DHCP funktioniert zu gut

Dieses Thema DHCP funktioniert zu gut im Forum "Netzwerk" wurde erstellt von Sodian, 31. Mai 2007.

Thema: DHCP funktioniert zu gut Hallo, jetzt bin ich mal total verwirrt: in meinem Netz habe ich einen DC auf der Basis von Windows Server 2003 EE...

  1. Hallo,

    jetzt bin ich mal total verwirrt: in meinem Netz habe ich einen DC auf der Basis von Windows Server 2003 EE R2 (im Folgenden Server). Dort habe ich AD, DNS, WINS und DHCP konfiguriert und alles funktioniert wunderbar. Nur habe ich soeben einen PC gebaut (im Folgenden PC), auf diesem Windows Server 2003 EE R2 installiert und da dieser Server in einer anderen Domäne als Redundanz dienen soll, vorerst die Zugehörigkeit zur Standard-Arbeitsgruppe namens Arbeitsgruppe gelassen. Nun wurde Windows fertig installiert und danach habe ich die Treiber, u.a. für die NIC eingespielt. D.h., die TCP/IP-Parameter waren noch nicht eingegeben. Daraufhin hat sich der PC einfach die Daten per DHCP an dem vorhandenen Server geholt und das, obwohl der PC nicht Mitglied der Domäne ist, die auf dem Server eingerichtet wurde!

    Meine Frage an euch: wieso bekommt ein Rechner einfach so Konfigurationsdaten vom DHCP-Server? Ich bin bisher immer davon ausgegangen, dass Computer erst in die Domäne gehoben werden müssen, damit der Server diesen Domänenmitgliedern DHCP zu Teil werden lässt. Oder irre ich mich da?

    Vielen Dank,

    Sodian
     
  2. DHCP hat mit Domänen nix zu tun - wenn du nen Rechner hast, der seine IP per DHCP bekommt, schickt dieser Rechner eine Anfrage per Broadcast ins Netz und wenn ein DHCP-Server antwortet, bekommt er von dem ne IP zugewiesen. First come, first served - Sicherheitsmechanismen leider Fehlanzeige.

    Gruss
    twoday
     
  3. Uh? Danke für Deine Antwort, aber das ist ja grauenhaft! Das bedeutet, dass jeder einen Rechner einstöpseln und über unser Netz surfen kann. Denn Gateway und DNS werden ja vom DHCP-Server mit übertragen. Gibt es denn keine Möglichkeit, nur bestimmten Rechnern per DHCP Verbindungsdaten zuzuweisen?
     
  4. Da musst Du Dein Netz schon anders absichern. Z.B. Switch, der mit MAC Filtern arbeitet.
    Alternativ ein ordentliches Gateway, das nur Domänenbenutzern das Surfen ermöglicht.

    Eddie
     
  5. Vielen Dank für Deine Antwort!

    Mein Problem ist, dass unser Gateway extern bei einem Dienstleister steht. D.h. ich müsste hier eine Lösung einrichten, die greift, bevor die Anforderungen außer Haus an den Gateway-Rechner geschickt werden.

    Du sagst, ein Switch mit MAC-Filter könnte dies leisten. Wenn ich das recht verstehe, dann könnte ich den zwischen Server und Dose schalten, im Switch den Traffic blocken und für die MAC-Adressen unserer Rechner Ausnahmen einstellen, oder!?

    Gibt es alternativ noch eine Möglichkeit, einen MAC-Filter auf einem Windows 2003 Server EE R2 zu etablieren, damit die weitere Hardware nicht nötig ist?
     
  6. Wie wärs mit einem Proxyserver (mit Proxyzwang)?
     
  7. Wie wärs mit einer klaren, schriftlichen Richtlinie? Fremdrechner dürfen nicht eingenetzt werden. Punkt.

    Was mir zum Thema Kontrolle einfällt, ist das vergleichsweise aufwendige Einrichten von Optionsklassen. D. h., Geräte, die einer bestimmten Klasse angehören (die du selbst festlegen kannst), erhalten aus einem Pool eine IP-Adresse.

    Was ich aber nicht weiß, ist, ob ein klassenloser Rechner nicht auch eine Adresse erhalten würde. Was ich aber weiß, ist, dass so ein klassenloser in der DHCP-Konsole sofort auffällt.
     
  8. Nein. Einen Rechner klemmst Du in der Regel ja per Kabel an den Switch. Hat der Switch MAC Filter, so legst Du fest, dass nur der Rechner mit der MAC Adresse an diesem Port angeschlossen werden darf. Wird ein Fremdrechner mit einer anderen MAC Adresse an diesen Port angeschlossen, schaltet der Switch den Port ab.

    Wo ist eigentlich das Problem vor dem Gateway des Dienstanbieters ein eigenes zu setzen?


    Eddie
     
  9. Hmm, MAC-Filter kann man recht einfach aushebeln. Klar, der normale Gast in nem Firmennetz wird sich die Mühe nicht machen, daher würde das als Basis-Schutz sicherlich ausreichen, aber eine niet- und nagelfeste Lösung stellt es nicht dar.

    Ein weiteres Gateway würde in diesem Fall auch nichts nutzen, hat ja keinen Einfluss auf DHCP.....

    Der Ansatz mit den Klassen ist gar nicht schlecht, aber recht umständlich zu implementieren.

    Und last but not least genügt es in diesem Fall, ein Live-Linux von ner CD zu booten - sofern dort ein DHCP-Server drauf ist, werden alle Rechner im Netz von diesem DHCP-Server die IPs beziehen, da first come, first served leider auch impliziert, dass ein Rechner immer von dem DHCP-Server die IP-Adresse bekommt, der am schnellsten reagiert. Und Linux ist da um den Faktor xx schneller als Windows....

    Eine servergesteuerte Möglichkeit wäre die Nutzung von DHCP-Reservierungen: Alle bekannten Rechner erhalten über ne Reservierung gültige Werte, alle unbekannten Rechner werden mit Sinnlos-Werten versorgt, die keine Konnektivität im Netz zulassen. Da DHCP-Reservierungen über MAC-Adressen gefiltert werden, ist der Verwaltungsaufwand recht hoch (wäre er btw bei MAC-Filter auf dem Switch auch), die Implementierung aber recht einfach.

    Gruss
    twoday
     
  10. Erstmal vielen Dank für eure Tipps!

    Bekommen die Rechner trotz Proxy nicht doch auch die Konfig-Daten per DHCP zugewiesen? Insofern könnte ich doch mit einem Proxy lediglich verhindern, dass die Gäste surfen. Nicht aber, dass sie vom DHCP-Server bedient werden!?

    Das würde nicht helfen, denn wir haben öffentliche Räume.

    Und dann? Einen Praktikanten vor den Server setzen, der alle nicht befugten Rechner manuell entfernt? Eine wirksame Lösung soll verhindern, dass fremde Rechner überhaupt vom DHCP-Server bedient werden. Eine nachträgliche Kontrolle der Einträge halte ich für nicht sinnvoll.

    Das wird so nicht funktionieren, die Rechner sind in den Räumen an der Hausverkabelung angeschlossen und die Dosen der Hausverkabelung haben keinen MAC-Filter. Ich könnte lediglich Anfragen an den Server filtern und da wäre eben eine Box hilfreich, die den Traffic zwischen Server und seiner Dose nach MAC-Adressen zulässt oder verweigert.

    Auch hier besteht das Problem, dass die Leute dann lediglich nicht surfen können. Vom DHCP-Server sind sie dennoch bedient worden und genau das will ich verhindern.

    Mal was anderes: angenommen, mein DHCP-Bereich umfasst 10 IP-Adressen und per DHCP-Reservierungen reserviere ich diese 10 Adressen für 10 Rechner im Netz. Würde das nicht auch verhindern, dass ein Fremdrechner vom DHCP-Server bedient wird? Und wenn ja, bleibt das auch so, wenn nicht alle 10 Rechner an sind? Und wenn ja, gilt das nur für die Lease-Dauer oder sind Reservierungen da ohnehin permanent?

    Hm... wenn man Reservierungen manuell in der DHCP-Konsole eingibt, dann kann man eine MAC angeben. Allerdings erinnere ich mich dunkel, dass die Reservierung einfach per Klick erfolgen kann, sobald sich ein Rechner einmal mit dem Server verbunden hat.
     
Die Seite wird geladen...

DHCP funktioniert zu gut - Ähnliche Themen

Forum Datum
DHCP Server auf Windows 7? Windows XP Forum 26. Okt. 2013
Tool zum Wiederstarten des DHCP-Client-Dienstes Windows XP Forum 3. Sep. 2013
DHCP-Zuweisung aktivieren Firewalls & Virenscanner 20. Sep. 2011
DHCP-Problem / Adresse beziehen Windows XP Forum 4. Feb. 2013
Probleme mit Internetverbindung (DHCP) Windows Vista Forum 18. Juli 2011