Förvirring kring DHCP-tjänsten

[hugoni]

Hej!

 

Någon som har stenkoll på det här med DHCP? Problemet som uppstått ser ut så här; En server med Windows 2003 server (AD), ett gäng klienter och en router. Routern har inbygd DHCP-server men jag vill att klienterna tilldelas ett IP från min Win2003 server och inte från routern. Nu kan någon illvillig användare koppla ur TP-kabeln och starta sin klient, väl inloggad lokalt trycka tillbaka den och köra ip config /renew och vipps får denne ett IP från routern och kan sätta igång och surfa vilt på diverse sidor och så vidare. Hur förhindrar man detta smidigast? Jag vill att varje användare måste logga in på min domän innan de tilldelas ett IP och släpps in på nätet respektive får tillgång till andra resurser som Internet, skrivare etc. Routerns DHCP-server kan jag inte slå av då ett annat gäng klienter kör den utan min domän. Maskinerna tilldelas ju ett IP vid uppstart, inloggade eller ej mot min domän, men det är just vidare användning jag vill förhindra.

 

Tack på förhand!

 

\\ hugoni

 

[Mattias C]

Du får väl lägga in en lista i routern på macadresser som inte ska få något ip från dess DHCP om det går.

Alternativt använda servern som router och sen lägga in något avancerat authenticeringsförfarande där vissa mac får ip direkt och får gå igenom den medan andra inte får det förrän de loggat in.

 

Rent allmänt är det dumt att ha två DHCP-servrar i samma segment.

 

[nordie]

Stäng genast av dhcp'n i routern! Annars kommer du att få en massa problem med klienter som inte hittar sin domänkontrollant. Man behöver inte vara med i domänen för att få en ip-adress av 2003:ans dhcp, så de övriga klienterna kommer att klara sig fint.

 

 

 

[Mr Andersson]

Jag vill att varje användare måste logga in på min domän innan de tilldelas ett IP

 

Hur sjutton vill du att man ska få kontakt med servern om man inte har någon IP-adress?

 

Routerns DHCP-server kan jag inte slå av då ett annat gäng klienter kör den utan min domän.

 

Det är minst sagt opraktiskt att köra två DHCP-servers i samma LAN. Jag trodde inte ens det var möjligt, då dom kommer överens om vem som ska stänga ner sig.

 

Dessutom har din domän ingenting med DHCP att göra. De som inte är med i din domän kan ändå få IP-adresser från din server. Stäng av DHCP i routern - omedelbums!

 

 

 

 

[inlägget ändrat 2005-03-23 23:01:54 av Mr Andersson]

[nordie]

Stackars hugoni! Vi är inte så arga som det låter, vi vill bara understryka att det medför stora problem att köra enligt din konfiguration.

 

Eftersom alla klienter måste ha en ip-adress för att sedan kunna autentisera sig mot servern så delar Windows dhcp-tjänst ut ip-adresser till alla som frågar.

 

Man kan faktiskt köra flera dhcp-servar på samma LAN, för redundansens skull, men då ska de ha exakt samma "options" och scopes som inte överlappar varandra.

 

[hugoni]

Tack för alla fina svar

 

Jo problemet som uppstått ligger på ett personligt plan också, jag får väl bjuda någon på lunch helt enkelt. Det är ett företag med sina användare som delar nätet med ett annat företag. Det företaget äger routern och har en egen admin. Allt skulle ha varit frid och fröjd om denna admin höll koll på saker och ting men som det ser ut nu är routern konfigurerad/misskonfigurerad och släpper inte IP'n och till på köpet står en öppen wlan-access-punkt, inget jag vill ha i mitt LAN. Vi två får slå våra huvuden ihop och komma överens om en annan lösning. Ska nog ordna med ett subnet inom deras LAN och på så vis ta kontroll över gisslet.

 

\\ hugoni

 

[jazzze]

Ett förslag för att lösa problemet men två företag på samma fysiska nätverk.

Kör VLAN!

 

Dela upp företagen i 2 VLAN så komme ni inte ha problem. ni kan köra var sin DHCP server. Dock måste ju switchen klara VLAN liksom routern/brandväggen.

Men detta är nog det bästa alternativet.

 

Eller så delar ni upp nätverket genom att ha två switchar. Och patchar upp rätt uttag till rätt switch. Då får du samma funktion som VLAN.

Om ni har ett "normalt" företagsabonnemang på Internetuppkopplingen så kan ni ha flera publika IP adresser. Då har ni helt enkelt var sin router/brandvägg men separata publika IP adresser.

 

// Jazze

 

[hugoni]

Tack!

 

Jo precis så tänkte jag med subnettat nätverk (VLAN). Jag tror att jag inte var tydlig nog i mitt första inlägg. Problemet är inte att jag har två DHCP-servrar på samma LAN utan två LAN delar på en router ut mot omvärlden. Min server som också fungerar som DHCP-server står bakom en brandvägg liksom mina klienter som har servern som domän. Mina klienter tilldelas en klass C-adress och det andra företaget som hämtar ett IP från routern direkt tilldelas ett IP ur en annan serie, så där är inga problem. Det som orsakat problem är att någon upptäckte att man kan koppla ur sin TP-kabel och plugga in den i ett vägguttag som är kopplat mot det andra nätet, det som använder routern som DHCP-server. På så vis erhåller den personen ett IP från routern och kan sedan ge sig ut på nätet utan att gå genom domänen eller IT-avdelningens vakande ögon, resulterade i två brevpressar till laptops för några veckor sedan p.g.a virus. Jag efterfrågade egentligen ett smidigt vis att förhindra mina användare från att komma åt omvärlden utan att vara verifierade och inloggade. En lösning nu är att blokera alla mina användares mac-adresser i routern, då måste de gå genom domänen och hämta ett IP där för att sedan kunna gå vidare från servern, ut genom företagets brandvägg och vidare ut mot routern.

 

\\ hugoni

 

[Johan Sandqvist]

Okej, i ditt fall skulle du då titta om det går att låsa DHCP-servern i routern till att bara dela ut adresser till kända MAC-adresser. Lite jobbigt och bökigt, men det går nog om routern har den funktionaliteten.

 

Ett annat alternativ kan vara att se till att den switch som alla vägguttag sitter kopplade till är av lite smartare typ där du på portnivå kan låsa till mac-adress. Har du en sån (eller skaffar en sån) är ditt problem snabbt och enkelt löst utan allt för mycket jobb.

 

Grundproblemet är dock att dina användare tar sig friheter som dem inte verkar ha. Och då får man agera för att förhindra sånt.

 

Vill du filtrera användare m.a.p. MAC-adress är nog en smart switch helt klart att föredra.

 

[jazzze]

Ett till alternativ är att införskaffa en brandvägg som har ett inloggningsförfarande. Exempelvis Clavister. http://www.clavister.se

 

Ett annat alternativ är att installera en proxy på servern, typ Microsoft ISA server. I den kan man ställa in att man måste vara inloggad för att surfa + mycket mycket mer.

I brandväggen ställer du sen in att bara servern få gå igenom den. + de andra klienterna på det andra företaget.

 

// Jazze

 

[hugoni]

Tackar, de svar jag sökte!

 

En proxy vore en lösning, Clavisters brandävggar är fina håller jag med om men det finns redan en dyrare historia där idag. Det får bli en ny switch, överkommligt pris och dessutom kan jag då skapa VLAN och styra mac-adresser till olika portar. Ja det är problematiskt med folk som missbrukar saker och ting. Jag missunnar ingen att surfa in på Aftonbladet någon gång ibland men när bandbredd tas upp p.g.a nedladdningar och andra seriösa arbetare blir lidande har det gått långt.

 

Tack för alla svar.

 

\\ hugoni

 

[jazzze]

Ännu ett förslag är att bandbreddsbegränsa användarna.

Eller hur många sessions en IP för upprätta

 

Återigen rekomenderar jag Clavister för dessa saker. Deras brandväggar rockar stenhårt!

 

// Jazze