Zwei DHCP-Bereiche mit zwei Netzwerkkarten

[Luigihausen 11]

Ich möchte auf einem Domänencontroller mit dem Namen TESTDC mit DHCP einen zweiten DHCP Bereich erstellen, aber leider ziehen die Clients keine IP-Adresse.

Netzwerkkarte1: 192.168.80.10, virtueller interne Switches: intern1
Netzwerkkarte2: 192.168.90.10, virtueller interne Switches: intern2

Bereich1: 192.168.80.0, Adresspool: 192.168.80.100 - 192.168.80.200, MAC: 255.255.255.0
Bereich2: 192.168.90.0, Adresspool: 192.168.90.100 - 192.168.90.200, MAC: 255.255.255.0

Das alles läuft zum Testen in einer Hyper-V Umgebung und ich habe für die beiden Netzwerkkarten auf dem DC zwei verschiedene virtuelle interne Switches erstellt.
Einem neuen Client mit Windows 8.1 und einem neuen Server mit Windows 2012 R2 habe ich den virtuellen interne Switches intern1 zugewiesen, aber leider bekommen die per DHCP keine IP-Adresse.
Wenn ich eine statische IP in dem Netz 192.168.90.x vergebe, dann kann ich den DC mit 192.168.90.10 pingen.

Für diese Konstellation benötigt man doch keinen DHCP-Relay Agent, oder??
Gibt es vielleicht auch einen bessere Lösung für den zweiten Bereich und das ohne eine zweiten internen Switch?

Für jeden Tipp wäre ich sehr dankbar.

[NilsK 2.934]

Moin,

 

grundsätzlich geht das schon, aber bitte richte auf einem DC keine zwei Netzwerkkarten ein. Das ist nicht empfehlenswert und führt immer wieder zu Fehlern.

 

Auf einem DHCP-Server kannst du unterschiedliche Bereiche einrichten, aber von selbst vergibt der Server Adressen nur aus dem Bereich, dessen Netzwerk er selbst angehört. Für andere Netze würde man dann einen Relay Agent einrichten. Das ist meist die bessere Wahl, als dem DHCP-Server Netzwerkkarten für jeden Bereich zu geben.

 

Gruß, Nils

[Luigihausen 11]

Danke für die Infos, aber theoretisch müsste das mit den zwei Netzwerkkarten und meiner beschriebenen Konstellation doch funktionieren, oder muss man noch mehr auf dem DHCP einrichten, als einen zweiten Bereiche? Ich würde das gerne einmal zum Laufen bringen, bevor ich die zweiten virtuelle Netzwerkkarte wieder entferne und das mit einem Relay-Agent versuche.

[lefg 276]

Nicht-virtualisiert wäre es so:

 

- die zwei Interfaces wären getrennte Ethernets

-  das erste Interface 192.168.80.10

-  das zweite Interfave 192.168.90.10

- auf dem DCHP einen Bereich für die 80 einrichten

- auf dem DCHP einen Bereich für die 90 einrichten

 

Wesentlich, es sind getrennte Ethernets, die Clients dürfen per DHCP nur das  Netzwerkinterface für ihren Bereich erreichen können.

 

Das wäre aber mit zwei Interfaces auf einem DC, etwas wovon hier einige Experts abraten wird. Ich habe so etwas schon mehrfach gemacht, im realen Netzwerk. Ich habe es einmal mit fünf Interfaces/Netzwerksegmenten gemacht; nicht weil ich es so wollte, ich wurde stark drum gebeten.

 

Nochmals der Hinweis: Nicht-virtualisiert

bearbeitet 15. Februar 2015 von lefg

[Luigihausen 11]

@lefg

Aber genauso habe ich das doch eingerichtet, aber der DHCP vergibt keine IP an den Client in dem 90er Netz.

Wenn ich dem Client aus dem 90er Netz eine feste IP gebe, dann kann ich den DC auf der zweiten Netzwerkkarte pingen.

Ich habe leider keine Ahnung, warum der DHCP keine IP auf der zweiten Netzwerkkarte vergibt.

 

Als zweites würde ich das dann auch gerne mit dem Relay-Agent testen, wenn Problem 1. behoben ist.

Kann mir das bitte jemand kurz mit dem Relay-Agent erklären, Wenn ich die zwei oben genannte Bereiche habe und nur eine Netzwerkkarte in dem 80er Bereich.

Wo muss der Relay-Agent denn installiert werden, aber doch nicht auf dem DC mit dem DHCP, oder?

[lefg 276]

 

Aber genauso habe ich das doch eingerichtet,

 

Du machst es aber in einer virtuellen Umgebung, dazu kann ich nichts sagen.

 

Sind deine virtuellen Karten und virtuellen Switches denn in getrennten virtuelllen Ethernets?

bearbeitet 15. Februar 2015 von lefg

[Luigihausen 11]

Es sind zwei getrennte virtuelle Netzwerke.

 

Sonst noch jemand unterwegs, der eine Idee zu dem Problem mit den beiden Bereichen hat oder mir das Vorgehen mit dem Relay Agent kurz beschreiben kann.

[lefg 276]

Und wo stellst Du dir vor, den Relay Agent einsetzen, wo installieren und konfigurieren?

bearbeitet 15. Februar 2015 von lefg

[Luigihausen 11]

Bisher habe ich noch nie mit mehreren Subnetzen und dem Relay-Agent gearbeitet, deshalb ist das Neuland für mich.

[lefg 276]

Was ist das eigentliche Ziel, was ist die Anforderung, wie soll es aussehen? Ist es ein Training oder produktives Projekt?

Bisher habe ich noch nie mit mehreren Subnetzen und dem Relay-Agent gearbeitet, deshalb ist das Neuland für mich.

 

Falls notwendig wird zwischen Subnetzen geroutet, ein Router dazwischen, darauf falls notwendig ein Relay Agent.

 

Es erscheint verlockend und auch sparsam, den Server, genauer den DC als Router zu verwenden. Ich habe das schon gemacht, es funktioniert auch. Nur ist so etwas dann auch ein zentraler Fehlerpunkt. Nach negativer Erfahrung beim Ausfall solch eines Gerätes habe ich dann möglichst darauf verzichtet.

 

In der Praxis: Bei einem grossen oder bedeutenden Netz darf die Funktionsfähigkeit nicht von einem einzelnen Gerät abhängen, es muss genügend Mittel dasein für weitere Geräte, so das man keine Klimmzüge machen muss.

 

Ob man bei einem kleinen Netz und weniger bedeutenden Small Office segmentieren muss? Und wieviel Mark kostet ein SOHO-Router?

 

Eine Story geschehen vor langer Zeit: Um die Kosten für einen Hub einzusparen wurde in einen Netware Server(NW3.1) eine weitere Netzwerkkarte eingebaut. Einige "Experten" versuchetn sich immer wieder daran, dem Ding das Routen richtig beizubringen. Es funktionierte aber nicht wie gewünscht, sie bekamen es nicht hin. Ich hatte nur geringe Ahnung. Eine Tages hatte ich die Faxen dick, klaute anderenorts einen simplen Hub und baute den ein. Alles war gut.

bearbeitet 15. Februar 2015 von lefg

[Luigihausen 11]

Vielen Dank und einen schönen Abend!

[lefg 276]

Guten Morgen, gerne geschehen

[Doso 77]

Nach ersten Versuchen in dieser Richtung mit virtialisierten DHCP Servern haben wir dann recht schnell zwei getrennte DHCP Server für unsere beiden seperaten Netze installiert. Ist so auch sauberer getrennt und umgeht die geschilderten Probleme.

[Marcin_K 1]

Für mich sieht diese Konfiguration eher seltsam aus. Man teilt das Netzwerk in die Subnetze um die gegebene Ressourcen von sich abzusondern. Die Subnetze sollen mit einer Firewall verbunden werden aber nicht mit einem Server, der zwei Netzwerkkarten hat und als eine "Brücke" zwischen den Netzwerken steht. Jedes IT-Sicherheitsaudit wird diese Konstellation bestimmt kritisieren.

 

Grüße
Marcin

[Luigihausen 11]

@Marcin

Es geht dabei um eine Testumgebung und erste Versuche mit zwei Subnetzen. Bisher hatte ich das Vergnügen noch nicht.

Wir würdest Du das in einer virtuellen Testumgebung genau aufbauen, damit es im Ansatz einer sinnvollen produktiv-Umgebung ähnelt?

Ich bin da für jeden Tipp sehr dankbar, vielleicht könntest Du bitte ein Konfigurationsbeispiel posten.

Mir ist es noch nicht ganz Verständlich, wie die Clients aus zwei Subnetzen (z.B. 192.168.80.X und 192.168.90.X) über eine Netzwerkkarte im DHCP mit z.B. der IP 192.168.80.10, die IPs beziehen können.

Bei zwei DHCP-Servern klingt das für mich noch logisch, aber wie das mit einem laufen soll, kann ich noch nicht so ganz verstehen.

Für die meisten sicherlich eine total dumme Frage, aber irgendwie stehe ich da gerade voll auf der Leitung.