ComputerBase Menü
Aktuelles

Frage zu Netzwerk mit Domäne

C

cmue

Ensign
Registriert
Apr. 2004
Beiträge
154
Ich habe hier ein Netzwerk mit Windows 2003 als DC. Clients sind Windows XP und 2000. Ich habe diese Domäne zu test Zwecken für 13 Clients eingerichtet. Alle haben einen Acc mit verscheidenen Rechten bekommen und man kann sich auch ohne Probleme an die Domäne anmelden. Nun möchte ich das Netzwerk noch sicherer machen: Es sollen NUR Clients ins Internet dürfen die auch an die Domäne angemeldet sind und außerdem sollen auch NUR angemeldete Clients auf andere Rechner die z.Z. in der Domäne angemeldet sind zugreifen, bzw sie "sehen".
(Wir gehen über einen Netgear WGT624 Router ins Internet)

Wie würdet ihr das anstellen? Ich habe mir überlegt das ich der Domäne ein eigenes Subnetz per DNS zuteile, so würden sich nur die Rechner in diesem Subnetz sehen und könnten, da der GW auch in diesem Subnetz ist, ins Internet. Doch:
1. Wie richte ich sowas per DHCP-Server ein? Habe noch keine Erfahrung damit.
2. Wenn die Domäne in einem eigenen Subnetz ist und andere in einem anderen: Wie sollen sie sich dann an die Domäne anmelden können, wenn sie gar nicht auf diese zugreifen können?

Das wars dann auch schon :P Ich hoffe jmd kann mir bei diesem Problem helfen!
 
Da die Domäne erstmal wenig mim Internet zu tun hat, wirst Dus schwer haben Clients via Gruppenrichtlinien die Erlaubnis zu erteilen ins Netz zu gehen.
In dem Moment, in dem ein Client den Gateway pingen kann, kann er auch (mit ihm als DNS-Server) ins Netz. Du könntest höchstens am Gateway ne ACL einrichten, die besagt, dass nur noch der DC ins Netz darf. Auf dem DC kannste dann nen Proxy einrichten, mit dem Du dann detaillierte Berechtigungen fürs Netz vergeben kannst.

Was den Zugriff der Clients untereinander angeht: es geht sichr irgendwie, nur wie weiß ich auch net :D.
Das mim Subnetz würde schon gehen. Du kannst ja am DHCP-Server "IP-Scopes" vergeben, also Adressbereiche, aus denen der DHCP dann IPs für Clients auswählt. Und dieser Adressbereich muss dann eben auf das eine Subnetz beschränkt sein (logisch, kann ja keine IPs für andere Netze vergeben). Außerdem muss der DHCP-Server und der DC (bei dir ja dann beides in einem) statische IPs haben. Statische IPs müssen am DHCP als Exclusions angeben werden. DNS-Server und Gateways (auch Sachen wie WINS, Domänensuffixe usw.) kannst Du auch am DHCP-Server angeben. Nach der Einrichtung des DHCP-Server nicht vergessen, ihn auch in der Domäane zu authorisieren (DHCP-Konsole => Rechtsklick auf den Server => authorize), ansonsten verteilt er innerhalb der AD-Domäne keine IP-Leases.
Allerdings kannste in dem Fall auch nicht wirklich verhindern, dass einfach jemand hergeht und seinem Client ne IP aus diesem Subnetz statisch zuweist - und schon ist die Sache mim Subnetz ausgehebelt.

PS: Wie reagiert ein DHCP-Server, wenn man nem Client ne statische IP aus seinem Adressbereich zuteilt? Könnte doch nen Crash geben, wenn der DHCP-Server diese IP dann regulär an einen anderen Client vergibt. Da muss doch noch irgendwo ein Mechanismus eingebaut sein, der sowas verhindert...
Ich steh auch noch am Anfang ;)


Eine andere Möglichkeit mim Internet wäre folgende:
Du kannst am DNS-Server soweit ich weiß angeben, aus welchen Netzen er DNS-Queries beantworten soll. Wenn Du dort einfach das Netz angibst, in dem Sich die PCs befinden, die reindürfen, dann wird er nur noch diese PCs reinlassen. Aber da sind wieder die selben Probleme wie vorhin: kann ja einer einfach seinem PC ne IP aus dem Netz geben und schon is er drinnen... - *grummel*

In der realen Welt wird sowas sicher mit nem HTTP-Proxy gelöst. Und dann nicht auf Computerebene sondern auf Benutzerebene. Anders ausgedrückt: wenn einer ins Internet will, muss er Benutzername und Passwort angeben.
 
Zuletzt bearbeitet:
Hmm danke schonmal. Ich habe noch nie mit einem Proxy gearbeitet, kannst du viellt erklären wie ich den einrichte? Danke!
 
Moepi schrieb:
PS: Wie reagiert ein DHCP-Server, wenn man nem Client ne statische IP aus seinem Adressbereich zuteilt? Könnte doch nen Crash geben, wenn der DHCP-Server diese IP dann regulär an einen anderen Client vergibt. Da muss doch noch irgendwo ein Mechanismus eingebaut sein, der sowas verhindert...
Ich steh auch noch am Anfang ;)
Zum Vergrößern anklicken....

Das kommt darauf an, in welcher Reihenfolge die (dann doppelt vorhandene) IP zugewiesen wird.
Wurde sie schon per DHCP vergeben, kann sich in dem Netz niemand anders die IP geben; das wird verhindert, indem der neue Rechner das ganze Netz befragt, ob die IP schon vergeben ist (per Broadcast).
Wurde die IP jedoch schon fest an einen Client gebunden und der DHCP möchte sie vergeben, gibts Probleme: der DHCP ist nämlich dumm und fragt nicht noch mal nach. sondern geht stur nach seiner Liste vor, und da steht die IP nicht drauf. Der Rechner, der die IP zugewiesen bekommt, vertraut dem DHCP-Server und fragt nicht nochmal nach. Schon gibt es zweimal die selbe IP und es kommt zu Kollisionen.
Um das zu vermeiden sollte ein Netz strikt DHCP-konfiguriert sein. Feste IPs lassen sich über die MAC-Adresse an bestimmte PCs binden.

@cmue:
Win2k3 liefert doch bestimmt einen DNS-Server mit. Möglicherweise kannst Du bei dem die DNS-Auflösung auf an die Domäne angemeldete Clients beschränken. Ansonsten hilft ein zweites Netz (mit dem Win2k3-Server als Gateway), dem keine DNS-Auflösung erlaubt wird (natürlich auch mit dem Win2k3- als DNS-Server). Das ist definitiv möglich.

Gruß
Morgoth
 
Win2k3 liefert doch bestimmt einen DNS-Server mit. Möglicherweise kannst Du bei dem die DNS-Auflösung auf an die Domäne angemeldete Clients beschränken. Ansonsten hilft ein zweites Netz (mit dem Win2k3-Server als Gateway), dem keine DNS-Auflösung erlaubt wird (natürlich auch mit dem Win2k3- als DNS-Server). Das ist definitiv möglich.
Zum Vergrößern anklicken....


Das verhindert aber leider nicht, dass nicht einfach jemand den Gateway als DNS-Server benutzt (als Bevorzugten, wenn er nicht in der Domain ist oder als Alternativen, wenn er in der Domain ist)
Danke für den zweiten Teil der DHCP-Sache - sowas hatte ich befürchtet ;)


Proxy: Hab leider auch noch nie einen verwendet. Leider steht mir hier kein Netzwerk mit 13 Clients zur Verfügung... :heul:
 
Moepi schrieb:
Das verhindert aber leider nicht, dass nicht einfach jemand den Gateway als DNS-Server benutzt (als Bevorzugten, wenn er nicht in der Domain ist oder als Alternativen, wenn er in der Domain ist)
Zum Vergrößern anklicken....

Natürlich nicht, aber das tut ein Proxy auch nicht. Er muss dann jedoch auf eine DNS-Auflösung verzichten und die IPs direkt eingeben.

Gruß
Morgoth
 
Stimmt, aber Du kannst dann ne ACL am Router konfigurieren, die nur noch dem Proxy Zugang ins Netz gewährt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

T
Frage zu Netzwerk-Switches
2
Antworten
27
Aufrufe
970
Ranayna
Ranayna
interface31
Wireguard User in Domäne Zugriff auf Netzwerk
Antworten
4
Aufrufe
2.332
interface31
interface31
A
Benötige man ein zweite Domäne für das Client-Netzwerk neben der Domäne im Management-Netzwerk für den HCI-Cluster?
Antworten
4
Aufrufe
1.725
Abaelard
A
U
Frage zu Netzwerk-Konstellation
Antworten
8
Aufrufe
1.057
umax1980
U
K
Windows Server 2008 R2 SQLSQLServer nicht mehr aus Netzwerk erreichbar, nach Domänen- und Forestlevelupgrade
Antworten
10
Aufrufe
2.324
Kharne
K
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz