Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» DHCP server

Автор: YuroN
Дата сообщения: 17.05.2005 15:06
Есть сеть, где адреса назначаются DHCP сервером. Вскоре пришла необходимость отрезать доступ к статическим адресам, т.е. чтоб только зарегистрированные пользователи могли иметь доступ к сети. В одном городе есть сеть, где такое проводилось и успешно работает.
Так вот как организовать такой сервер, на какой ОС и что для этого нужно. Интересуют статьи, программы, советы и т.д. общем все и заранее спасибо.
Автор: kerzer
Дата сообщения: 17.05.2005 18:17
Настрайвается это очень просто, открой любую книгу по виндовому серверу раздел DHCP. Но нужно маской подсети и диапазоном исключений будет закрыть остальную область, чтобы сервер не выдавал IP кому не поподя
Автор: Ici Chacal
Дата сообщения: 17.05.2005 19:13
YuroN
Таких тем было предостаточно, даже в андеграунде. Конкретного решения не видел, но почитай хотя-бы тут http://forum.ru-board.com/topic.cgi?forum=8&topic=0929#1 это про запрет статических IP. Здесь http://forum.ru-board.com/topic.cgi?forum=8&topic=5364#1 то же что-то есть.
Цитата:
отрезать доступ к статическим адресам, т.е. чтоб только зарегистрированные пользователи могли иметь доступ к сети

Не вижу связи... Воткнул ноут в свободную розетку
Цитата:
где адреса назначаются DHCP сервером

и получил адресок.

Добавлено:

Цитата:
чтоб только зарегистрированные пользователи могли иметь доступ к сети

А вот это уже реально интересно. Присоединяюсь к вопросу.
Автор: nike12345
Дата сообщения: 18.05.2005 10:01
Ставишь Сервак, поднимаешь домен и раздаешь права на доступ.
Автор: Ici Chacal
Дата сообщения: 18.05.2005 21:10
nike12345
Чушь. Есть сервак(и). Есть домен ХХХ.RU. Есть и DHCP и DNS. Все на свичах. CISCO и прочая байда.Объясни ты мне ради Бога как сделать так, что-бы
Цитата:
только зарегистрированные пользователи могли иметь доступ к сети

Ибо
Цитата:
Воткнул ноут в свободную розетку
и...
Ко всем
Насколько я понимаю решения на Win нет.(?)
Автор: G14
Дата сообщения: 19.05.2005 06:15
Ici Chacal

Цитата:
т.е. чтоб только зарегистрированные пользователи могли иметь доступ к сети


Цитата:
Насколько я понимаю решения на Win нет

Объясните конкретнее, что вы именно под доступом к сети понимаете ? Получение IP с DHCP-сервера ? Доступ к ресурсам домена например можно получить только имея\зная логин\пароль .... ну и так далее ... что именно нужно ?
Автор: YuroN
Дата сообщения: 19.05.2005 09:36
На Win убедился нельзя провернуть такое дело без спец программ, но есть возможность на FreeBSD в ДХЦП вычитал такое:

host User1 {
hardware ethernet 00:C0:9c:17:59:05;
fixed-address 192.168.1.2;
}
Автор: G14
Дата сообщения: 19.05.2005 10:12
YuroN

Цитата:
На Win убедился нельзя провернуть такое дело без спец программ,

ты хочешь сказать что в Win DHCP-сервере невозможно резервировать IP ?
Автор: mtur
Дата сообщения: 19.05.2005 10:22
если компов не много, можно свойствах DHCP сервера ограничить диапазон выдаваемых адресов по количеству пк в сети и зарезервировать ip-адреса для конкретных mac-адресов, т.е. комп "xx" c "mac-адрес" имеет "ip-адрес". В таком случае любой другой комп, в т.ч. и принесеный ноутбук, к сети не подсоединится. Минус такого решения - 1.Замена любой сетевой карты или добавление нового пк требует ручного вмешательства админа. 2.Для большого диапазона адресов не подходит в виду трудоемкости работы
Автор: nickloayev
Дата сообщения: 19.05.2005 10:22

Цитата:
На Win убедился нельзя провернуть такое дело без спец программ, но есть возможность на FreeBSD в ДХЦП вычитал такое:

host User1 {
hardware ethernet 00:C0:9c:17:59:05;
fixed-address 192.168.1.2;
}

Это резервация IP по определенному мак-адресу , в винде тоже самое есть
Автор: Ici Chacal
Дата сообщения: 19.05.2005 11:11
G14

Цитата:
Объясните конкретнее

Я понимаю, что хочу много, но хочется:
1.Только компьютеры, внесенные в Active Directory, являются "полноценными" пользователями сети: могут ходить в инет, общаться с Exchange, получать доступ к файловому серверу, серверу приложений и т.д. Остальным запрет на все или почти все. Незарегистрированные компы получали бы адреса из некоего пула (возможно один единственный адрес), и имели доступ только к контроллеру домена например (для внесения их в AD ).
2.Юзера, даже с админскими правами, не могли бы менять IP.
3.Работало бы автоматически или с минимальным вмешательством.
Все что читал не обеспечивает комплексное решение, на Windows по крайней мере.
Автор: AlLad
Дата сообщения: 19.05.2005 11:31
Через DHCP раздаются постоянные адреса пользователям, которые уже зарегистрированы в AD, на CISCO разрешается выход в InterNet только постоянным адресам. У нас в конторе так и сделано.
Автор: nickloayev
Дата сообщения: 19.05.2005 11:43
AlLad

Цитата:
Через DHCP раздаются постоянные адреса пользователям, которые уже зарегистрированы в AD
каким образом это сделано? - скажи если не секрет....
Автор: G14
Дата сообщения: 19.05.2005 11:45
Ici Chacal

Цитата:
1.
Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure
ну и далее по тексту....

Цитата:
2.Юзера, даже с админскими правами, не могли бы менять IP

хм.... имхо это бесполезная затея.

Цитата:
3.Работало бы автоматически или с минимальным вмешательством.

ага и само устанавливалось и настраивалось это несерьезно....

Автор: AlLad
Дата сообщения: 19.05.2005 11:56
В DHCP привязываешь к определенному MAC-адресу IP, на CISCO разрешаешь выход в InterNet этим зарезервированным адресам. Лучше всего сделать диапазон зарезервированных адресов подряд, чтобы проще было конфигурить CISCO.
Как делать reservation, я надеюсь, известно. Как конфигурить CISCO - не в курсах, у меня другая специализация.
Автор: nickloayev
Дата сообщения: 19.05.2005 12:03
AlLad

Цитата:
В DHCP привязываешь к определенному MAC-адресу IP
имхо: DHCP пофигу в АД комп или нет, он увидел что мак есть в резервации, и выдал компу соответствующий IP.... Как сделать что бы DHCP выдавал IP, только если комп находится в АД?
Автор: AlLad
Дата сообщения: 19.05.2005 12:43
Так ручками ж, остальные пусть получают временные адреса, в интернет же все равно не выйти
Автор: YuroN
Дата сообщения: 19.05.2005 15:37
nickloayev

Цитата:
Это резервация IP по определенному мак-адресу , в винде тоже самое есть

Вот только что нашел это.. Допустим мы зарезервировали все айпишки и как потом сделать так чтоб некто другой не смог подключить другую машину и не вышел в сеть (даже введен статически) ???
Автор: ku4er
Дата сообщения: 19.05.2005 15:46
Читайте про IPsec и его имплементацию , там и ответ.
Автор: G14
Дата сообщения: 19.05.2005 16:38
YuroN

Цитата:
Допустим мы зарезервировали все айпишки и как потом сделать так чтоб некто другой не смог подключить другую машину и не вышел в сеть (даже введен статически) ???

Improving Security with Domain Isolation
Автор: Ici Chacal
Дата сообщения: 20.05.2005 16:08
Тоесть в контексте названия топика
Цитата:
DHCP server
не получается... IPSec это хорошо, но пока не приемлемо, а домен на 2000.
G14
Как раз на установку и настройку времени-то и не жалко , главное что-бы потом
Цитата:
Работало бы автоматически или с минимальным вмешательством.



Всетаки неужели нельзя виндовый DHCP научить выдавать адреса компьютерам по принципу comp.domain.ru из одного пула, а просто comp из другого?
Автор: G14
Дата сообщения: 20.05.2005 16:36
Ici Chacal

Цитата:
Как раз на установку и настройку времени-то и не жалко

Ну таки IPsec вполне так подходит....

Цитата:
Всетаки неужели нельзя виндовый DHCP научить выдавать адреса компьютерам по принципу comp.domain.ru из одного пула, а просто comp из другого?

нет. Ну как не имея IP адреса комп "доложит" DHCP-серверу к какому домену он принадлежит и авторизуется ?! имо - бред.
Всем "своим" сделать резервации, а остальные адреса диапазона исключить ? Тогда на кой DHCP ? Да и на серьезной сетке это делать....
Автор: jey_str
Дата сообщения: 10.12.2013 10:50
всем доброе время суток
столкнулся с проблемой Хочу настроить отказоустойчивость DHCP
есть sever 2008 r2 (srv01) c установленным AD, DNS и DHCP
и есть server 2008 r2 (srv02) c настроеной репликацией AD и DNS c srv01
подскажите как сделать резервирование DHCP на sever 2008??
интересует именно DHCP в отказоустойчивом кластере Windows
искал в инете описание только server 2012

З.Ы хочется чтоб дыла полная репликация srv01 c srv02

Страницы: 1

Предыдущая тема: XP- клиенты не могут войти в AD-домен


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.