Skip to content

DHCP Relay Agent installieren und konfigurieren

MCSE Für DHCP (Dynamic Host Konfiguration Protocol) kann in gerouteten Netzen auch ein Relay Agent über Routing und RAS konfiguriert werden, um die Grenzen einzelner Subnetze zu überwinden.


Es muss eine neue Schnittstelle konfiguriert werden, auf der der DHCP-Relay-Agent zuhört und DHCP-Anfragen beantworten soll. Wenn nur eine Schnittstelle vorhanden ist, fällt die Wahl leicht. Sonst ist die Schnittstelle mit dem Netz zu wählen, in dem noch kein DHCP-Server ist, der die Clients bedienen kann - das genau soll nämlich der der Relay-Agent tun!


Wichtig für die Konfiguration ist die IP-Nummer des eigentlichen DHCP-Servers, von dem alle IP-Nummer mit Konfiguration tatsächlich zu erhalten sind.

DHCP-Server installieren, konfigurieren und autorisieren

MCSE Der DHCP-Server kann als zusätzlicher Dienst unter Verwaltung mit dem Serverkonfigurations-Assistenten installiert werden. Der nachfolgend startende Assistent fragt nun den zu vergebenden Adressbereich ab.

http://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol

Im nächsten Schritt können auch statisch vergebene Adressen für Server von der Vergabe ausgeschlossen werden.

Die "Anzahl der Konflikterkennungsversuche" ist konfigurierbar um vergessene Clients mit statischer IP zu erkennen.

Die Lease-Zeit bedeutet: Nach 50% dieser Zeit wird vom Client beim Server für die Erneuerung der IP-Adresse nachgefragt, nach 87% wird auch von einem anderen DHCP-Server akzeptiert. Standard sind hier 8 Tage.
dhcp server lease client time
Eine zu lange Lease-Zeit kann dazu führen dass keine IPs mehr vergeben werden können (erkennbar durch blaues Ausrufezeichen)!

Optionen erlauben es dem DHCP-Server, auch einen Router oder DNS- und WINS-Server zuzuweisen:


Damit der DNS-Server einsatzbereit ist, muss er authorisiert werden! Das ist zwar Spielkram, weil jeder taiwanische Plastikrouter IP-Adressen rausgeben kann, aber seit Windows 2000 darf das an dieser Stelle nur noch ein Domain-Admin erlauben.


Für bestimmte Rechner lassen sich feste Zuordnungen zur MAC-Adresse einstellen:


Für WINS-Server ist der Knotentyp einstellbar.

0x1 -> nur Broadcast (daher B-Knoten)
0x2 -> nur WINS-Server (auch P-Knoten, "Peer-Knoten")
0x4 -> erst Broadcast, dann WINS-Server (M-Knoten, "mixed")
0x8 -> erst WINS, dann Broadcast (H-Knoten, "hybrid")

Dynamisches DNS ist auch möglich, hier trägt der DHCP-Server die erfolgreiche Zuweisung als A- und PTR-Record in den DNS ein (kann der VPN-Server übrigens auch).

Routing und RAS als NAT-Router mit Firewall

MCSE Unter Verwaltung findet man ein Tool mit dem Namen "Routing und RAS" das man einfach als Paket-Firewall mit NAT (=Network Adress Translation) konfigurieren kann. Der Dienst muss dazu aktiviert werden.


Danach werden sowohl die Internet- als auch die interne Schnittstelle als NAT hinzugefügt.


Die Internet-Schnittstelle zum Provider/Router bekommt die NAT-Funktion und Firewall aktiviert. Hier lassen sich auf Wunsch dann bestimmte Dienste zulassen.


Wichtig ist die interne Schnittstelle als lokales Netz anzugeben damit das Rückrouting funktioniert. Hier unterscheidet sich Windows von üblichen Routern auf Linux-Basis.

Netzwerkmonitor installieren und verwenden

MCSE Der Netzwerkmonitor kann als Administrator einer Domäne verwendet werden um den Datenverkehr über eine Schnittstelle (normalerweise Netzwerkkarte) zu analysieren.

Das Programm kann unter Systemsteuerung/Software bei den Überwachungsprogrammen installiert werden:
verwaltungs überwachungs netzwerk monitor programme

Nach dem Programmstart kann das gewünschte Interface ausgewählt werden:


Danach muss man das Sammeln der Pakete starten:
netzwerkmonitor pakete sammlen
Auf stark ausgelasteten Servern führt man den Netzwerkmonitor im Modus "nur sammeln" aus um zu vermeiden dass eine große Anzahl der für den Server bestimmten Pakete nicht aufgezeichnet werden. Außerdem noch Tricks: im Netzwerkmonitor den Wert für die Rahmengröße verringern (muss weniger Daten schreiben, die Paketheader reichen) und im Netzwerkmonitor den Wert für die Puffergröße erhöhen (es kann mehr weggeschrieben werden).

Die gesammelten Daten lassen sich dann in einer Liste anzeigen:
netzwerkmonitor daten anzeigen

Der Inhalt der einzelnen Frames lässt sich nun gezielt analysieren:

Subnetting mit IP-Adressen

MCSE Zu diesem Thema wurde schon viel geschrieben, daher hier ein paar Links:
http://de.wikipedia.org/wiki/Subnetting
http://www.netzmafia.de/skripten/netze/netz8.html

Für die Prüfung zum MCSA und MCSE ist die Berechnung von Subnetz-Masken zu berherrschen. Außerdem muss man sofort erkennenkönnen, ob eine Adresse (z.B. von einem Router) innnerhalb oder ausserhalb eines Adressenbereiches liegt.
tweetbackcheck