none
DHCP na W2008 a přidělování různých rozsahů

    Dotaz

  • Dobrý den,

    uvažuji o následující konfiguraci DHCP, potřebuji, aby mi DHCP přiděloval dva nezávislé IP rozsahy, např 192.168.x.x/24 + G + DNS  a druhý rozsah 10.x.x.x/24 + G + DNS 
    Rozsah 10.x.x.x bude přidělovámn všem neautorizovaným uživatelům,
    rozsah 192.168.x.x bude přidělován autorizovaným uživatelům pomocí MAC nebo pomocí clas ID.
    Nakonfiguroval jsem DHCP, kde jsem nastavil dva obory dle požadavku, ale nechodí to tak úplně přesně jak jsm si představoval.
    Server má IP 192.168.0.1, má i na síťové kartě přidánu druhou IP 10.0.0.1.
    Připojím- li se neautorizovaným PC dostanu pouze IP 192.168.0.x, neobdržím od DHCP Gateway a DNS což mi nevadí.
    Připojím- li se autorizovaným PC pomocí class ID dostanu vše jak má být z rozsahu 192.168.0.x.
    Připojím-li se pomocí registrace MAC dostanu buď vše z rozsahu 192.168.0.x nebo z rozsahu 10.0.0.x. To je vše OK.
    Ale potřeboval bych, aby neautorizovaný uživatel, tj. na DHCP není zádana MAC nebo na PC není nastaven správný class ID dostal IP z rozsahu 10.0.0.x.
    A to se mi nějak nedaří. Teoreticky to funguje, akorát potřebiji nastavit jako výchozí přidělování IP v rozsahu 10.0.0.x a to nevím jak , a nebo se pokouším o něco co nejde.

    Důvodem je , aby cizí noteboky v naší síti dostaly IP v rozsahu 10.0.0.x včetně G a DNS a běžel jim pouze internet a zároveň byli mimo naši síť .
    Možností je použít oddělené WiFi, ale touto cestou zatím jít nechci.

    Děkuji za odpověď

    pátek 6. ledna 2012 10:04

Odpovědi

  • 1. Zakazete cely rozsah site 192.168.0.0 a nastavite vyjimky na pocitace, ktere jsou mistni a to tak, ze budete IP vazat na MAC adresy. (DHCP bude mozna kricet, ze ma plny rozsah, ale to nevadi.)

    2. Sit 10.0.0.0 muzete nakonfigurovat podobnym zpusobem, jen vynechate rezervaci.

    3. Doufam, ze to neni zaroven i domenovy radic.

    4. Pokud mate sitove prvky podporujici L3, muzete site jeste navic oddelit.

    M

    pátek 6. ledna 2012 12:42
    Vlastník
  • 1. Multihome je problematicky a navic ve vasem pripade neni opodstatneny. Nema smysl poustet uzivatele, kteri nejsou v domene na domenovy radic.

    2. Resenim je oddeleni siti pro autorozovane uzivatele a ostatni. Moznosti je cela rada: oddeleni na routeru, proxy, DMZ,atd. (Routery podporuji bootp, takze DHCP muze komunikovat "za router". )

    3. Pokud opravdu touzite po multihome, podivejte na nasledujici text z fora:

     IP configuration best practice on DC and clients/member servers:

    -->>MULTIHOMING Domain controllers is not recommended, it always results in multiple problems.
    ------------------------------------
    1. Domain Controllers should not be multi-homed
    2. Being a VPN Server and even simply running RRAS makes it multi-homed.
    3. DNS even just all by itself, is better on a single homed machine.
    4. Domain Controllers with the PDC Role are automatically Domain Master Browser. Master Browsers should not be multi-homed

    272294 - Active Directory Communication Fails on Multihomed Domain Controllers http://support.microsoft.com/default.aspx?scid=kb;en-us;272294

    191611 - Symptoms of Multihomed Browsers
    http://support.microsoft.com/default.aspx?scid=kb;EN-US;191611

    -->> IP configuration on domain controller:
    ------------------------------------------
    Ensure the following on DC:

    1. Each DC / DNS server points to its private IP address as primary DNS server and other remote/local DNS servers as secondary in TCP/IP properties.
    2. Each DC has just one IP address and single network adapter is enabled.
    3. Contact your ISP and get valid DNS IPs from them and add it in to the forwarders, Do not set public DNS server in TCP/IP setting of DC.
    4. Once you are done, run "ipconfig /flushdns & ipconfig /registerdns", restart DNS and NETLOGON service each DC.

    Do not put private DNS IP addresses in forwarder list.

    M.

    pondělí 9. ledna 2012 15:07
    Vlastník

Všechny reakce

  • 1. Zakazete cely rozsah site 192.168.0.0 a nastavite vyjimky na pocitace, ktere jsou mistni a to tak, ze budete IP vazat na MAC adresy. (DHCP bude mozna kricet, ze ma plny rozsah, ale to nevadi.)

    2. Sit 10.0.0.0 muzete nakonfigurovat podobnym zpusobem, jen vynechate rezervaci.

    3. Doufam, ze to neni zaroven i domenovy radic.

    4. Pokud mate sitove prvky podporujici L3, muzete site jeste navic oddelit.

    M

    pátek 6. ledna 2012 12:42
    Vlastník
  • K bodu 3. ano je to doménový řadič. Může být s tím problém? Ještě mě napadla jiná varianta. Zatím jsem ji nezkoušel. Máme v síti více serverů W2008 a proto by možná bylo lepší rozjet na dalším serveru druhý DHCP. W2008 by to měly podporovat, a nastavit filtrování dle MAC. Jeden DHCP na doménovém řadiči pro 192.168.0.0 (povolit pouze známé MAC) a druhý pro 10.0.0.0 (zakázat známé MAC). Má to fugovat tak, že všechny známé MAC adresy mají mít síť 192.168.0.0 a všechny neznámé MAC mají mít 10.0.0.0.

    MS

    pondělí 9. ledna 2012 6:21
  • Ta druhá varianta je obecně horší.

    Mít 2 DHCP servery je problém, který pokud nesplníte přesné filtrování (ne jen teď ale i kdykoliv v budoucnu) tak vám celá síť nemusí správně fungovat.

     


    JCH
    pondělí 9. ledna 2012 8:39
  • 1. Multihome je problematicky a navic ve vasem pripade neni opodstatneny. Nema smysl poustet uzivatele, kteri nejsou v domene na domenovy radic.

    2. Resenim je oddeleni siti pro autorozovane uzivatele a ostatni. Moznosti je cela rada: oddeleni na routeru, proxy, DMZ,atd. (Routery podporuji bootp, takze DHCP muze komunikovat "za router". )

    3. Pokud opravdu touzite po multihome, podivejte na nasledujici text z fora:

     IP configuration best practice on DC and clients/member servers:

    -->>MULTIHOMING Domain controllers is not recommended, it always results in multiple problems.
    ------------------------------------
    1. Domain Controllers should not be multi-homed
    2. Being a VPN Server and even simply running RRAS makes it multi-homed.
    3. DNS even just all by itself, is better on a single homed machine.
    4. Domain Controllers with the PDC Role are automatically Domain Master Browser. Master Browsers should not be multi-homed

    272294 - Active Directory Communication Fails on Multihomed Domain Controllers http://support.microsoft.com/default.aspx?scid=kb;en-us;272294

    191611 - Symptoms of Multihomed Browsers
    http://support.microsoft.com/default.aspx?scid=kb;EN-US;191611

    -->> IP configuration on domain controller:
    ------------------------------------------
    Ensure the following on DC:

    1. Each DC / DNS server points to its private IP address as primary DNS server and other remote/local DNS servers as secondary in TCP/IP properties.
    2. Each DC has just one IP address and single network adapter is enabled.
    3. Contact your ISP and get valid DNS IPs from them and add it in to the forwarders, Do not set public DNS server in TCP/IP setting of DC.
    4. Once you are done, run "ipconfig /flushdns & ipconfig /registerdns", restart DNS and NETLOGON service each DC.

    Do not put private DNS IP addresses in forwarder list.

    M.

    pondělí 9. ledna 2012 15:07
    Vlastník