- PR -

Win2000でのDHCPサーバーの設定について

1|2 次のページへ»
投稿者投稿内容
こう
会議室デビュー日: 2004/06/01
投稿数: 3
投稿日時: 2004-06-01 11:12
お世話になります。現在Win2000でDHCPサーバーを設定しております。
問題として、外部から持ってきたPCを勝手に社内LANに接続してしまう社員
がいます。そこで、承認されたPCのみIPアドレスを割り当てる方法はないで
しょうか?とりあえず下記のことが出来たらありがたいです。また、Win2003
サーバーでも可です。
1.無許可PC接続→DHCPサーバーで拒否 又は
2.無許可PC接続→DHCPサーバーがIP割り当て→管理者がDHCPサーバーチェック
→次回の更新をさせない
クライアントの状態として、
1・ユーザー名は不規則
2・ホスト名は、規則にそって命名
3・OSは98〜XP
です。
許可しているMACアドレスは把握しています。
よろしくお願いします。
ぴんぴん
大ベテラン
会議室デビュー日: 2004/05/07
投稿数: 141
投稿日時: 2004-06-01 11:25
MACを指定して、IPの予約っていうのが出来ますが。

スコープの編集は出来ないので、予約していない部分を除外で除いておけば、予約されて
いるマシンにしかDHCPしないようにできませんかねえ。
しかし、DHCPサーバーの二重化とかしていると、メインテナンスは面倒になりますよね。
IP自体は固定で設定されちゃうかもしれないし・・・
なかなか難しそうですね。
こう
会議室デビュー日: 2004/06/01
投稿数: 3
投稿日時: 2004-06-01 13:31
御回答ありがとうございます。MACアドレスでIPの固定化は最終手段として考えていました。また、うちの社員のほとんどはIPの設定の仕方を知らないので、勝手に固定IPにしてしまうことはあまり考えられないのです。
MACアドレスでフィルタリングする、FWなどがあれば最高なのですが。
芸達者
ぬし
会議室デビュー日: 2003/09/19
投稿数: 356
お住まい・勤務地: どこかに住んでます/品川区某所
投稿日時: 2004-06-01 15:17
日立ソフトで「オープンネットガード」と言う製品があります。
これは、最近はやり?のMACアドレス認証の製品です。
ただ、1台とか数台のために入れるのは高価過ぎと思いますけどね。

いっそうの事出来ればなのですが、ルータ等のconfigに
そのMACアドレスに対して、通信を遮断することって出来ませんでしたっけ?
そちらの方が、物理的には繋がっているけど論理的には繋がっていないので
情報漏洩とかウィルスとかが発生しないのでは?

どちらにしても、運用に手間がかかり過ぎですね。
hirox
会議室デビュー日: 2004/06/01
投稿数: 1
投稿日時: 2004-06-01 15:20
スコープに空きを作らないようにし、
許可されたパソコンのMACアドレスでスコープ内のIPアドレスをすべて予約しておけば実現できます。
こう
会議室デビュー日: 2004/06/01
投稿数: 3
投稿日時: 2004-06-01 15:56
皆様御回答ありがとうございます。先ほど気づいたのですが、会議等で外部から、パソコンを持ってくる場合に一時的にLANに接続するのは無条件で許可したいのです。
遮断したいのは、繋ぎ放しの不正PCのみなので、2番の方法でお願いします。
申し訳ありませんがよろしくお願いします
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-06-01 18:05
こんにちわ.
引用:

芸達者さんの書き込み (2004-06-01 15:17) より:

日立ソフトで「オープンネットガード」と言う製品があります。
これは、最近はやり?のMACアドレス認証の製品です。
ただ、1台とか数台のために入れるのは高価過ぎと思いますけどね。

記憶違いでなければ良いのですが...
これって Linux で実現できて,それを製品化したものではなかったでしたっけ?
事例も Internet 上にあったような気が...

その他に,「DHCP で rease する前に user 認証」ってのがあった気がします.
※実は同じようなことを考えて探してみたことがあったりします.

でも,なんでこの部屋なんだろう?あんまり歓迎できないな,こういう風習...
きょ〜じゅ
ベテラン
会議室デビュー日: 2003/07/31
投稿数: 66
投稿日時: 2004-06-01 19:53
引用:

こうさんの書き込み (2004-06-01 15:56) より:
遮断したいのは、繋ぎ放しの不正PCのみなので、2番の方法でお願いします。

(金銭的に)手軽に行うのであれば、不正PCのMACアドレスをDHCPサーバに登録してIPを払い出すようにすれば宜しいかと。
但し、払い出されたIPアドレスは上位のルータでしっかりフィルタ掛けて置く事が必要ですが(笑) > 不正PCが増えるとフィルタ範囲も増えます、、、、
ちなみにこの方法では内部アクセスに関しては問題なくできてしまうので、これを問題にするのであれば、役に立たないです。

DHCPサーバは有償のソフトではフィルタの掛けられるものもあると思います(MetaIPとか)が、(Windowsでは今まで経験無いですが)無応答だと以前払い出されたIPアドレスを使用し続ける事も有り得る為、あまりお薦めの方法ではないです。

# (@IT内で)もっと適切な会議室がありますので、次に質問がある際はそちらの方に投げた方が良いですよ。

引用:

kazさんの書き込み (2004-06-01 18:05) より:
その他に,「DHCP で rease する前に user 認証」ってのがあった気がします.

DHCPで仮IPを払出し、認証Serverにアクセス後、本IPを払出すって云うのが結構多いような気がします。後はそれに合わせてスイッチの(MACベースの)VLAN迄切替たりとか、、、
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)