sorvar 10 Geschrieben 23. Juli 2008 Melden Teilen Geschrieben 23. Juli 2008 Hallo zusammen, ich habe eine ganz tolle Aufgabe bekommen. Wir haben etwas über 300 PCs im Einsatz, die Ihre IP weitestgehend vom DHCP-Server bekommen (ausgenommen einiger System-PCs [quasi Mini-Server]). Nun kam jemand auf die gloreiche Idee auf den Switchen MAC-Filtering zu aktivieren, wobei die Switche auf die Daten von den Computerkonten des AD zurück greifen. Dazu gibt es vom Hersteller entsprechende Software, welche die Attribute der Computerkonten erweitert. Leider hat keiner diese Computerkonten so gepflegt, das die MAC-Adresse drin steht. Hier komme nun ich ins Spiel: Ich soll die DHCP-Datenbank(en) auslesen und die bereits existierenden Computerkonten im AD mit der entsprechenden MAC-Adresse ausstatten. DHCP-Datenbank auslesen und in eine txt exportieren ist mit netsh kein Problem. Nur habe ich keine Ahnung wie ich die Daten aus der txt ins AD kriege und zwar so, dass die Zuordnung von Clientname und MAC-Adresse stimmt. Und ich muss noch dazu sagen, dass ich so ziemlich 0 Ahnung von Scripting habe... Wie stelle ich das am besten an? Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 23. Juli 2008 Melden Teilen Geschrieben 23. Juli 2008 Off-Topic:Frag jemanden der sich damit auskennt... ;) Hm, für den absoluten Anfang kann man dir nur die ADSI-Scriptomatic an die Hand geben. Damit solltest du grundsätzlich erstmal (in einer TESTUMGEBUNG) ein wenig spielen, um ein bisschen Gefühl fürs AD-Skripting zu bekommen. DANN kannst du dahin gehen, das du die Liste deine MAC-ID's ausliest und in die entsprechenden Felder in deinen Computerkonten giesst...Link zur ADSI-Scriptomatic:http://www.microsoft.com/technet/scriptcenter/tools/admatic.mspx Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 23. Juli 2008 Melden Teilen Geschrieben 23. Juli 2008 Moin, bevor du dich ans Skripten machst, prüf doch bitte erst mal, was die Software von dem Hersteller wirklich macht. Wenn sie sogar das AD-Schema erweitert, würde es mich wundern, wenn sie kein Modul für den MAC-Adressimport hat. Denn: Die MAC-Adressen stehen in so gut wie keinem AD (wozu auch?). Falls du das tatsächlich per Hand machen musst, schau dir diese Artikel an: faq-o-matic.net » Active-Directory-Massenoperationen mit AdMod und AdFind faq-o-matic.net » Excel: Admins unbekannter Liebling Gruß, Nils Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 24. Juli 2008 Melden Teilen Geschrieben 24. Juli 2008 @sorvar, macht das wirklich Sinn? Wenn z.B. eine IP/ MAC Zuordnung sich ändert (notebook geht in anderen Raum, neuinstallation etc.), dann musst du erst den nächsten DHCP-export/AD-import Lauf abwarten, bis dieser Client arbeiten kann. d.h. der Lauf muss alle 5 Minuten durchgehen cu blub Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 24. Juli 2008 Melden Teilen Geschrieben 24. Juli 2008 @sorvar,macht das wirklich Sinn? Wenn z.B. eine IP/ MAC Zuordnung sich ändert (notebook geht in anderen Raum, neuinstallation etc.), dann musst du erst den nächsten DHCP-export/AD-import Lauf abwarten, bis dieser Client arbeiten kann. d.h. der Lauf muss alle 5 Minuten durchgehen cu blub Zugegebener Maßen, deine Frage ist absolut berechtigt. Je nachdem wie weit die Walking Computer gehen, macht das schon irgendwie Sinn. Auch ich habe Kunden die solche Features (z.B. bei HP Pro Curve) nutzen und einsetzen wollen. Vor- und Nachteile gibts da immer. Wo gibts die nicht? ;) Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 26. Juli 2008 Melden Teilen Geschrieben 26. Juli 2008 Moin, Wenn z.B. eine IP/ MAC Zuordnung sich ändert (notebook geht in anderen Raum, neuinstallation etc.), dann musst du erst den nächsten DHCP-export/AD-import Lauf abwarten, bis dieser Client arbeiten kann. d.h. der Lauf muss alle 5 Minuten durchgehen guter Hinweis, er hat mich auf eine andere Idee gebracht: Man integriere das Update des AD-Attributs einfach ins Startup-Skript. Dann braucht man kein Auslesen und keinen Import, sondern der Client macht das immer selber, wenn er seine IP-Adresse erhalten hat. Gruß, Nils Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 26. Juli 2008 Melden Teilen Geschrieben 26. Juli 2008 trotzdem, gefällt mir der Ansatz schon nicht recht - bei Notebooks im Standbymodus hilft das Loginscript auch nicht weiter - wie siehts mit dem Repliaktionsdelay zwischen den DCs aus - wieoft fragen die Switche einen DC ab, wielange cachen die Switche die Infos - man baut sich eine Abhängigkeit zwischen AD, evtl. DHCP und Switchen ein, die ziemlich sicher zu Trouble führen wird. Wenn's mehr Sicherheit im Netzwerk sein soll, find ich erprobte, dokumentierte Methoden wie IPSEC gleich sinnvoller. cu blub Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 27. Juli 2008 Melden Teilen Geschrieben 27. Juli 2008 Moin, ich schrieb auch nicht "Loginskript", sondern "Startskript". Warum bei jeder Anmeldung das Attribut neu schreiben? Dass die dahinter liegende Technik u.U. nicht jeden Fall abdeckt, ist hingegen korrekt, trifft aber auf jede Technik zu. Das abzuschätzen, muss der TO dann leisten. Besser als sein ursprünglicher Ansatz ist das Startupskript aber allemal. Gruß, Nils Zitieren Link zu diesem Kommentar
sorvar 10 Geschrieben 1. August 2008 Autor Melden Teilen Geschrieben 1. August 2008 Die Idee mit dem Startskript hatte ich auch schon, allerdings meinte mein Kollege so toll wäre die Lösung nicht. Was die Frage über den Aufwand und den Nutzen angeht: da habe ich keinen Einfluss drauf. Das ist so gewünscht und so wird das gemacht. Inwiefern es spezielle Anpassungen bzgl. der Notebooks notwendig sind oder ob die überhaupt mit in dieses Konzept fallen, weiß ich gar nicht. Ist aber ein gute Gedanke, an den vermutlich noch keiner gedacht hat. Mittlerweile wurde mir aber mitgeteilt, dass es eine weitere Datenbank gibt, in der die vorhandene Hardware durch ein Anmeldeskript inventarisiert wird. Muss nur noch mal sehen welches Format diese Datenbank hat, da lässt sich dann vermutlich mehr mit machen... Danke erstmal für die Antworten!! Zitieren Link zu diesem Kommentar
sorvar 10 Geschrieben 22. August 2008 Autor Melden Teilen Geschrieben 22. August 2008 ...bevor du dich ans Skripten machst, prüf doch bitte erst mal, was die Software von dem Hersteller wirklich macht. Wenn sie sogar das AD-Schema erweitert, würde es mich wundern, wenn sie kein Modul für den MAC-Adressimport hat. Denn: Die MAC-Adressen stehen in so gut wie keinem AD (wozu auch?). Die Version 1.2 bringt mittlerweile so eine Import-Funktion mit (wir haben 1.1 - die hat das definitiv noch nicht), ich hab die auch grad schon in einer virtuellen Umgebung erfolgreich getestet. Werde das jetzt entsprechend an die zuständigen Kollegen weiterleiten. Trotzdem noch mal Danke für die Antworten und Tips!!!:) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.