none
небольшой вопрос по переносу DHCP RRS feed

  • Вопрос

  • Доброго всем времени. Нужны оценки спецов по DHCP. Написал небольшую доку для себя как это будет происходить. Если где то ошибся то прошу поправить и прокоментировать

    Что имеем. 
    Есть сеть с 23 маской, все обслуживает один DHCP сервер на 2003 сервер, с одной областью. Клиенты получают ип динамически, сервера и все остальное статика.
    Что хотим/хочу )))
    попилить сеть на две области с 24 маской. 1 -область для клиентов, 2- область для оборудовния.
    Для того чтобы не ломать существующий DHCP сервер поступаем следующим образом.
    1 
     - на  2008/2012 сервер ставим роль DHCP
     - создаем на ней область (К) 192,168,15,1 - эта область для клиетов
     - создаем область (С) 192,168,16,1 - эта область для серверов и  оборудования
     - эти области обеденяем в сеперобласть 
     - области пока не активны.
     - настраиваем параметры 003 и 006 
     - на 2003 сервере деактивируем область 192,168,0,1/23 
     - на 2008 сервере активируем область  (К)
     - клиенты получают адреса с нового DHCP сервера и ходят в инет.
    2
     Для оборудования и серверов настраиваем область (С). Для этого поступаем следующим образом.
     - добовляем класс пользователей (user id 60) и (device id 61)
     - user id делаем как строку, и пишем название нашей группы.(все компы из группы получают правильные настройки и ходят в инет, все остальные кто не входит в группу получают не правильные настройки)
     - device id делаем для принтеров HP. (так как основная масса оборудования это принетры HP)
     - роутеры и сервера резервируем ип адреса в области (С)
    

    6 ноября 2015 г. 6:45

Ответы

  • Для начала определитесь с версией Windows Server.  В данном случае это существенно: в Windows 2012 есть политики DHCP, а в Windows 2008 их нет. Политики позволяют значительно больший контроль над тем, каким клиентам из каких диапазонов выдавать адреса и какие опции устанавливать.

    В частности, выделение разных диапазонов IP разным классам реализуется только через политику.

    При работе с политиками и суперобластями есть такой момент, что при попытке выдать адрес из одной области политики другой области не анализируются. Поэтому, чтобы выдавать клиентам адреса их диапазона другой области, они не должны иметь возможности получать адреса в первой области: либо адреса должны быть все исключены/зарезервированы/заняты, либо входить в состав диапазонов политик, в которые эти клиенты не попадают.


    Слава России!


    6 ноября 2015 г. 11:05
  • По option 60 -(Vendor CLass) вполне может быть настроен фильтр в политике.

    Option 61 используется напрямую при резервировании адресов (обычно он содержит MAC).


    Слава России!

    6 ноября 2015 г. 14:01
  • А причём тут Client ID? Делайте фильтр политики сразу по FQDN - и будет вам щастье!


    Слава России!

    6 ноября 2015 г. 17:06
  • Если вас интересует, то код этой опции - 81.

    Но знать его совершенно не обязательно: когда создаёте и редактируете политику, то при создании условия можно выбрать в качестве критерия Fully Qualified Domain Name, указать там имя вашего домена и отметить галку, что используется префикс '*'.

    Или, если пользуетесь Powershell, указываете в Add/Set-DhcpServerv4Policy параметр -FQDN EQ,*.имя.вашего.домена


    Слава России!

    9 ноября 2015 г. 13:47
  • Вы задаёте какие-то странные вопросы.

    Эта опция содержится обычно в запросе (DHCPRequest) клиента серверу на выделение адреса. Изначальный смысл этой опции - указать серверу, какую именно запись он должен динамически регистрировать при выделении адреса в обратной зоне DNS. А в Windows Sevrer 2012 сервер DHCP может по наличию и значению этой опции в запросе клиента выбирать разные политики выделения адреса и передачи клиенту других параметров.


    Слава России!


    9 ноября 2015 г. 14:42
  • Я вас тут тоже немного запутал: возможность указать FQDN в условиях политики появилась в Win2012 R2. В той статье, которую вы читаете, это не отражено.

    В GUI это выглядит так:


    Слава России!

    9 ноября 2015 г. 15:10
  • Уже ткнул (скриншот выше). Что именно не получается?

    Вы создали политику на уровне области? Прописали для неё условия, к каким клиентам она применяется, поддиапазон IP, из которого выдаются адреса, и, возможно, дополнительные и изменённые опции?

    Тогда всё: клиент, попадающий под условия какой-либо политики, получит настройки в соответствии с ней, а не попадающий ни под одну политику - адрес из диапазона, не принадлежащего ни к одной из политик и опции, настроенные для сервера/области.


    Слава России!

    9 ноября 2015 г. 16:32
  • Тогда по FQDN не получится, если не R2. Нужны обходные решения.

    Принтеры и другие устройства конкретного изготовителя можно выделять по диапазону MAC-адресов: каждому изготовителю выделяется один или несколько трёхбайтовых префиксов для MAC-адресов, назначаемых производимым ими устройствам.

    На компьютерах перед развёртыванием можно устанавливать класс пользователя (например командой ipconfig /setclassid * класс_пользователя) а потом делать политику с условием по классу пользователя.


    Слава России!


    10 ноября 2015 г. 13:13
  • Это - ограничение не GUI, а реализации DHCP Server в Win2012. Не важно, через что вы будете его настраивать - возможность условия политик FQDN в нём AFAIK не поддерживается.


    Слава России!

    11 ноября 2015 г. 13:35

Все ответы

  • Для начала определитесь с версией Windows Server.  В данном случае это существенно: в Windows 2012 есть политики DHCP, а в Windows 2008 их нет. Политики позволяют значительно больший контроль над тем, каким клиентам из каких диапазонов выдавать адреса и какие опции устанавливать.

    В частности, выделение разных диапазонов IP разным классам реализуется только через политику.

    При работе с политиками и суперобластями есть такой момент, что при попытке выдать адрес из одной области политики другой области не анализируются. Поэтому, чтобы выдавать клиентам адреса их диапазона другой области, они не должны иметь возможности получать адреса в первой области: либо адреса должны быть все исключены/зарезервированы/заняты, либо входить в состав диапазонов политик, в которые эти клиенты не попадают.


    Слава России!


    6 ноября 2015 г. 11:05
  • DHCP будет на 2012, сейчас он на 2003. Да уже прочитали про политики.   Сижу читаю и анализирую https://technet.microsoft.com/ru-ru/library/hh831538.aspx?f=255&MSPPError=-2147217396  , вообще интересно сделано, более гибко.  Суперобласть наверно придется разобрать, ибо она не нужна. Вообще хотелось бы понять, сможет ли DHCP на оснований политик с настроенными 60 и 61 опциями, выдавать ип адреса из тех областей которых планируется. 

    6 ноября 2015 г. 11:52
  • По option 60 -(Vendor CLass) вполне может быть настроен фильтр в политике.

    Option 61 используется напрямую при резервировании адресов (обычно он содержит MAC).


    Слава России!

    6 ноября 2015 г. 14:01
  • а разве нельзя в 61 указать что стринг и указать имя домена ?

    6 ноября 2015 г. 14:23
  • А зачем? Полное имя компьютера передаётся в другой опции, и по ней тоже можно сделать фильтр для политики, как и по Vendor/User Class и MAC


    Слава России!

    6 ноября 2015 г. 14:39
  • что значит зачем. зачем резервировать по мак или полному имени компу, когда можно сделать все проще.  независимо от того какой мак или имя компа, он проверяет принадлежность к домену или группе. если совпадает то ему выдается ип из области для клиентов. Или я чего то путаю ?

    6 ноября 2015 г. 15:07
  • А причём тут Client ID? Делайте фильтр политики сразу по FQDN - и будет вам щастье!


    Слава России!

    6 ноября 2015 г. 17:06
  • потренируюсь на тестовом стенде ))

    9 ноября 2015 г. 6:27
  • если не трудно, подскажите какая опция определяет EQDN. Перечитал несколько раз документацию, там не смог найти ответ на свой вопрос. Везде приводятся примеры на основе MAC адресов. Но прописывать 200 адресов  в ручную вообще не вариант.

    9 ноября 2015 г. 13:07
  • Если вас интересует, то код этой опции - 81.

    Но знать его совершенно не обязательно: когда создаёте и редактируете политику, то при создании условия можно выбрать в качестве критерия Fully Qualified Domain Name, указать там имя вашего домена и отметить галку, что используется префикс '*'.

    Или, если пользуетесь Powershell, указываете в Add/Set-DhcpServerv4Policy параметр -FQDN EQ,*.имя.вашего.домена


    Слава России!

    9 ноября 2015 г. 13:47
  • то что это 81 опция я уже прочитал.  Если это стандартная опция, то почему нельзя ее добавить в класс параметра "dhcp standart options", зачем для этого создавать другой класс поставщика.

    9 ноября 2015 г. 13:56
  • Вы задаёте какие-то странные вопросы.

    Эта опция содержится обычно в запросе (DHCPRequest) клиента серверу на выделение адреса. Изначальный смысл этой опции - указать серверу, какую именно запись он должен динамически регистрировать при выделении адреса в обратной зоне DNS. А в Windows Sevrer 2012 сервер DHCP может по наличию и значению этой опции в запросе клиента выбирать разные политики выделения адреса и передачи клиенту других параметров.


    Слава России!


    9 ноября 2015 г. 14:42
  • да запутался уже. Давайте вернемся к основному вопросу. Как создать политику которая на основе принадлежности к домену/рабгруппе будет выдавать адреса из определенной области. Сижу читаю https://technet.microsoft.com/ru-ru/library/dn425039.aspx, но так и не смог понять в каком опции указать классу поставщика имя приналдежности.
    9 ноября 2015 г. 15:00
  • Я вас тут тоже немного запутал: возможность указать FQDN в условиях политики появилась в Win2012 R2. В той статье, которую вы читаете, это не отражено.

    В GUI это выглядит так:


    Слава России!

    9 ноября 2015 г. 15:10
  •  ну вот ))  Теперь вернемся к вопросу. Необходимо нарисовать политику. пока не получается ((. если не трудно ткните носом.

    9 ноября 2015 г. 15:16
  • Уже ткнул (скриншот выше). Что именно не получается?

    Вы создали политику на уровне области? Прописали для неё условия, к каким клиентам она применяется, поддиапазон IP, из которого выдаются адреса, и, возможно, дополнительные и изменённые опции?

    Тогда всё: клиент, попадающий под условия какой-либо политики, получит настройки в соответствии с ней, а не попадающий ни под одну политику - адрес из диапазона, не принадлежащего ни к одной из политик и опции, настроенные для сервера/области.


    Слава России!

    9 ноября 2015 г. 16:32
  • я не знаю откуда у вас появился FQDN. может конечно попробовать через powershell. но у меня 2012, а не 2012r2.  если что.

    10 ноября 2015 г. 7:09
  • Тогда по FQDN не получится, если не R2. Нужны обходные решения.

    Принтеры и другие устройства конкретного изготовителя можно выделять по диапазону MAC-адресов: каждому изготовителю выделяется один или несколько трёхбайтовых префиксов для MAC-адресов, назначаемых производимым ими устройствам.

    На компьютерах перед развёртыванием можно устанавливать класс пользователя (например командой ipconfig /setclassid * класс_пользователя) а потом делать политику с условием по классу пользователя.


    Слава России!


    10 ноября 2015 г. 13:13
  • хм ... хорошо, если это невозможно сделать через GUI, то наверно возможно сделать через powershell. Давайте попробуем сделать через него.

    11 ноября 2015 г. 11:04
  • Это - ограничение не GUI, а реализации DHCP Server в Win2012. Не важно, через что вы будете его настраивать - возможность условия политик FQDN в нём AFAIK не поддерживается.


    Слава России!

    11 ноября 2015 г. 13:35