none
DHCP раздача IP из разных областей RRS feed

  • Вопрос

  • Всем моё почтение!

    Прошу помощи в решении возникшего вопроса:

    Имеется сервер с AD, DNS, DHCP и прочим. Имеется 2 сетки. Каким образом я могу раздавать (DHCP) IP-адреса согласно принадлежности различным группам? Т.е. имеются, например, группы (GP) Администрация и Бухгалтерия. Есть две области IP-адресов (192.168.0.х и 192.168.77.х). Как компьютерам администрации выдать IP-адреса из первой области, а бухгалтерии - из второй. 

    Резервирование по мак-адресам не катит. Где-то (для 2000/2003) находил присваивание компьютерам ClassID. Может есть что-то похожее или лучше?

    Какие службы (роли сервера) мне могут помочь и где я могу об этом прочитать?

    Заранее благодарен за помощь дилетанту. 

    • Перемещено Wang Huang 22 апреля 2012 г. 3:50 (От:Windows Server 2008)
    1 июня 2010 г. 14:42

Ответы

  • Сообщаю последние новости.

    Как выяснилось, решения данной проблемы в рамках начальных условий невозможно. Т.е. при одном физическом сегменте, деление на логические (с выдачей IP-адресов каждому из разных областей), не представляется возможным. Причем, как я понял, такого решения не существует в принципе. Как альтернатива - делить физически.

    Спасибо за полное прояснение, хотя и без достижения желаемого результата.

    • Помечено в качестве ответа oCa-ru 7 июля 2010 г. 10:30
    7 июля 2010 г. 10:30

Все ответы

  • По улучшениям DHCP в Windows server 2008 R2 см. статью Дмитрия Пономарева

    http://itband.ru/2009/11/dhcp/

    Что касается ClassID, то здесь нет чего-то нового. Вы можете настроить на DHCP выдачу IP-адресов из разных областей на основе присвоенного ClassID. Присвоить ClassID вы можете по команде ipconfig /setclassid, причем команду можно выполнять на этапе подготовки компьютера для установки на рабочее место, либо запускать в скрипте через групповые политики. Подробнее см.

    http://support.microsoft.com/kb/240247 

    1 июня 2010 г. 16:21
    Модератор
  • Спасибо за направление.

    А можно ещё пример скрипта и то место, куда его надо вставить в групповых политиках?

    Если я его пропишу в ГП, то при добавлении новой машины в эту группу, он должен сработать автоматом?

  • Вы должны настроить групповую политику Computer configuration/Windows settings/Scripts и в Startup script добавить запуск ipconfig.exe с параметром, скажем /setclassid "Подключение по локальной сети" MyClassID. Только здесь есть одна особенность. Чтобы применились групповые политики, клиентский компьютер уже должен обладать IP-адресом (иначе он не загрузит политики с контроллера домена). Поэтому при первом подключении к сети IP-адрес будет выдаваться DHCP-сервером не на основе ClassID и только впоследствии будет изменен.
    Модератор
  • В целом понятно.

    Хотел только уточнить: могу ли я в этом Startup script указать текстовый файл, в котором будет прописано "ipconfig /setclassid * workers" ?

    И ещё, когда я указываю в ролях DHCP-сервера классы поставщиков, то я должен указать в качестве имени (и в ASCII) имя области, которая мне необходима и которая уже создана?


  • Да, создайте cmd-файл с указанной командой. Чтобы он был доступен со всех компьютеров, разместите его на контроллерах домена прямо в объекте групповой политики. Для этого, находясь в окне настройки политики Startup Scripts, щелкните кнопку Show Files и в создайте или скопируйте ваш cmd-файл в эту папку.

    Нет, имя области и ClassID не связаны, они не обязаны иметь одинаковые имена.

    Модератор
  • А как тогда ClassId "узнает", что ему нужно брать IP именно из этой или другой области? Как связать ClassId и области в DHCP? Или я что-то не понимаю?
    2 июня 2010 г. 10:22
  • Вы невнимательно читали статью. :) ClassID указывается в Scope Options на закладке Advanced.
    2 июня 2010 г. 10:33
    Модератор
  • Нашел эти настройки. Выбрал из списка нужный класс поставщика. Даже настроил "предопределенные параметры". Но это никак не повлияло на выбор IP из нужной области.

    Видимо, я что-то делаю не так...

    2 июня 2010 г. 10:44
  • Посмотрите, вот инструкция по DHCP Server в Windows Server 2008:

    http://technet.microsoft.com/en-us/library/dd145318(WS.10).aspx

    2 июня 2010 г. 13:42
    Модератор
  • Собственно, так и делал. Может есть готовый пример как должно быть?
    2 июня 2010 г. 15:51
  • Попробуйте на сервере перезапустить службу DHCP Server, если не сделали это после внесения описанных изменений в настройки областей. А на клиентском компьютере пробовали выполнить ipconfig /release, ipconfig /renew ?

    2 июня 2010 г. 16:10
    Модератор
  • Вроде бы всё перепробовал...

    Вот, посмотрите, может что не так вообще, в корне:

    параметры области 192.168.0.х - http://s46.radikal.ru/i112/1006/6a/f4d4b2847663.gif

    параметры области 192.168.77.х - http://s42.radikal.ru/i096/1006/ca/59863bd6a073.gif

    параметры всего сервера - http://i036.radikal.ru/1006/0e/3e0e564e6f27.gif

     

     

  • Не смотрел рисунки (не могу с текущего места), но вот какое замечание. Если, скажем, у вас адрес DHCP-сервера 192.168.0.1/255.255.255.0, то он сам может выдавать IP-адреса для областей в этой же подсети, 192.168.0.x/255.255.255.0. Но чтобы DHCP-сервер выдал адрес в подсети 192.168.77.x/255.255.255.0, необходимо, чтобы поступил запрос из этой подсети, а не из подсети, где находится DHCP-сервер. Иными словами, в подсети 192.168.77.x/255.255.255.0 у вас должен стоять DHCP Relay Agent, транслирующий запросы IP-адресов на DHCP-сервер. Соответственно, рекомендация: ваши области должны находиться в подсети, где находится сам DHCP-сервер: если адрес/маска подсети DHCP-сервера такие - 192.168.0.1/255.255.255.0, то области могут быть такими - 192.168.0.2-192.168.0.127 и 192.168.0.128-192.168.0.254. Или в пределах 192.168.0.x, но не 192.168.77.x.

     

    Модератор
  • Просто получается, что он выдаёт как-то рандомно - то из одной подсети, то из другой.
  • Возьмите для тестирования компьютер, не подключенный к сети организации (или удалите информацию об аренде IP-адреса с сервера DHCP). До включения компьютера в сеть назначьте ClassID с помощью ipconfig /setclassid. Затем подключите компьютер к сети, выполните ipconfig /renew и проверьте, из какой области был назначен адрес сервером DHCP.

    3 июня 2010 г. 10:05
    Модератор
  • Делаю по рекомендации. Удаляю аренду, задаю classid для области 192.168.77.х, делаю renew.

    Присваивает 192.168.0.33

    3 июня 2010 г. 11:25
  • Допустим, ваш сервер DHCP находится в подсети 192.168.0.x, имеет маску подсети 255.255.255.0 . Как, на ваш взгляд, клиент, физически включенный в тот же сегмент сети, будет получать IP-адрес в подсети 192.168.77.x ? Предложите механизм этого процесса, даже отвлекаясь от всяких ClassID.
    3 июня 2010 г. 12:05
    Модератор
  • 1. Как же тогда сервер вообще выдаёт адреса типа 192.168.77.14 ?

    2. Получается, установленные на сервере несколько сетевых никак не смогут мне помочь?

    3 июня 2010 г. 12:20
  • Правильно ли понимаю, что на сервере DHCP установлено несколько сетевых адаптеров? Если так, то включены ли они в разные сегменты локальной сети? И какие IP-адреса/маски подсети назначены каждому из сетевых адаптеров?
    3 июня 2010 г. 12:26
    Модератор
  • Возможно, я в этом что-то напутал. Но при этих настройках вроде всё работает (сеть и интернет)

     

    Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : SERVERF

       Основной DNS-суффикс  . . . . . . : local.net

       Тип узла. . . . . . . . . . . . . : Гибридный

       IP-маршрутизация включена . . . . : Да

       WINS-прокси включен . . . . . . . : Нет

       Порядок просмотра суффиксов DNS . : local.net

     

    Ethernet adapter LAN_Internet:

     

       DNS-суффикс подключения . . . . . :

       Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller

       Физический адрес. . . . . . . . . : 40-61-86-4B-D9-4D

       DHCP включен. . . . . . . . . . . : Нет

       Автонастройка включена. . . . . . : Да

       Локальный IPv6-адрес канала . . . : fe80::3d41:e550:4924:8819%17(Основной)

       IPv4-адрес. . . . . . . . . . . . : 192.168.0.3(Основной)

       Маска подсети . . . . . . . . . . : 255.255.255.0

       Основной шлюз. . . . . . . . . : 192.168.0.1

       IAID DHCPv6 . . . . . . . . . . . : 289431942

       DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-13-7B-E2-88-00-C0-DF-08-48-8F

       DNS-серверы. . . . . . . . . . . : 127.0.0.1

       NetBios через TCP/IP. . . . . . . . : Включен

     

    Ethernet adapter Students:

     

       DNS-суффикс подключения . . . . . :

       Описание. . . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Ethernet NIC #2

       Физический адрес. . . . . . . . . : 00-C0-DF-08-48-8C

       DHCP включен. . . . . . . . . . . : Нет

       Автонастройка включена. . . . . . : Да

       Локальный IPv6-адрес канала . . . : fe80::ec64:bf76:e6c0:b06a%11(Основной)

       IPv4-адрес. . . . . . . . . . . . : 192.168.77.101(Основной)

       Маска подсети . . . . . . . . . . : 255.255.255.0

       Основной шлюз. . . . . . . . . :

       IAID DHCPv6 . . . . . . . . . . . : 268484831

       DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-13-7B-E2-88-00-C0-DF-08-48-8F

       DNS-серверы. . . . . . . . . . . : fec0:0:0:ffff::1%1

                                           fec0:0:0:ffff::2%1

                                           fec0:0:0:ffff::3%1

       NetBios через TCP/IP. . . . . . . . : Включен

    3 июня 2010 г. 12:37
  • Включены ли адаптеры LAN_Internet и Students в разные физические сегменты сети? Если в разные, то вам никакой ClassID не нужен - компьютеры в разных сегментах будут получать адреса из своих подсетей. Если адаптеры включены в один физический сегмент сети, то такая конфигурация некорректна - я не берусь сказать, как она будет работать.

    3 июня 2010 г. 12:43
    Модератор
  • В том-то и дело, что ClassId хотелось использовать в одной сети (сегменте). Или так делать не рекомендуется?

    Может тогда есть другие какие-нибудь решения?

    3 июня 2010 г. 14:10
  • Ну возьмите два диапазона IP-адресов, но в пределах одной подсети - тогда все правильно будет. К примеру (это не значит, что нужно делать именно так), если вы выберите маску подсети 255.255.0.0, то сети 192.168.0.x и 192.168.77.x окажутся в одной IP-подсети. Смешивать несколько IP-подсетей в одном физическом сегменте допускается, но не приветствуется: как можно видеть, DHCP-сервер в такой конфигурации не работает так, как ожидалось.

    Я бы выделил для администрации область адресов, скажем 192.168.0.21-192.168.0.120, для бухгалтерии - 192.168.0.121-192.168.0.220 (маска подсети везде - 255.255.255.0), остальные адреса оставил бы как статические для серверов, принтеров, сетевого оборудования.

    3 июня 2010 г. 14:42
    Модератор
  • Во-первых хотелось бы поблагодарить, что Вы так терпеливо всё объясняете. Я бы, наверное не выдержал :)

    Объясню откуда растут ноги у этой проблемы. Дело в том, что изначально хотелось разделить подсети, имея уже готовый физический сегмент. Как вариант - было выбрано решение на разделение по сетям на 192.168.0.x и 192.168.77.х, чтобы они не видели друг друга. Иначе, конечно, не стал бы заморачиваться и сделал как предлагали - одну область адресов для разных групп. Возможно, получилось не лучшее решение. 

    Кроме того, может тогда я не понял для чего ещё нужен такой инструмент, как ClassID, если не для подобных решений?

    3 июня 2010 г. 16:11
  • Давайте попробуем следующим образом. Отключите сетеыой адаптер Students от сети, удалите с него настройки IP-адреса и затем отключите как устройство (Disable). Добавьте IP-адрес 192.168.77.101/255.255.255.0 как второй в настройку сетевого подключения LAN_Internet. В конфигурации сервера DHCP создайте Superscope и добавьте в него созданные вами области.

    Вообще, ClassID в обсуждаемой конфигурации может использоваться как простой метод разграничения доступа на уровне компьютеров. Например, в одной области можно назначать Default Gateway, а в другой - нет, и тогда одни компьютеры будут получать, скажем, доступ в Интернет, а другие - нет в зависимости от их ClassID. Иными словами, если посторонний человек подключится к сети со своего ноутбука, то он получит доступ только к локальному сегменту сети. Кроме того, межсетевой экран тоже может разрешать доступ в Интернет только с определенного диапазона IP-адресов, а эти адреса будут назначаться только для компьютеров с определенным ClassID.

    Модератор
  • Отключил, удалил, добавил и создал. Безрезультатно.

    Причем, если поочередно деактивировать каждую область, то IP выдаются от той, которая активна. Т.е. выдача работает. Вопрос лишь в выборности областей.

    4 июня 2010 г. 10:12
  • У меня больше нет идей. Попробуйте все же протестировать выдачу адресов сервером DHCP на основе ClassID в пределах одной подсети. Еще можно включить логирование DHCP, как указано в этой статье

    http://technet.microsoft.com/en-us/library/cc780941(WS.10).aspx

    Еще могу организовать для вас обращение в Microsoft Product Support Services для решения проблемы с инженером - сотрудником Microsoft. Однако предупреждаю, что инженер техподдержки попросит вас прислать логи с серверов и рабочих станций, которые могут ракрыть внутреннюю структуру вашей сети и организации, используемое ПО и т.д. Интересует ли вас такой вариант?

     

    4 июня 2010 г. 10:46
    Модератор
  • Думаю, стоит попробовать. Только смогу пообщаться лишь в понедельник.
    4 июня 2010 г. 11:13
  • Напишите мне на адрес rzhevsky<at>post.ru и сообщите Ваше имя, адрес электронной почты и телефон, по которому c вами будет связываться сотрудник техподдержки.
    4 июня 2010 г. 11:38
    Модератор
  • Уважаемый, oCa-ru . После обращения в техподдержку и решения Вашего вопроса не могли бы Вы опубликовать его здесь?

    Поможем друг другу стать лучше! Отметим правильные ответы и полезные сообщения! Посетите наш блог http://blogs.technet.com/ru_forum_support/default.aspx
    Модератор
  • Да, обращение в техподдержку состоялось. Решение вопроса пока в процессе. Будем ждать ближайшие дни. Я своё слово привык держать - обязательно отпишусь в подробностях :)

     

    7 июня 2010 г. 13:23
  • Было бы интересно узнать решение
    9 июня 2010 г. 10:48
  • oCa-ru , есть новости по Вашему вопросу?

    Данный форум является бесплатным сервисом Microsoft с целью оказания посильной помощи пользователям и повышения уровня знаний о продуктах Microsoft. Информация, представленная на форуме, распространяется "как есть" без официальной ответственности компании Microsoft.
    17 июня 2010 г. 5:57
    Модератор
  • К сожалению, до сих пор тишина
    23 июня 2010 г. 5:52
  • В таком случае сами напишите или позвоните в техподдержку (телефон-то бесплатный), назовите оператору номер инцидента и попросите переключить на инженера, который занимается этой проблемой. По крайней мере, вам сообщат текущее состояние проблемы. Обратите внимание, что если по инциденту нет никакой активности в течение определенного времени, он автоматически переводится в выполненные.

    23 июня 2010 г. 6:44
    Модератор
  • Если речь идет об изоляции отдельных логических сегментов в одном физическом, то применение DHCP не оправдано; лучше  использовать преимущества AD (если она есть) - посмотрите статью Server isolation  http://technet.microsoft.com/en-us/library/cc770626(WS.10).aspx
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    23 июня 2010 г. 10:07
    Модератор
  • oCa-ru, Ваша проблема сохраняется?
     

    Данный форум является бесплатным сервисом Microsoft с целью оказания посильной помощи пользователям и повышения уровня знаний о продуктах Microsoft. Информация, представленная на форуме, распространяется "как есть" без официальной ответственности компании Microsoft.
    29 июня 2010 г. 5:22
    Модератор
  • В том-то и дело, что ClassId хотелось использовать в одной сети (сегменте). Или так делать не рекомендуется?

    Может тогда есть другие какие-нибудь решения?

    А вы не пробовали создать суперобласть (superscope)? Они (суперобласти) как раз для вещей такого рода. И при этом можно обойтись одним сетевым адаптером.
    29 июня 2010 г. 6:37
  • А вы не пробовали создать суперобласть (superscope)? Они (суперобласти) как раз для вещей такого рода. И при этом можно обойтись одним сетевым адаптером.

    В ответе от 4 июня 2010 г. 10:12 автор темы сообщил, что не помогло. С его слов, конечно.
    29 июня 2010 г. 6:39
    Модератор
  • сорри, пропустил. :)
    29 июня 2010 г. 6:42
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.
    Данный форум является бесплатным сервисом Microsoft с целью оказания посильной помощи пользователям и повышения уровня знаний о продуктах Microsoft. Информация, представленная на форуме, распространяется "как есть" без официальной ответственности компании Microsoft.
    30 июня 2010 г. 10:26
    Модератор
  • На данный момент никаких изменений ни в решении вопроса, ни в альтернативных вариантах. 

    Относительно  Server isolation. Возможно попробовать рассмотреть как вариант, но хотелось бы решить именно разделением на подсети.

    Количество сетевых адаптеров не критично. Суперобласть не помогла. 

    Писал несколько раз в службу поддержки. А в ответ - тишина. Звонить не было возможности.

    30 июня 2010 г. 18:24
  • Гм, а маской делить пробовали?
    Данный форум является бесплатным сервисом Microsoft с целью оказания посильной помощи пользователям и повышения уровня знаний о продуктах Microsoft. Информация, представленная на форуме, распространяется "как есть" без официальной ответственности компании Microsoft.
    Модератор
  • Проблема скорее в самом разделении отделов, а не в способе.

    Одни должны получить свои настройки сети, а другие - свои.

    3 июля 2010 г. 17:50
  • Сообщаю последние новости.

    Как выяснилось, решения данной проблемы в рамках начальных условий невозможно. Т.е. при одном физическом сегменте, деление на логические (с выдачей IP-адресов каждому из разных областей), не представляется возможным. Причем, как я понял, такого решения не существует в принципе. Как альтернатива - делить физически.

    Спасибо за полное прояснение, хотя и без достижения желаемого результата.

    • Помечено в качестве ответа oCa-ru 7 июля 2010 г. 10:30
    7 июля 2010 г. 10:30
  • Здравствуйте.

    Передо мной стоит похожая задача.

    Мне нужно сменить адресное пространство в локальной сети в одном физическом сегменте  (перейти с подсетки 192.168.х.х на 172.24.х.х).

    На сервере два сетевых адаптера, на каждом адрес из своей подсетки, физически находятся в одном сегменте LAN. (вариант с алиасами на одном сетевом адаптере также пробовал).

    Область 192.168.х.х на сервере DHCP существует. Добавил еще одну область для подсетки 172.24.х.х,  все адреса из этой подсетки занес в исключения, чтобы машины в сети не получали адреса из этой подсетки автоматом.

    После этого зарезервировал один из адресов  в области 172.24.х.х на основании MAC-адреса.

    Однако машина с этим MAC-адресом не получает однозначно адрес из новой подсетки. Адрес выделяется случайным образом как из старой подсетки, так и из новой.

    Можно ли однозначно выдать машине адрес из новой подсетки через резервирование на основании MAC-адреса?

     

    Спасибо.

    7 июля 2010 г. 17:26
  • Не в качестве рекламы, но решение теперь есть, например роутеры DHCP RouterOS на устройствах mikrotik могут на основании vendor class-id выдавать адреса и настройки из разных подсетей. Таким образом можно выкинуть android устройства в логический сегмент имеющий доступ только в интернет, но не имеющий доступ в сеть. При этом можно защититься от ручного назначения адресов.
    Но на некоторых площадках по прежнему использую DHCP на базе 2008R2 и хотелось бь найти решение. Возможно с помощью NPS. 
    30 июля 2020 г. 7:05