DHCP nür für Computer in der ADS

[t_bern 10]

Hallo,

 

kann ich den DHCP Server so einstellen,

dass er IP Adressen nur an Computer vergibt die in der ADS aufgeführt sind?

(Betrifft Windows 2003 + 2000 Server)

 

:suspect:

[saschap 10]

Hallo!

 

Guckst Du hier: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/77d015fc-67fa-4ce9-86dc-3f22c1c535b6.mspx

 

Hier findest Du interessante Sicherheitsinformationen zu DHCP.

 

Grüsse

 

Sascha

[grizzly999 11]

Um es auf den Punkt zu bringen: Nein. Das geht nur mit Reservierungen

 

 

grizzly999

[saschap 10]

Hallo!

 

Ich hab's noch nicht ausprobiert, aber mit 802.1x Authentifizierung soll der Client das Lease erst nach der Authentifizierung erhalten.

Hat da schon jemand Erfahrung??

 

Grüsse

 

Sascha

[grizzly999 11]

Das ist korrekt, sofern man die infrastrukturellen Voraussetzungen geschaffen hat. Aber das ist keine Spezifikation des DHCP.

Der DHCP an sich gibt Adressen raus an die, die danach betteln. "Bittet, so wird euch gegeben werden" :D

 

grizzly999

[saschap 10]

Hi!

 

Danke für die Info :D !

 

Grüsse

 

Sascha

[saschap 10]

Hallo!

 

@t_bern

Warum willst Du denn das so machen??

 

Grüsse

 

Sascha

[t_bern 10]

Wir haben einen Mitarbeiter, der sein privates Notebook in unsrer Firma nutzt. (ohne Genehmigung d. GF)

Das Notebook ist nicht Mitglied der Firmendomäne!

:wink2:

[the_brayn 10]

Hiho,

@offtopic:

"Bittet, so wird euch gegeben werden"

Amen :D

[robotto7831a 10]

Wir haben einen Mitarbeiter, der sein privates Notebook in unsrer Firma nutzt. (ohne Genehmigung d. GF)

Das Notebook ist nicht Mitglied der Firmendomäne!

Da würde ich mir gar nicht so viel Arbeit machen. Da gibt es doch arbeitsrechtlich genügend Möglichkeiten.

 

Frank

[lefg 276]

Wir haben einen Mitarbeiter, der sein privates Notebook in unsrer Firma nutzt. (ohne Genehmigung d. GF) :wink2:

Hallo,

 

bist Du verantwortlicher Netzwerker, Administrator, CIO und berichtspflichtig gegenüber der Geschäftsführung? Darfst Du den Fall in eigener Verantwortung regeln? Lässt sich die Sache im Einvermehmen mit dem Mitarbeiter verhandeln? Falls nicht, musst Du zum Hammer greifen! Es geht eventuell um Deinen Job.

Weiter ist (auch zur Absicherung des eigenen Hinterns) mit DHCP-Reservierungen zu arbeiten, falls möglich die Sache bereits an den Ports der Switches abzublocken.

Es gibt uneinsichtige Menschen, Es gibt auch welche, die betrachten Verbote und Einschränkungen als sportlichen Anreiz zur Umgehung.

 

Gruß

 

Edgar

[asterisk 10]

wie lefg schon sagt, gibt es hierfür einige möglichkeiten den zugriff auf das netzwerk zu verbinden. mac-filtering am switch zb.

 

was ich dir als einfachen lösungsweg vorschlagen könnte wäre: auf dem dchp einen 2. adressbereich innerh. deines ip-subnetzes erstellen, eine reservierung für dieses notebook und als bereichoption keine oder falsche adressen (gateway, dns-server etc.) mitgeben.

[blub 115]

Hi,

Das relativ einfachste Mittel ist die Einführung von IPSEC, dann bekommen in der einfachsten Variante nur Rechner mit Kerberoszertifikat, also Domänenmitglieder, überhaupt nur Kontakt zum DHCP-Server bzw. anderen Maschinen.

MAC-Filter am Router zu pflegen, fände ich, zumindest bei grösseren Netzen, auf Dauer ziemlich langweilig :rolleyes:

cu

blub

[asterisk 10]

MAC-Filter am Router zu pflegen, fände ich, zumindest bei grösseren Netzen, auf Dauer ziemlich langweilig :rolleyes:

cu

blub

 

richtig, aber es ist fraglich, ob dieser grund die implemenation bzw. den aufwand von IPSec rechtfertigt.

[blub 115]

klar, IPSEC ist sicher nichts, was man eben an einem Nachmittag implementiert. Aber es ist die einfachste Möglichkeit unauthorisierte Clients wirklich sicher aus dem Netz draussenzuhalten.

 

Gruss

blub