Windows Server 2008 R2 DCHP- Adressvergabe an nicht Domain Clients!

[Kobold]

Hi,

ich habe folgendes Problem:

Wenn ich einen DHCP Server (W2k8) im Netz habe, der IP Adressen im Bereich von 1-99 verteilt, können sich Gastuser einfach per Laptop an das Netzwerk anschließen und mit dem Internet verbinden. Eine Firewall regelt, welche Seiten besucht werden dürfen und welche geblockt werden per Webfilter.

Die Rechner bekommen vom DCHP Server eine Adresse zugewiesen und können sich so mit dem Internet (wenn auch eingeschränkt) verbinden. Es sollen nun aber nur PCs eine IP bekommen die Domainmitglied sind.

Vielleicht google ich nur falsch oder finde es einfach nicht, aber ich müsste doch den DHCP Server so konfigurieren können, das er nur an PCs Adressen vergibt, die in der Domain sind oder?


Schonmal vielen Dank.

 

[Ic3HanDs]

Wie soll das bitte funktionieren? Um in einer Domaene zu sein brauchst du schon einen Netzwerkzugang. Somit kann es nicht funktionieren das der DHCP die Adressen nur an Mitglieder der Domaene vergibt. Das ist schon rein logisch nicht machbar.

Du kannst aber spaeter dafuer sorgen das kein Traffic von Usern durch das Netz geht welche nicht in der Domaene sind indem du deren Traffic komplett blockst.

 

[nobbivm]

Hi,

soweit ich weiß, geht das nicht.
W2K8 R2 Server bringt keine Boardmittel dafür mit, auch per GPO lässt sich das nicht einschränken.
die einfache Möglichkeit die bleibt wäre, feste Reservierungen für jeden Client und die restlichen IPs von der Verteilung ausschliessen.

eine weitere Möglichkeit gäbe es mit 802.1x Authentifizierung und Radius, aber der Aufwand ist dann riesig.
alleine den Radius aufsetzen ist schon echt heavy ;-)

 

[Ic3HanDs]

Auch die 802.1x Authentifizierung und Radius brauchen vorher schon eine IP.

 

[tRITON]

Du könntest den DHCP ein wenig vergewaltigen und alle MAC Adressen deiner Rechner eintragen und alle anderen erhalten zwar eine Adresse aber kein Gateway.
Ist halt nur wieder Pflegeaufwand.

 

[Kobold]

@ IC3Hands Du hast Recht, falscher Denkansatz. Ich werden den Adressbereich in der Firewall filtern, sodass keine Internetverbindung mehr Zustande kommt.

@ nobbivm Radius ist bissel überdimensiniert, aber eine Idee.

 

[nubi80]

Meines Wissens nach kann der NPS Server mit seinen NAP Richtlinien das bewerkstelligen. Wie es allerdings funktioniert kann ich nicht beantworten.

Das Technet von Microsoft sollte da aber Auskunft geben können.

so long
nubi

 

[ShaÐe45]

Wie nubi80 sagte, mit NPS bzw. NAP-DHCP Erzwingung kann man sowas einrichten. Da bekommen dann nur Client Zugang zum Netz, die bestimmte Richtlinien erfüllen und das kann man ja so einstellen, dass es die Bedingungen halt nur von den Clients in der Domäne erfüllt werden können.

NPS kann man als Rolle in Server 2008/R2 installieren.