Kann man einen DHCP so konfigurieren, dass er nur Clients aus der Domäne oder sogar einer OU eine IP Nummer vergibt, und solche die z.B. in einer Arbeitsgruppe sind, nicht bedient? Es handelt sich um eine W2K3 Domäne.

Auf die Schnelle fällt mir nur die Möglichkeit ein, dass du die MAC Adressen im DHCP Server registrierst..

Hi Schubo

Es gibt verschiedene Möglichkeiten. Beispielsweise dieser Ansatz:

Wenn Du mit GPO's arbeitest, kannst Du deinen Clients eine IPsec-Policy zuweisen. In der Policy erstellst Du einen Filter, welcher den gesamten DHCP-Verkehr (Port 67/68) mit IPSec behandelt. Der Client muss sich dann beim DHCP-Server mit einer bestimmten Methode authentifizieren (z.B. Pre-Shared Key).

Der DHCP-Server verfügt ebenfalls über eine IP-Sec-Policy, so dass er IPSec-Anfragen von Clients beantworten, sich authentifizieren und eine gemeinsame Sicherheitsebene aushandeln kann. Wenn der DHCP-Server zwingend IPSec verwenden muss (in der POlicy definiert), können keine anderen Geräte mehr IP-Adressen beziehen.

Ich habs selber noch nie angewendet, aber funktionieren müsste das eigentlich problemlos.

Gruss und viel Spass beim "pröbeln"
Gruss Marcel

Ich kenne auch nur die Möglichkeit mittels Reservationen zu arbeiten oder auf dem Switch eine MAC-Restriction aufzuschalten.

Eine andere Möglichkeit wäre noch eine Benutzerklasse auf dem DHCP und den Clients zu definieren und da z.B. Gateway und DNS mitzugeben.

Gruss, Stephan

Hi Stephan

Das klappt, aber nur für die Optionen. Die IP-Adresse wird trotzdem vergeben.

Gruss Marcel

Tja, ich denk, jeder Client, der ein DHCP Discover aussendet, kriegt auch die Antwort vom DHCP bzw. eine IP-Adresse.

Marcels Lösung mit IPsec klingt recht plausibel.

Einfacher geht es wohl mit MAC Adressen, die auf dem DHCP angelegt werden müssen. Aber zu viel Admin Aufwand das einzupflegen.
Und wie Konfuzius sagt:
"Ein fauler Admin wird langsamer langsam."

Vielleicht kannst ja mit Userclass oder Vendorclass etc experimentieren, bzw. den Domänen-User-PCs bzw. OU-PCs per Startscript und /setclassid eine besondere DHCP Class mitzugeben. Wenn der Domänen-Client dann sein DHCP Discover aussendet, enthält es die DHCP Class ID, die eine vernünftige, bzw. brauchbare IP vom DHCP kriegt.

Alle anderen Nicht-Dom-PCS, die nicht diese speziell angelegte Class ID haben, werden vom DHCP auch bedient. Jedoch bekommen sie eine nicht brauchbare Dummy-IP-Adresse aus einem Dummy-IP-Pool. Vielleicht kann man in dieser Richtung was trixen.http://www.windowsitpro.com/Article/...7983/7983.html

Das Problem ist das. Wir stecken gerade in der Migration von einer eigenen NT4 Domäne in eine Unternehmensweite AD, wo wir noch eine OU kriegen. Weder bei NT4 von in der AD haben wir eigene DNS Server bei uns stehen. DNS Server sind für NT4 und AD unterschiedlich und nicht mit einander vertraut. Früher (NT4) hatten wir in unserem Netz (wo auch die Chefs sitzen) einen DHCP Server fürs Aufsetzen. Jetzt werden alle Clients auf DHCP umgestellt. Das hat bis jetzt funktioniert, da nur die PC der IT Abteilung migriert worden sind und die alle zwecks Administrationsaufgaben per MAC Filter immer dieselbe IP bekommen. Jetzt hab ich aber einen Test Client in aufgestartet und der alte DHCP Server hat schneller geantwortet. Ich musste die DNS Server der AD fix Eintragen, um den Client in die AD aufnehmen zu können (Wie oben kurz erwähnt, kennen die DNS Server der NT4 Umgebung die Clients der AD nicht und umgekehr). Und so laufen wir fürher oder später (wenn die Chefs migriert worden sind) in ein Problem.

Das Problem mit den DHCP Servern wirst du immer haben. Und wie üblich in solchen Fällen bekommst du den Lease von Falschen

Ich sehe folgende Möglichkeit:

Den "falschen" DHCP abschalten und nur noch den DNS aus dem AD verwenden.
Somit finden sich alle Clients wieder.
Damit die Server trotzdem erreichbar beliben tragt ihr sie im Hostfile ein.

Oder die bessere Variante: die "alten" Server im neuen DNS fix eintragen.

Ich gehe davon aus, das keine unterschiedlichen Subnetze vorhanden sind.

Cello

@Cello

Fix Einträge der alten Server auf dem neuen DNS. Ui Ui Ui, das gibt aber ein Papierkram. Du kannst Dir ja vorstellen, WO die DNS Server stehen. Auch der DC steht dort rum *heul*

*g* iel Spass

stehen die "alten" DNS Server bei euch?
Habt ihr evtl. noch Wins im Einsatz?

Es wäre auch möglich, die "neuen" DNS im alten einzutragen.
Als Forwarder direkt in den Eigenschaften des DNS-Servers

Cello

Steht alles bei ABX

Dann hast du ja ein Problem weniger (oder mehr???)
Gib Ihnen doch einfach den Auftrag dein Problem zu lösen

Cello