Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows Server 2003 DHCP für 2 Netzwerksegmente

Frage Microsoft Windows Server

Mitglied: 4515

4515 (Level 1)

02.06.2008, aktualisiert 04.06.2008, 7041 Aufrufe, 11 Kommentare

Folgendes möchte ich machen.

Netzwerksegment A mit 10.0.1.0 / 24
Netzwerksegment B mit 10.0.2.0 / 24

DHCP-Server mit 2 IP-Adressen:

10.0.1.5 / 24
10.0.2.5 / 24

In Netzwerksegment A sollen alle Clients, die eine Reservierung haben, kommen.
In Netzwerksegment B sollen alle Clients, die keine Reservierung haben, kommen.

Client I soll eine Reservierung bekommen:
MAC 00-15-c5-06-5c-eb --> 10.0.1.101

Client II soll keine Reservierung bekommen:
MAC 00-16-41-5a-02-f5

Ich hätte nun 2 Scopes auf dem DHCP-Server eingerichtet, die die beiden Netzwerksegmente abdecken

Scope A
10.0.1.101 - 10.0.1.254
10.0.1.101 - 10.0.1.254 ausgeschlossen
10.0.1.101 (Reservierung für Client I)

Scope B
10.0.2.101 - 10.0.2.254

Ich möchte nun gewährleisten, dass Client I immer die IP von Scope A bekommt. Client II soll immer eine Reservierung von Scopbe B bekommen.

Ist dies technisch richtig überdacht?
Oder kann es sein, dass Client I eine IP von Scope B bekommt?

Ich weiß leider nicht, wie dies der Windows Server 2003 intern umsetzt.
Mitglied: harald21
02.06.2008 um 15:03 Uhr
Hallo,

wenn du 2 Netzwerksegment mit unterschiedlichen IP-Adressbereichen hast, so müssen diese über einen Router miteinander verbunden sein. Dieser sollte als DHCP-Relay konfiguriert werden.

Danach erhalten alle Clients aus dem 1. Netz (egal, ob eine Reservierung vorliegt oder nicht) IP-Adressen aus dem 1. Bereich, alle Clients aus dem 2. Segment Adressen aus dem 2. Bereich.

Es ist ebenfalls möglich, den Server mit 2 Netzwerkkarten auszurüsten und diesen als Router zu benutzen.

mfg
Harald
Bitte warten ..
Mitglied: moswald
02.06.2008 um 15:06 Uhr
Müssen die Scopes dann eigentlich als Gruppierung konfiguriert werden?
Bitte warten ..
Mitglied: 4515
02.06.2008 um 15:07 Uhr
Ich glaube, ich habe mich falsch ausgedrückt.

Ich möchte alle User, die keine DHCP-Reservierung haben in ein eigenes Netzwerksegment "schmeißen". Grund ist, ich möchte Firmenfremde Personen, die sich an mein Netzwerk anstöpseln, in einem eigenen Netzwerksegment haben.

Ich möchte aber verhinden, dass Clients, denen ich mit DHCP eine Reservierung bereits gegeben habe, dass diese nicht in das zweite Netzwerk unbeabsichtigt gelangen.

Verständlich? Ich hoffe es. Ist nicht gerade einfach.

lg Alex
Bitte warten ..
Mitglied: moswald
02.06.2008 um 15:11 Uhr
Das könntest du beispielsweise mit einem VLAN-fähigen Router, einem Radius-Server und deinem DHCP-Server machen. Die Ports vom Router/Switch werden dann je nach Eintrag im Radius-Server dem einen oder anderen Subnetz/VLAN zugeordnet. Den Server kannst du dann entweder mit zwei Interfaces in beide VLANs hängen oder einfach das oben angesprochene DHCP-Relay innerhalb des Routers nutzen.
Bitte warten ..
Mitglied: 4515
02.06.2008 um 15:15 Uhr
Das habe ich alles nicht. Was ich habe ist den Dell 3324-Switch und einen Windows Server 2003. Und mit diesen beiden Geräten muss ich diese Trennung lösen.
Bitte warten ..
Mitglied: harald21
02.06.2008 um 15:45 Uhr
Hallo,

diese Aufgabe kommt ja nahe an "mit einem Faustkeil ein Raumschiff bauen".

Wieviele "normale" Clients hast du denn? Evtl. kannst du ja für deine normalen Clients manuelle IP's vergeben (aus dem 1. Bereich) und für deine "Gäste" einen DHCP-Server (mit dem 2. Bereich) einrichten. Der Netzwerkkarte des Servers dann jeweils eine IP aus jedem der beiden Bereiche vergeben. Falls für die Gäste ein Internetzugang gewünscht ist, sollte dort dann ebenfalls eine zweite IP eingerichtet werden. Alternativ kann man aber auch einen Proxy auf dem Server benutzen (z. B. Jana-Server).

mfg
Harald
Bitte warten ..
Mitglied: harald21
02.06.2008 um 15:46 Uhr
Hallo moswald,

eine Gruppierung ist nicht notwendig.

mfg
Harald
Bitte warten ..
Mitglied: 4515
02.06.2008 um 15:48 Uhr
Ja, dem Faustkeil muss nun Intelligenz eingehaucht werden

den normalen Clients hätte ich eben im ersten Segment reservierungen eingetragen. Dieses Netzwerksegment hätte in meiner Überlegung keine freie Reservierungen mehr (ausschluss).

Somit bekommen zwangsweise alle gäste eine IP aus dem zweiten Segment.
Bitte warten ..
Mitglied: aqui
03.06.2008 um 11:45 Uhr
Der Dell 3324 ist VLAN fähig, so das das ganz einfach über dessen VLAN Funktion lösbar ist !
Denn du musst ja die Gastports von den Firmenports strikt trennen und in getrennten Layer 2 Netzen (also VLANs) betreiben. Am Switch musst du also schon genau wissen an welchen Ports sich Gäste verbinden und an welchen die Firmenmitarbeiter !!

Weisst du das nicht und Gäste können sich überall einklinken kannst du diese Problematik nur über eine sog. Port Security nach IEEE 802.1x am Switchport lösen.
Ein Gast wird dann automatisch nach Authentifizierung dynamisch ins Gast VLAN verlegt und Firmenangehörige dann ins Firmensegment so das alle sauber getrennt sind.

Was du denkst das du nur über die IP Adresse das lösen kannst ist ja so technisch gar nicht lösbar. Und wenn auch...dan wären ja Gäste und Firmenmitarbeiter gemeinsam in einem LAN mit lediglich unterschiedlichen IP Adressen unterwegs.
Das wäre tödlich, denn dann hast du beide wieder gemischt auf einem Draht und damit Tür und Tor für Unbefugte weit geöffnet. Mit einem Sniffer ist es dann ein leichtes Datenströme im Netz mitzuprotokollieren und auch Unfug im Netz zu treiben, Server zu kompromittieren usw. usw. Also genau das was du vermeiden willst !!

Deine Lösung ist die Separation in VLANs und/oder 802.1x !!!
Ob der Dell als Billigheimer Switch auch 802.1x supportet (VLANs supportet er problemlos) liess sich auf den Dell Support Seiten nicht herausbekommen, wäre aber durchaus möglich denn immerhin hat er einen seriellen Konsolport zum konfigurieren was schonmal ein riesen Pluspunkt ist und damit die Chancen steigen das er auch 802.1x supportet !
Bitte warten ..
Mitglied: 4515
03.06.2008 um 12:11 Uhr
Hallo Aqui!

Genau diese Antwort habe ich benötigt. Der 3324 ist auch IEEE 802.1x fähig. Ich werde dies auf diesen Weg umsetzen, nur wird das ganze etwas Zeit in Anspruch nehmen. Ich danke allen, die mir hier weitergeholfen haben.

lg Alex
Bitte warten ..
Mitglied: aqui
04.06.2008 um 13:32 Uhr
Klasse das ist dann die deLuxe Lösung für dich.
Für das 802.1x benötigst du einen Radius Server. Entweder kann das ein vorhandener Windows Server mit installiertem IAS sein oder du nimmst einen ollen PC installierst da eine Linux Distro drauf mit dem Freeradius.
Die Freeradius Konfig für 802.1x Zugangskontrolle sieht dann so aus:
Datei clients

01.
02.
client 192.168.1.0/24 { 
03.
        secret      = Geheim 
04.
        shortname   = Netzwerk
Datei users

01.
02.
levis24 Auth-Type := EAP, User-Password == "test" 
03.
Tunnel-Type = 13, 
04.
Tunnel-Medium-Type = 6, 
05.
Tunnel-Private-Group-Id = 7 
06.
#
Der Switch hat dann in diesem Beispiel eine IP Adresse im 192.168.1er Netz und der Freeradius weisst dann dem User "levis24" mit dem Passwort "test" dynamisch das VLAN 7 zu an dem Switchport wo er angeschlossen ist.
Kann sich ein User wie z.B. deine Gäste nicht authentifizieren bietet der Switch immer die Möglichkeit den in ein sog. Gummizellen VLAN zu legen wenn die 802.1x Authentifizierung fehlschlägt, was auf dem Switch selber konfiguriert wird.
Das ist dann dein Gast VLAN was so sauber getrennt von deinem Firmennetz ist !

Wenns das war bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Ähnliche Inhalte
Windows Server
gelöst Windows Server 2003 unter HyperV 2012 R2: Keine Maus (2)

Frage von StefanMUC zum Thema Windows Server ...

Windows Server
gelöst Windows Server 2003 DNS Server - Ping auf Subdomain nicht möglich in windows 7 (15)

Frage von aif-get zum Thema Windows Server ...

Neue Wissensbeiträge
Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(29)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Humor (lol)

Bester Vorschlag eines Supporttechnikers ever: APC

(15)

Erfahrungsbericht von DerWoWusste zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Netzwerke
LAN2LAN Verbindung sehr langsam flaschenhals gesucht (27)

Frage von PixL86 zum Thema Netzwerke ...

LAN, WAN, Wireless
Rogue Access Point (20)

Frage von Axel90 zum Thema LAN, WAN, Wireless ...

Webbrowser
Windows 7 unbeliebte Internetseite sperren (13)

Frage von Daoudi1973 zum Thema Webbrowser ...

E-Mail
Fake E-Mail in Outlook für Demonstartionszwecke (12)

Frage von sascha382 zum Thema E-Mail ...