uschmucker 10 Geschrieben 15. Juli 2011 Melden Teilen Geschrieben 15. Juli 2011 Hallo, gibt es eine Möglichkeit bei Windows7-Clients zu definieren, dass diese nur von bestimmten DHCP-Servern IP-Adressen annehmen (durch GPO oder sonst einer Einstellung auf dem Client) und auch nicht auf APIPA zurückfallen wenn diese definierten DHCP-Server nicht verfügbar sind? Die zukünftige Umgebung hat nur Win7-Clients und W2K8R2-DC´s/DHCP-Server. Hintergrund: wir haben auf unseren Laptops derzeit über das IBM-Tool Access-Connections die IP´s fix für diverse Standorte eingestellt. Ist zwar praktisch, wenn aber was im Netz umgestellt wird (Router, DNS,...) ist das ziemlich aufwendig zu ändern, da man diese Einstellungen in Access-Connections nicht Remote verwalten oder über Config-Files definieren kann. DHCP haben wir bisher bei den Laptops nicht aktiviert um zu verhindern, dass die Leute sich extern an andere Netze mit den Firmen-Laptops ranhängen (die User hatten weder über Windows noch über Access-Connections die Möglichkeit was an den IP-Einstellungen zu ändern). Da wir einen eher unüblichen IP-Range haben war damit eigentlich auch alles erschlagen. Nun wollen wir mit dem Windows7-Rollout doch auf DHCP auch auf den Laptops auf DHCP umstellen. Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 15. Juli 2011 Melden Teilen Geschrieben 15. Juli 2011 Hallo, gibt es eine Möglichkeit bei Windows7-Clients zu definieren, dass diese nur von bestimmten DHCP-Servern IP-Adressen annehmen (durch GPO oder sonst einer Einstellung auf dem Client) und auch nicht auf APIPA zurückfallen wenn diese definierten DHCP-Server nicht verfügbar sind? Du kannst APIPA deaktivieren soweit ich weiß. Aber was soll das bringen? Normalerweise behalten DHCP Clients ihre IP auch, wenn der DHCP Server mal kurzfristig nicht verfügbar ist. Solange das Default Gateway erreichbar ist. DHCP haben wir bisher bei den Laptops nicht aktiviert um zu verhindern, dass die Leute sich extern an andere Netze mit den Firmen-Laptops ranhängen (die User hatten weder über Windows noch über Access-Connections die Möglichkeit was an den IP-Einstellungen zu ändern). Da wir einen eher unüblichen IP-Range haben war damit eigentlich auch alles erschlagen. Ist ja hilfreich bei heutiger Mobilität. ;) Nun wollen wir mit dem Windows7-Rollout doch auf DHCP auch auf den Laptops auf DHCP umstellen. Du kannst einem Client nicht vorgeben, von welchem DHCP Server er seine IP zieht, falls das der Hintergrund deiner Frage ist. Bye Norbert Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 15. Juli 2011 Melden Teilen Geschrieben 15. Juli 2011 Moin, also eine GPO, gibt es meines Wissens nach nicht. Du kannst aber mit MAC-Filtern auf dem DHCP arbeiten, bisschen mühselig aber geht. Bei Servern <2008R2 bitte folgenden Blog-Eintrag zu Rate ziehen: DHCP Server Callout DLL for MAC Address based filtering - Microsoft Windows DHCP Team Blog - Site Home - TechNet Blogs Bei 2008R2 ist diese Funktion eingebaut. Ein ganz ganz anderes Thema, ist dein Umgang mit der Security die du durch diesen, oder den alten, Mechanismus erreichen willst. cheers, Daniel Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 16. Juli 2011 Melden Teilen Geschrieben 16. Juli 2011 Er will aber nicht, das nur bestimmte Mac-adressen bedienen, sondern er will, dass die Clients nur von bestimmten Dhcp-Servern anfordern können. Bye Norbert Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 16. Juli 2011 Melden Teilen Geschrieben 16. Juli 2011 Ein Kollege hat jetzt eine der Lösungen von NCP implementiert: Zentral gemanagte Personal Firewall für sicheren Netzwerkzugriff- NCP Damit wird der LAN-Zugriff freigegeben, wenn die "friendly Network detection" erfolgreich ist. Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 16. Juli 2011 Melden Teilen Geschrieben 16. Juli 2011 Er will aber nicht, das nur bestimmte Mac-adressen bedienen, sondern er will, dass die Clients nur von bestimmten Dhcp-Servern anfordern können. Bye Norbert Stimmt, hab ich falsch interpretiert... Mit klassischer Netzwerksegmentierung oder VLANs würde das gehen.. Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 16. Juli 2011 Melden Teilen Geschrieben 16. Juli 2011 Nein, ihm geht es darum, dass die Notebooks unterwegs keine IP von irgendwem bekommen. Da hilft ihm doch vlan usw. nur bedingt, oder überseh ich was? bye Norbert Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 16. Juli 2011 Melden Teilen Geschrieben 16. Juli 2011 Ne ne, schon richtig. Von unterwegs hilft das nicht, da hilft dann nur 802.1x, dann authentifizieren sich "seine" Clients auch nur in seinem Netz wenn er die Authentifizierung erzwingt. Von Unterwegs helfen ihm VLAN natürlich nicht sonderlich viel :) Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 16. Juli 2011 Melden Teilen Geschrieben 16. Juli 2011 Off-Topic:Der TO ist registriert seit 2008, sein Counter zeigt zwei Beiträge; bis er wiederkommt, kann also einige Zeit vergehen. :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.