IP per DHCP.
Mir gehen grad so die Ideen aus, da ich mich auch neu in das Thema einarbeite. Übrigens der NPS ist nach nach dem Step by Step Guide NAP Enforcement Test Lab konfiguriert.

Vielen Dank schonmal!!

Viele Grüße

easyfisi
Mitglied: Anton28
17.03.2011 um 19:32 Uhr
Hallo,

Du wirst nicht umhin kommen, für jedes VLAN einen eigenen Scope im DHCP einrichten.

Hier noch ein paar Fragen:

Wie ist die Struktur Deines Netzes, nur ein Switch oder mehrere ?
IP-Struktur Deines Netzes ?
DHCP Server OS ?

Gib mal ein paar mehr Infos.

Übrigens sagt eine Skizze Deines Netzes mehr als tausend Worte.

Danke

Gruß

Anton
Bitte warten ..
Mitglied: easyfisi
18.03.2011 um 09:06 Uhr
Hallo Anton,

ich habe hier lediglich eine Testumgebung mit einem W2k8 R2 Standard, einem Switch und 2 XP-Clients. Auf dem Server laufen die notwendigen Dienste. Nach erfolgreichem Test soll dies mit dem HP IDM erweitert werden und dann in die Produktivumgebung eingpflegt werden. In der Produktivumgebung hat natürlich jedes VLAN sein eigenes Scope. Wollte nur zum testen darauf verzichten.
Dies ist auch mein Abschlussprojekt bei der IHK :o
Ich habe das Verhalten mal genau beobachtet. Der Client bekommt kurzfristig die richtige IP im VLAN 1 (10.11.20.201) und nach wenigen Sekunden, wenn in VLAN 3 geswitcht kommt die eingeschränkte Konnektivität, weil APIPA vergeben wurde.

Hier die Config des HPs:

snmp-server community "public" Unrestricted
snmp-server host 10.11.20.195 "public" All
vlan 1
name "fremd"
untagged 1-26
ip address dhcp-bootp
ip helper-address 10.11.20.195
exit
vlan 3
name "healthy"
ip address dhcp-bootp
ip helper-address 10.11.20.195
tagged 1-26
exit
vlan 2
name "unhealthy"
ip address dhcp-bootp
ip helper-address 10.11.20.195
tagged 1-26
exit
aaa authentication port-access eap-radius
radius-server key radiustest
radius-server host 10.11.20.195 key radiustest
include-credentials radius-tacacs-only
aaa port-access authenticator 13-23
aaa port-access authenticator active
password manager
password operator




Vielen Dank!

Gruß

easyfisi
Bitte warten ..
Mitglied: 22010
20.03.2011 um 14:14 Uhr
Hallo,

hast du schon mal geprüft, ob der DHCP Discover überhaupt beim Server ankommt?
Benutz dafür am Besten Wireshark...


MfG
adks
Bitte warten ..
Mitglied: easyfisi
21.03.2011 um 10:55 Uhr
Hallo,

ja das Discover kommt aus vlan 3 durch und der DHCP antwortet auch aus vlan 1 mit einem offer, allerdings kommt dieser wohl nicht am client an, da kein request erfolgt. Muss ich sowas wie ne Rückroute am DHCP eintragen oder komme ich um Multiscope selbst in der testumgebung nicht drum rum?
Ich bin echt ratlos...

Viele Grüße

easyfisi
Bitte warten ..
Mitglied: Anton28
23.03.2011 um 11:06 Uhr
Zitat von easyfisi:
Hallo Anton,

ich habe hier lediglich eine Testumgebung mit einem W2k8 R2 Standard, einem Switch und 2 XP-Clients. Auf dem Server laufen die
notwendigen Dienste. Nach erfolgreichem Test soll dies mit dem HP IDM erweitert werden und dann in die Produktivumgebung
eingpflegt werden. In der Produktivumgebung hat natürlich jedes VLAN sein eigenes Scope. Wollte nur zum testen darauf
verzichten.
Dies ist auch mein Abschlussprojekt bei der IHK :o
Ich habe das Verhalten mal genau beobachtet. Der Client bekommt kurzfristig die richtige IP im VLAN 1 (10.11.20.201) und nach
wenigen Sekunden, wenn in VLAN 3 geswitcht kommt die eingeschränkte Konnektivität, weil APIPA vergeben wurde.

Wer teilt dem Client mit, in welches VLAN er muss ?

Wer schaltet das VLAN-tagging am Client ein ?

Oder wird am Switchport dann das richtige VLAN auf untagged gestellt ?


Hier die Config des HPs:

snmp-server community "public" Unrestricted
snmp-server host 10.11.20.195 "public" All
vlan 1
name "fremd"
untagged 1-26
ip address dhcp-bootp
ip helper-address 10.11.20.195
exit
vlan 3
name "healthy"
ip address dhcp-bootp
ip helper-address 10.11.20.195
tagged 1-26
exit
vlan 2
name "unhealthy"
ip address dhcp-bootp
ip helper-address 10.11.20.195
tagged 1-26
exit
aaa authentication port-access eap-radius
radius-server key radiustest
radius-server host 10.11.20.195 key radiustest
include-credentials radius-tacacs-only
aaa port-access authenticator 13-23
aaa port-access authenticator active
password manager
password operator



Ich würde mal vermuten, Du brauchst für jedes VLAN eine eigene DHCP Helper Adresse,
Und Du brauchst einen Router oder einen L3 Switch mit Routingfunktionalität,

Gruß

Anton
Bitte warten ..
Mitglied: easyfisi
23.03.2011 um 12:46 Uhr
Hallo Anton,

der NPS veranlasst, welchem VLAN der Client beitritt. Das ist abhängig von der "Gesundheitsprüfung" des Clients. Alle Clients kommen standardmässig in VLAN 1. Ist der Client gesund, kommt er in VLAN 3 und erhält Vollzugriff. Ist das Patchlevel nicht aktuell, kommt der Client zum updaten ins VLAN 2. Nach erfolgreichem Update wird der Client wieder in VLAN 3 geswitcht.
Mittlerweile habe ich drei DHCP-Adressbereiche erstellt und es funktioniert soweit...

10.11.20.0 für VLAN 1
10.12.30.0 für VLAN 2
10.13.40.0 für VLAN 3

Die aktuelle config des Switch (ist ein L3) sieht jetzt so aus:

snmp-server community "public" Unrestricted
snmp-server host 10.11.20.195 "public" All
vlan 1
name "fremd"
untagged 1-26
ip address 10.11.20.200 255.255.0.0
exit
vlan 3
name "healthy"
ip address 10.13.40.200 255.255.0.0
ip helper-address 10.11.20.195
tagged 1-26
exit
vlan 2
name "unhealthy"
ip address 10.12.30.200 255.255.0.0
ip helper-address 10.11.20.195
tagged 1-26
exit
interface 19
monitor
exit
aaa authentication port-access eap-radius
radius-server key radiustest
radius-server host 10.11.20.195 key radiustest
include-credentials radius-tacacs-only
aaa port-access authenticator 13-23
aaa port-access authenticator active
password manager
password operator


Die Sache ist jetzt aber, dass sobald der Client von VLAN 1 nach VLAN 3 bzw VLAN 2 geswitcht wird, kommt vom Client das DHCP-Discover und vom DHCP aus VLAN 1 (10.11.20.195) das Offer anstatt von dem DHCP (10.13.40.195) aus VLAN 3 kommt. Der Request des Clients wird dann mit einem DHCP-NAK verworfen.

Auszug aus Wireshark:

1
2
3
4
5

Nehme ich den ip helper aus der config, kommt zwar das offer vom DHCP, aber es erfolgt kein request des Clients.

Was übersehe ich bzw denke ich nicht dran???

Viele Grüße

easyfisi

Edit sagt noch:

Fehler liegt anscheinend in der NPS config...

Meldung des NPS bei Anmeldung des Clients in VLAN 1:


Der Netzwerkrichtlinienserver hat einem Benutzer Zugriff gewährt.

Benutzer:
Sicherheits-ID: TEST\user1
Kontoname: TEST\user1
Kontodomäne: TEST
Vollqualifizierter Kontoname: TEST\user1

Clientcomputer:
Sicherheits-ID: TEST\CLIENT1$
Kontoname: client1.test.local
Vollqualifizierter Kontoname: TEST\CLIENT1$
Betriebssystemversion: 5.1.2600 3.0 x86 Arbeitsstation
Empfänger-ID: 00-1d-b3-a8-38-00
Anrufer-ID: 00-13-72-6b-e7-34

NAS:
NAS-IPv4-Adresse: 10.11.20.200
NAS-IPv6-Adresse: -
NAS-ID: ProCurve Switch 2626-PWR
NAS-Porttyp: Ethernet
NAS-Port: 19

RADIUS-Client:
Clientanzeigename: Fremd
Client-IP-Adresse: 10.11.20.200

Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: NAP 802.1X (verkabelt)
Netzwerkrichtlinienname: NAP 802.1X (verkabelt) Kompatibel
Authentifizierungsanbieter: Windows
Authentifizierungsserver: DC1.test.local
Authentifizierungstyp: PEAP
EAP-Typ: Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2)
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.

Quarantäneinformationen:
Ergebnis: Vollzugriff
Sitzungs-ID: {F9145F2C-A3E6-4376-815A-DE623F8A7896} - 2011-03-23 11:28:42.343Z


Nach dem wechsel in VLAN 3 kommt diese Meldung:

Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Vollqualifizierter Kontoname: -

Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: client1
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfänger-ID: 10.13.0.0
Anrufer-ID: 0013726BE734

NAS:
NAS-IPv4-Adresse: 10.11.20.195
NAS-IPv6-Adresse: -
NAS-ID: DC1
NAS-Porttyp: Ethernet
NAS-Port: -

RADIUS-Client:
Clientanzeigenname: -
Client-IP-Adresse: -

Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: NAP 802.1X (verkabelt)
Netzwerkrichtlinienname: NAP 802.1X (verkabelt) Nicht NAP-fähig
Authentifizierungsanbieter: Windows
Authentifizierungsserver: DC1.test.local
Authentifizierungstyp: Nicht authentifiziert
EAP-Typ: -
Kontositzungs-ID: 313531343432353437
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 66
Ursache: Der Benutzer hat versucht, eine Authentifizierungsmethode zu verwenden, die in der entsprechenden Netzwerkrichtlinie nicht aktiviert wurde.

Dieser Guide wurde zur erstellung des NPS genutzt: 6
Bitte warten ..
Mitglied: Anton28
23.03.2011 um 15:42 Uhr
Hallo nochmal,

du mußt jedem VLAN eine eigene Helper Adresse zuweisen, meißt ist das die IP-Adresse des Routers im VLAN.

Dann sollte es funktionieren.


Gruß

Anton
Bitte warten ..
Mitglied: easyfisi
24.03.2011 um 11:43 Uhr
Hallo,

Problem ist gelöst! Alle Einstellung am Switch sind korrekt. Problem war die Computergruppe in der Netzwerkrichtlinie des NPS. Diese Einstellung darf nicht getätigt werden.

Vielen Dank für die gegebenen Tipps!!

Viele Grüße

easyfisi
Bitte warten ..
Ähnliche Inhalte
Netzwerkprotokolle
DHCP Snooping und DHCP Relay Verständnisfrage
Frage von Marco-83Netzwerkprotokolle3 Kommentare

Guten Abend zusammen, ich hätte da einmal eine klitzekleine Verständnisfrage zu DHCP Snooping / DHCP Relay. Ich habe in ...

LAN, WAN, Wireless
DHCP Relay Agent funktioniert nicht
gelöst Frage von ValexusLAN, WAN, Wireless12 Kommentare

Hallo an alle Administratoren, ich bin gerade in der Umstellung des DHCP Servers von unserem Router auf einen Windows ...

Router & Routing
VLAN und DHCP
Frage von Maik20Router & Routing6 Kommentare

Hallo, ich habe mal eine grundlegende Frage zum Thema VLAN und DHCP. Ich habe hier 3 VLANs: VLAN2: Internet ...

Netzwerkmanagement
DHCP relay an Cisco SG300
gelöst Frage von Maik82Netzwerkmanagement15 Kommentare

Guten Tag, Vorab Infrastruktur: SG300 Layer Erdgeschoss: VLAN 10: 192.168.101.254 "Clients" VLAN 20: 192.168.102.254 "Clients" VLAN 100 192.168.254.254 "Uplink ...

Neue Wissensbeiträge
Microsoft

Update KB4073578 für AMD CPU (Spectre und Meltdown Lücke)

Information von sabines vor 5 StundenMicrosoft

Wegen Problemen (BOSD, nicht startende PCs) wurde das Update KB4056897 und KB4056894 für AMD CPUs zurückgezogen. Dieses Update KB4073578 ...

Mac OS X

MacOS wo ist die Tilde ?

Tipp von Alchimedes vor 18 StundenMac OS X3 Kommentare

Hallo, ich hab eine MacOS qwertz Keyboard auf US Layout umgestellt da die Sonderzeichen besser erreichbar sind. Leider fehlt ...

Datenschutz

Weitere Informationen zum Sicherheitsproblem BeA

Information von Penny.Cilin vor 1 TagDatenschutz

Im folgenden ein weiterer Bericht über die Sicherheitsprobleme von Bea. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Gruss Penny

Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 1 TagWindows 103 Kommentare

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Heiß diskutierte Inhalte
Batch & Shell
Anmeldevorgang für Informatikraum (Schule) unter Windows
gelöst Frage von IngenieursBatch & Shell25 Kommentare

Hey zusammen, ich werde in naher Zukunft den Informatik Raum meiner jetzigen Schule von dem aktuellen Betreiber übernehmen (Vertrag ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von fyrb38Windows 1019 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Netzwerkgrundlagen
Welches Modem für VDSL 50000 der T-Com
Frage von Windows10GegnerNetzwerkgrundlagen18 Kommentare

Hallo, ein Kollege von mir will sich VDSL50000 von der T-Com holen, um daran einen Server zu betreiben. Ich ...