none
DHCP server ANO/NE

    Dotaz

  • Dobrý den, chtěl bych Vás požádat o názor ohledně nasazení DHCP serveru (ANO/NE).

    Současný stav sítě: 90PC, 5serverů, 7 síťových tiskáren, 15 CNC strojů, nějaké kamery, snímače atd... vše na jednom blbě navrženém IPv4 segmentu, který má masku /16 a statické IP adresy (historické důvody). Máme dvě budovy, které jsou naproti sobě propojedé 1Gb/s optikou. V síti jsou přepínače ZyXEL GS1920, ale najdou se i hloubé nemenežovatelné... Dost musím řešit kdo může na internet a kdo ne... toto řídím pravidly na Mikrotiku (IP + MAC), také sleduji kolik na dané IP proteče dat (MK queue + Cacti), VLANY se nepoužívají.

    Řeším nákup nového výkonného serveru s virtualizací, a tak jsem si řekl, že bych mohl dát konečně do pořádku adresaci sítě. Ale pořád nevím, zda jít cestou DHCP serveru a fixnout každou IP = MAC, kvůli povolování/zakazování internetu a sledování kolik kdo stáhne dat. Navíc, máme dvě budovy a někdy se stane (3x do roka), že se z důvodu revize elektřiny vypne celá jedna budova. Mám ale možnost a taky to tak udělám, že na druhou budouvu odnesu jeden server, kde bude "Druhé" Adéčko a přemýšlel jsem i o nějakém HDCP failoveru (ale nevím, jestli win 2012 Std, bez R2 toto umožňuje).

    Zatím jsem rozhodlý ze 70% pro statické IP. Jsem na celé IT sám... polovinu času mi zaberou úpravy v informáku, a nevím, jestli bych stíhal ještě řešit možné problémy s DHCP serverem.

    Děkuji, za Váš názor :-)

    pondělí 29. srpna 2016 6:15

Odpovědi

Všechny reakce

  • DHCP určitě ano. To je dost šílenství mít v takto velké síti pevné IP.

    Co se týká přístupu na internet, určitě bych to řešil nějakým inteligentním firewallem na základě uživatelských účtů, nikoliv na základě IP adres. Co když se uživatel, jehož PC má zakázaný internet přihlásí na stanici, kde je internet povolený?

    DHCP failover - stačí použít Google: https://technet.microsoft.com/en-us/library/dn338978(v=ws.11).aspx , https://technet.microsoft.com/en-us/library/hh831385(v=ws.11).aspx

    BTW, kvůli revizi se vypíná elektřina v celé budově? To jsem ještě nezažil . . .


    BB

    pondělí 29. srpna 2016 7:47
  • JJ, povolovani Internetu na zaklade IP adresy je neudrzitelne. Pouzij nejaky free proxy server (SQUID) s NT autentikaci.

    Na zaklade IP adres pak udelej jen nejake vyjimky, kde je to irelevantni per user (servery a pod.)

    A/nebo proste pociac BEZ PRISTUPU k netu nedostane default GW

    MP


    pondělí 29. srpna 2016 8:33
    Moderátor
  • Ahoj,

    já jsem byl vždy zastánce DHCP serveru, s tolika zařízeními skoro naprosto jistě. Navíc pokud do firmy přijde návštěva s vlastním NTB nebo jiným zařízením, a chce se mu poskytnou internet, je dobré, když mu něco přidělí IP adresu automaticky (a ideálně připojí do jiné VLAN nebo Guest sítě s omezeným přístupem na net). Studovat u každého nového počítače v síti, jakou mu mám nastavit pevnou IP adresu, je šílené. Navíc pokud se připojuje přes WiFi, pak se třeba s pevnou IP nepřipojí jinde.

    Nicméně zážitek: používáme firewall Kerio Control a všechna pravidla, která jsem tam nastavil vztažmo k DNS názvům zařízení v síti po nějaké době nefungují za předpokladu, že si zařízení nalízne jinou adresu! Potvrdili mi to i v Keriu, server pravidelně neobnovuje DNS. Leda restart a nebo editovat a přeuložit komunikační pravidlo. Museli jsme udělat hodně rezervací IP a sen o tom, že nebudeme používat pevné IP adresy vůbec, se jaksi rozplynul :-) Navíc máme DHCP serverů s různými pooly víc a ještě navíc 10 provozoven s různým rozsahem sítě. Nakonec to skončilo tak, že počítače, notebooky a mobilní telefony mají až na výjimky DHCP adresu z poolu, ostatní zařízení a v síti jako například servery, tiskárny, PLC, routery, skenery a tak mají statické. I tak ale máme rezervace, protože jak se mění IP adresa, tak to na FW nějak dřív nebo později nefunguje a pravidla založená na uživatelském účtu z domény nám z neznámého důvodu nefungují vůbec.

    L.

    úterý 30. srpna 2016 9:08
  • - nemas nastaveno, ze DHCP registruje DNS zaznamy za klienty?
    - cokoliv vyzadujici preklad (DNS) je strasne neefektivni. Firewall ma byt na uzivatele (kde to jde)
    - jedina nevyhoda DHCP na MS serveru: CALy !!!

    MP


    úterý 30. srpna 2016 9:29
    Moderátor
  • no možná jo (?), je to zle ?

    úterý 30. srpna 2016 11:57
  • Pokud je sravne nastaveny i ucet, ktery ma patricna prava, pak je to OK.

    Nicmene JAKY je problem s tim Keriem? Ze nerefreshuje jiz jednou resolvnute zaznamy? Nebo ano, ale je prilis velke TTL, takze je pozde?

    MP

    úterý 30. srpna 2016 12:08
    Moderátor
  • No není to moje téma, nevím jestli není blbé to tu řešit :-) Ale podle všeho se bude jednat asi o vlastnost toho software, nyní je koukám TTL = 1 den. Na podpoře mi přímo řekli, že by všechny pravidla nastavovali výhradně přes IP adresy. Nyní je to Linux Virtual Appliance, ale stejně se chovala starší verze 7 na Windows Serveru 2003. Oni mají teď placenou podporu, tak se těm lidem asi moc do telefonu řešit nechce.

    Domníval jsem se, že kdyby DHCP server dělalo přímo Kerio (nikoliv MS Win Srv), tak by to přeci zákonitě muselo fungovat. V logu ale vidím zajímavou chybu, v tom to asi bude, že by firewall neměl práva pro update ???:

    [28/Aug/2016 12:05:29] (11) Failed to send DNS query to server 192.168.1.202

    úterý 30. srpna 2016 12:25