Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows Server 2003 DHCP für 2 Netzwerksegmente

Frage Microsoft Windows Server

Mitglied: levis24

levis24 (Level 1) - Jetzt verbinden

02.06.2008, aktualisiert 04.06.2008, 7030 Aufrufe, 11 Kommentare

Folgendes möchte ich machen.

Netzwerksegment A mit 10.0.1.0 / 24
Netzwerksegment B mit 10.0.2.0 / 24

DHCP-Server mit 2 IP-Adressen:

10.0.1.5 / 24
10.0.2.5 / 24

In Netzwerksegment A sollen alle Clients, die eine Reservierung haben, kommen.
In Netzwerksegment B sollen alle Clients, die keine Reservierung haben, kommen.

Client I soll eine Reservierung bekommen:
MAC 00-15-c5-06-5c-eb --> 10.0.1.101

Client II soll keine Reservierung bekommen:
MAC 00-16-41-5a-02-f5

Ich hätte nun 2 Scopes auf dem DHCP-Server eingerichtet, die die beiden Netzwerksegmente abdecken

Scope A
10.0.1.101 - 10.0.1.254
10.0.1.101 - 10.0.1.254 ausgeschlossen
10.0.1.101 (Reservierung für Client I)

Scope B
10.0.2.101 - 10.0.2.254

Ich möchte nun gewährleisten, dass Client I immer die IP von Scope A bekommt. Client II soll immer eine Reservierung von Scopbe B bekommen.

Ist dies technisch richtig überdacht?
Oder kann es sein, dass Client I eine IP von Scope B bekommt?

Ich weiß leider nicht, wie dies der Windows Server 2003 intern umsetzt.
Mitglied: harald21
02.06.2008 um 15:03 Uhr
Hallo,

wenn du 2 Netzwerksegment mit unterschiedlichen IP-Adressbereichen hast, so müssen diese über einen Router miteinander verbunden sein. Dieser sollte als DHCP-Relay konfiguriert werden.

Danach erhalten alle Clients aus dem 1. Netz (egal, ob eine Reservierung vorliegt oder nicht) IP-Adressen aus dem 1. Bereich, alle Clients aus dem 2. Segment Adressen aus dem 2. Bereich.

Es ist ebenfalls möglich, den Server mit 2 Netzwerkkarten auszurüsten und diesen als Router zu benutzen.

Mit freundlichen Grüßen
Harald
Bitte warten ..
Mitglied: moswald
02.06.2008 um 15:06 Uhr
Müssen die Scopes dann eigentlich als Gruppierung konfiguriert werden?
Bitte warten ..
Mitglied: levis24
02.06.2008 um 15:07 Uhr
Ich glaube, ich habe mich falsch ausgedrückt.

Ich möchte alle User, die keine DHCP-Reservierung haben in ein eigenes Netzwerksegment "schmeißen". Grund ist, ich möchte Firmenfremde Personen, die sich an mein Netzwerk anstöpseln, in einem eigenen Netzwerksegment haben.

Ich möchte aber verhinden, dass Clients, denen ich mit DHCP eine Reservierung bereits gegeben habe, dass diese nicht in das zweite Netzwerk unbeabsichtigt gelangen.

Verständlich? Ich hoffe es. Ist nicht gerade einfach.

lg Alex
Bitte warten ..
Mitglied: moswald
02.06.2008 um 15:11 Uhr
Das könntest du beispielsweise mit einem VLAN-fähigen Router, einem Radius-Server und deinem DHCP-Server machen. Die Ports vom Router/Switch werden dann je nach Eintrag im Radius-Server dem einen oder anderen Subnetz/VLAN zugeordnet. Den Server kannst du dann entweder mit zwei Interfaces in beide VLANs hängen oder einfach das oben angesprochene DHCP-Relay innerhalb des Routers nutzen.
Bitte warten ..
Mitglied: levis24
02.06.2008 um 15:15 Uhr
Das habe ich alles nicht. Was ich habe ist den Dell 3324-Switch und einen Windows Server 2003. Und mit diesen beiden Geräten muss ich diese Trennung lösen.
Bitte warten ..
Mitglied: harald21
02.06.2008 um 15:45 Uhr
Hallo,

diese Aufgabe kommt ja nahe an "mit einem Faustkeil ein Raumschiff bauen".

Wieviele "normale" Clients hast du denn? Evtl. kannst du ja für deine normalen Clients manuelle IP's vergeben (aus dem 1. Bereich) und für deine "Gäste" einen DHCP-Server (mit dem 2. Bereich) einrichten. Der Netzwerkkarte des Servers dann jeweils eine IP aus jedem der beiden Bereiche vergeben. Falls für die Gäste ein Internetzugang gewünscht ist, sollte dort dann ebenfalls eine zweite IP eingerichtet werden. Alternativ kann man aber auch einen Proxy auf dem Server benutzen (z. B. Jana-Server).

Mit freundlichen Grüßen
Harald
Bitte warten ..
Mitglied: harald21
02.06.2008 um 15:46 Uhr
Hallo moswald,

eine Gruppierung ist nicht notwendig.

Mit freundlichen Grüßen
Harald
Bitte warten ..
Mitglied: levis24
02.06.2008 um 15:48 Uhr
Ja, dem Faustkeil muss nun Intelligenz eingehaucht werden

den normalen Clients hätte ich eben im ersten Segment reservierungen eingetragen. Dieses Netzwerksegment hätte in meiner Überlegung keine freie Reservierungen mehr (ausschluss).

Somit bekommen zwangsweise alle gäste eine IP aus dem zweiten Segment.
Bitte warten ..
Mitglied: aqui
03.06.2008 um 11:45 Uhr
Der Dell 3324 ist VLAN fähig, so das das ganz einfach über dessen VLAN Funktion lösbar ist !
Denn du musst ja die Gastports von den Firmenports strikt trennen und in getrennten Layer 2 Netzen (also VLANs) betreiben. Am Switch musst du also schon genau wissen an welchen Ports sich Gäste verbinden und an welchen die Firmenmitarbeiter !!

Weisst du das nicht und Gäste können sich überall einklinken kannst du diese Problematik nur über eine sog. Port Security nach IEEE 802.1x am Switchport lösen.
Ein Gast wird dann automatisch nach Authentifizierung dynamisch ins Gast VLAN verlegt und Firmenangehörige dann ins Firmensegment so das alle sauber getrennt sind.

Was du denkst das du nur über die IP Adresse das lösen kannst ist ja so technisch gar nicht lösbar. Und wenn auch...dan wären ja Gäste und Firmenmitarbeiter gemeinsam in einem LAN mit lediglich unterschiedlichen IP Adressen unterwegs.
Das wäre tödlich, denn dann hast du beide wieder gemischt auf einem Draht und damit Tür und Tor für Unbefugte weit geöffnet. Mit einem Sniffer ist es dann ein leichtes Datenströme im Netz mitzuprotokollieren und auch Unfug im Netz zu treiben, Server zu kompromittieren usw. usw. Also genau das was du vermeiden willst !!

Deine Lösung ist die Separation in VLANs und/oder 802.1x !!!
Ob der Dell als Billigheimer Switch auch 802.1x supportet (VLANs supportet er problemlos) liess sich auf den Dell Support Seiten nicht herausbekommen, wäre aber durchaus möglich denn immerhin hat er einen seriellen Konsolport zum konfigurieren was schonmal ein riesen Pluspunkt ist und damit die Chancen steigen das er auch 802.1x supportet !
Bitte warten ..
Mitglied: levis24
03.06.2008 um 12:11 Uhr
Hallo Aqui!

Genau diese Antwort habe ich benötigt. Der 3324 ist auch IEEE 802.1x fähig. Ich werde dies auf diesen Weg umsetzen, nur wird das ganze etwas Zeit in Anspruch nehmen. Ich danke allen, die mir hier weitergeholfen haben.

lg Alex
Bitte warten ..
Mitglied: aqui
04.06.2008 um 13:32 Uhr
Klasse das ist dann die deLuxe Lösung für dich.
Für das 802.1x benötigst du einen Radius Server. Entweder kann das ein vorhandener Windows Server mit installiertem IAS sein oder du nimmst einen ollen PC installierst da eine Linux Distro drauf mit dem Freeradius.
Die Freeradius Konfig für 802.1x Zugangskontrolle sieht dann so aus:
Datei clients

01.
02.
client 192.168.1.0/24 { 
03.
        secret      = Geheim 
04.
        shortname   = Netzwerk
Datei users

01.
02.
levis24 Auth-Type := EAP, User-Password == "test" 
03.
Tunnel-Type = 13, 
04.
Tunnel-Medium-Type = 6, 
05.
Tunnel-Private-Group-Id = 7 
06.
#
Der Switch hat dann in diesem Beispiel eine IP Adresse im 192.168.1er Netz und der Freeradius weisst dann dem User "levis24" mit dem Passwort "test" dynamisch das VLAN 7 zu an dem Switchport wo er angeschlossen ist.
Kann sich ein User wie z.B. deine Gäste nicht authentifizieren bietet der Switch immer die Möglichkeit den in ein sog. Gummizellen VLAN zu legen wenn die 802.1x Authentifizierung fehlschlägt, was auf dem Switch selber konfiguriert wird.
Das ist dann dein Gast VLAN was so sauber getrennt von deinem Firmennetz ist !

Wenns das war bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Exchange Server
gelöst Microsoft Excange Server 2007 auf Windows Server 2003 Installieren? (9)

Frage von Herbrich19 zum Thema Exchange Server ...

Windows Server
gelöst Suche Windows Server 2003 Enterprise ISO (8)

Frage von Herbrich19 zum Thema Windows Server ...

Server
gelöst Client bei Windows Server 2003 ändern (5)

Frage von Therealcookie zum Thema Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...