DavidS 11 Geschrieben 26. Januar 2017 Melden Teilen Geschrieben 26. Januar 2017 (bearbeitet) Aufgrund folgender Lizenzthematik haben wir unseren DHCP Serverdienst modifiziert: Q2 – If I have guests that come into my office an temporarily use a Windows DHCP server to grab an IP address to access the Internet, do they need CALs? A2 – Yes, they are using a Windows Server service and would need a CAL. Quelle: https://blogs.technet.microsoft.com/volume-licensing/2014/03/10/licensing-how-to-when-do-i-need-a-client-access-license-cal/ DHCP Server ist jetzt unser Router, nicht mehr unser Domaincontroller. Wir nutzen ausschließlich Windows 7 SP1 x32 Clients. Allerdings haben wir nun folgendes Problem: https://support.microsoft.com/de-de/help/2459530/event-id-5719-and-event-id-1129-may-be-logged-when-a-non-microsoft-dhcp-relay-agent-is-used Nicht immer, aber immer öfter, kommt es zu Netlogon Fehlermeldungen, Installationen per Gruppenrichtlinie werden u.a. dadurch nicht zeitnah übernommen. Ich habe den Hotfix bereits installiert, keine Besserung. Ich habe die Netzwerkkartentreiber aktualisiert, keine Besserung. Ich habe die Netzwerkkarte de - und wieder installiert, keine Besserung. Auch habe ich bereits vorsorglich die Netzwerkkabel getauscht und eine direkte Verbindung zwischen PC und Switch über ein Netzwerkkabel hergestellt um damit Probleme mit den Dosen im Bodentank auszuschließen, keine Besserung. Ich möchte nicht durch die Registry wühlen und spezifische Adapter für jeden PC bei uns wie im Workaround formuliert durchführen, ich hätte gerne eine Universallösung die sich per Richtlinie, Script oder ähnliches durchsetzen lässt. Die GPO "Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten" ist bereits aktiviert. Der REG Eintrag DisableDHCPMediaSense verschaffte uns auch keine Besserung. Auch möchte ich ungerne von unserem Standard abweichen und statische IP Adressen vergeben. Weitere Ideen? bearbeitet 26. Januar 2017 von DavidS Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 26. Januar 2017 Melden Teilen Geschrieben 26. Januar 2017 Hi, ich würde in so einem Fall einfach ein getrenntes Gastnetz nutzen und nur die Gäste mit Adressen vom Router beglücken und intern alles über den Windows DHCP laufen lassen. Was verteilt der Router DHCP denn für DNS Server? Gruß Jan Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 26. Januar 2017 Melden Teilen Geschrieben 26. Januar 2017 Letzteres ist bei uns genauso. Gäste kommen in ein eigenes ip Segment und bekommen ip Adresse und DNS von der sophos utm. Ich sehe eigentlich auch keinen Grund, warum Gäste was in meinem LAN zu suchen haben sollten. Zitieren Link zu diesem Kommentar
DavidS 11 Geschrieben 26. Januar 2017 Autor Melden Teilen Geschrieben 26. Januar 2017 (bearbeitet) Ein separates Gästenetzwerk haben wir, mir geht es lediglich um einen kategorischen Ausschluß dieser "Lizenzproblematik". Auch machen unsere Router an den Außenstellen DHCP Server, so dass ich auch bei uns im Backoffice eine Standardisierung schaffen möchte indem unser Router selbiges tut, aber ich merke schon Microsoft hat da eine andere Vorstellung bei einem Domain joined Computerkonto. bearbeitet 26. Januar 2017 von DavidS Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 26. Januar 2017 Melden Teilen Geschrieben 26. Januar 2017 Moin, das Modell schließt aber doch die Lizenzproblematik aus. Es bekommen nur Mitarbeiter eine IP-Adresse vom Windows-DHCP, keine Gäste. Und für die Mitarbeiter wird es ja CALs geben. Gruß, Nils Zitieren Link zu diesem Kommentar
DavidS 11 Geschrieben 26. Januar 2017 Autor Melden Teilen Geschrieben 26. Januar 2017 (bearbeitet) Hallo Nils, ja das ist korrekt, aber die Standardisierung ist für mich ein nicht zu vernachlässigender Vorteil, auch sinkt dadurch die Abhängigkeit vom DC (zumindest was die Vergabe von Netzwerkadressen anbelangt) und Client PCs wären in der Lage ohne DC zumindest einen Lease zu erhalten um auf das Internet zurückgreifen zu können. Wie erwähnt sind durch die Standardisierung unserer DHCP Server alle Leases und Geräte über alle Standorte universal über "ein Stück Software" (LANmonitor) einsehbar, das ist sehr charmant. bearbeitet 26. Januar 2017 von DavidS Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 26. Januar 2017 Melden Teilen Geschrieben 26. Januar 2017 Die Lancom Router können doch wunderbar DHCP Relay an deinen Windows Server machen. Im "Gast-Netz" macht dann der Lancom eben selber den DHCP. Dann siehst du auch alles im LANMonitor. Wobei mich die DHCP Leases der Clients im Gast Netz null interessieren würden. Wird bei euch nur gesurft, dass es "egal" ist, dass euer (einziger?) DC "weg" ist? Wäre es sinnvoller über einen weiteren DC / DHCP / DNS nachzudenken? BTW.: Zu deinem Problem wird wohl etwas mit dem DNS Forwarding am Lancom nicht passen. Wie wird hier eigentlich dann sichergestellt, dass ein nicht lizenziertes Device keine Anfragen an den Windows DNS stellt? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 26. Januar 2017 Melden Teilen Geschrieben 26. Januar 2017 Ich kann auch alle Leases über alle Standorte im Windows Server einsehen. Die Router sind alle nur iphelper. ;) Und ja in jedem Standort gibt es auch Gäste-LANs. Zitieren Link zu diesem Kommentar
DavidS 11 Geschrieben 26. Januar 2017 Autor Melden Teilen Geschrieben 26. Januar 2017 (bearbeitet) Die Lancom Router können doch wunderbar DHCP Relay an deinen Windows Server machen. Im "Gast-Netz" macht dann der Lancom eben selber den DHCP. Dann siehst du auch alles im LANMonitor. Wobei mich die DHCP Leases der Clients im Gast Netz null interessieren würden. Wird bei euch nur gesurft, dass es "egal" ist, dass euer (einziger?) DC "weg" ist? Wäre es sinnvoller über einen weiteren DC / DHCP / DNS nachzudenken? BTW.: Zu deinem Problem wird wohl etwas mit dem DNS Forwarding am Lancom nicht passen. Wie wird hier eigentlich dann sichergestellt, dass ein nicht lizenziertes Device keine Anfragen an den Windows DNS stellt? Ein weiterer DC zur Steigerung der Ausfallsicherheit ist für 2018 angedacht. Kosten "DNS Anfragen" an einen Windows Server etwa auch "Lizenzen"? Hm die Überlegung ist gar nicht doof, wenn eine IP Adressvergabe über Windows DHCP Server Geld kosten, warum sollte es DNS Anfragen "umsonst" geben. bearbeitet 26. Januar 2017 von DavidS Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 26. Januar 2017 Melden Teilen Geschrieben 26. Januar 2017 Natürlich kosten die auch CALs. Jeder Dienst der in Anspruch genommen wird. Im Falle von DNS würde ich sogar auf Forwarding Requests deines LANCOM Routers tippen. ;) Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 26. Januar 2017 Melden Teilen Geschrieben 26. Januar 2017 Moin, IP Helpers bzw. DHCP Relays lösen ja das Lizenzproblem nicht. Ist nur so: Wenn ich vor der Alternative stünde, viel Aufwand in die Behebung eines Problems zu stecken, das ich bei geringer Anpassung meiner Standards nicht hätte ... dann wäre meine Entscheidnung recht klar. Gruß, Nils Zitieren Link zu diesem Kommentar
DavidS 11 Geschrieben 26. Januar 2017 Autor Melden Teilen Geschrieben 26. Januar 2017 (bearbeitet) Das ist vollkommen richtig, diese Entscheidung werde ich nun abwiegen, viel Aufwand stecke ich nicht mehr in das "Problem", den MS DHCP zu reaktivieren ist schnell erledigt. Aber 1-2 Dinge teste ich gerne noch, einfach des Wissens wegen. UPDATE: https://support.microsoft.com/en-us/help/938449/netlogon-event-id-5719-or-group-policy-event-1129-is-logged-when-you-start-a-domain-member Durch Anwendung der Methode 2 sind die Netlogon Fehler beim Einsatz eines Third Party DHCP Servers nicht mehr ersichtlich. Ich werde aber dennoch den MS DHCP Dienst wieder reaktivieren, da Spätfolgen durch den Einsatz eines Fremd DHCP Server im Zusammenspiel mit anderen derzeitigen oder zukünftigen MS Techniken nicht ausgeschlossen werden kann. Das ist zwar schade, aber Stabilität geht vor. UPDATE2: Das gute, ich habe den Lancom DHCP Server auf automatisch gestellt statt ein, die Einstellung automatisch besagt: https://www.lancom-systems.de/docs/LCOS-Refmanual/9.10-Rel/DE/topics/aa1242623.html 'Auto': In diesem Zustand sucht das Gerät regelmäßig im lokalen Netz nach anderen DHCP-Servern. Diese Suche ist erkennbar durch ein kurzes Aufleuchten der LAN-Rx/Tx-LED. Wird mindestens ein anderer DHCP-Server gefunden, schaltet das Gerät seinen eigenen DHCP-Server aus. Ist für den Router noch keine IP-Adresse konfiguriert, dann wechselt er in den DHCP-Client-Modus und bezieht eine IP-Adresse vom DHCP-Server. Damit wird u.a. verhindert, dass ein unkonfiguriertes Gerät nach dem Einschalten im Netz unerwünscht Adressen vergibt. Werden keine anderen DHCP-Server gefunden, schaltet das Gerät seinen eigenen DHCP-Server ein. Wird zu einem späteren Zeitpunkt ein anderer DHCP-Server im LAN eingeschaltet, wird der DHCP-Server im Router deaktiviert. Das hilft exakt für den Fall sollte der MS DHCP mal nicht verfügbar sein. Immerhin wurde dadurch ein Mehrwert/Ausfallsicherheit generiert. bearbeitet 26. Januar 2017 von DavidS Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 26. Januar 2017 Melden Teilen Geschrieben 26. Januar 2017 Moin, IP Helpers bzw. DHCP Relays lösen ja das Lizenzproblem nicht. Die kamen auch nur ins Gespräch wegen des Arguments, dass man alles in einer Konsole sehen wolle, und nicht weil man damit Lizenzen sparen würde. Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.