DHCP im HD-Net
DHCP (Dynamic-Host-Configuration-Protocol) ist der Standard zur automatischen Netzwerk-Konfiguration.
Dieses Protokoll ermöglicht es Klienten-Rechnern, eine IP-Adresse von einem anderen Rechner (dem DHCP-Server) zu beziehen. Der Benutzer muss dann nicht eine IP-Adresse vom Netzadministrator erfragen und selbst konfigurieren. Subnetzmaske und Default-Gateway - machmal sogar auch die Domain - werden ebenfalls mitgeliefert.
Dies ist vor allem für Benutzer von mobilen Computern vorteilhaft, wo ohne dieses Protokoll häufige Umkonfiguration an den verschiedenen Standorten nötig ist.
Um DHCP zu nutzen, muss die Netzwerk-Kofiguration im Windows auf "IP-Adresse automatisch beziehen" und "DNS-Server automatisch beziehen" eingestellt sein. Dies ist auch die Windows-Standard-Einstellung. "Wie schaue ich das nach, wie stelle ich das ein?" (Win98, Linux, WinXP)
Mehr zum Mechanismus siehe hier.
DCHP als Angebot des URZ für Endnutzer
Für Endnutzer wird DHCP vom URZ derzeit vor allem im Laptop-Lan/WLAN angeboten.
Per DHCP versorgte Netze und aktuelle Lease-Ausnutzung: dhcp, dhcp2.
Problem mit DHCP und Firewall
Wenn man eine "Firewall"-Software auf dem Rechner installiert hat, und diese sehr restriktiv konfiguriert ist, dann kann es vorkommen, dass DHCP-Anfragen des Rechners nicht nach aussen weitergeleitet oder die Antworten des DHCP-Servers blockiert werden, und man deswegen keine IP-Adresse erhält.
Aber eigentlich ist DHCP heute eine Standard-Technik, und jede aktuelle Firewall sollte damit umgehen können.
Problem mit DHCP und Windows XP
Wenn Windows glaubt, es "hat" noch eine Adresse aus einem anderen IP-Netz, und fragt dann "mit dieser falschen Adresse" beim DHCP-Server um eine Erneuerung dieses Leases an, dann ist die Frager-Adresse aus dem falschen Netz und der DHCP-Server muss das ablehnen. Windows (zumindest XP) ist dann nicht so schlau, von alleine "ohne" die IP-Adresse nochmal "neutral" nachzufragen. Unter XP taucht dieses Verhalten allerdings nur dann auf, wenn man in der Registrierung eingetragen hat, dass das Netzinterface nicht bei Linkverlust abgebaut werden soll (DisableDHCPMediaSense). Unter W2K sollte das ebenfalls mit Deaktivieren/Reaktivieren behebbar sein.
Das Eintragen einer festen IP-Adresse in diesen Netzen ist nicht sinnvoll, weil das ja immer mit einer vom DHCP-Server vergebenen Adresse kollidieren kann.
An Dosen, an denen "man" keine IP-Adresse erhaelt, soll das auch nicht sein, denn dann muss man sich an den EDV-/Netzbeauftragten vor Ort wenden, um eine IP-Adressse zu erhalten.
DHCP in Institutsnetzen
Im folgenden einige Informationen zu DHCP, die auch begründen, warum wir nicht unbedingt empfehlen, im Institut "mal eben" einen eigenen DHCP-Server aufzusetzen.
Informationen zu DHCP-Servern
- Der DHCP-Server kann nur solchen Rechnern IP-Adressen vergeben, die auch als DHCP-Client konfiguriert sind.
- Versehentliche Doppelbelegungen durch fehlerhaft fest konfigurierte Rechner lassen sich damit nicht verhindern.
- Ein DHCP-Server kann in einem lokalen Netz installiert sein, die Anfragen können jedoch von einem DHCP-Relay (z.B. unser Router) an einen entfernten DHCP-Server weitergeleitet werden.
- Bei der Fehlersuche ist es sehr sinnvoll, wenn der Rechner eine feste und dem Nutzer bekannte IP-Adresse hat, und nicht eine temporär vergebene. Es ist eine Anforderung des URZ an Institutsnetze, dass Rechner im Hausnetz fest zugeordnete IP-Adressen haben.
- Eine fest zugeordnete IP-Adresse kann bei einem DHCP-Server durch Eintrag der MAC-Adresse des Endgerätes erreicht werden. Diese muss dann allerdings durch entsprechende Befehle festgestellt und dokumentiert bzw. im DHCP-Server einkonfiguriert werden, und ist für den Administrator noch unhandlicher als die IP-Adresse. Andererseits kann man auf diese Weise die IP-Adressen des Instituts zentral verwalten.
- Wenn Sie im Hausnetz DHCP verwenden wollen, beachten Sie bitte die folgenden Hinweise:
- Setzen Sie den DHCP-Dienst redundant auf (zwei Server).
- Verwenden Sie feste Zuweisung von IP-Adressen.
- Informieren Sie das URZ darüber.
- Ein "zentrales" DHCP-Angebot mit dezentraler Verwaltung durch Netzbeauftragte ist angedacht, aber noch in der Informationsphase.
Probleme mit DHCP in Institutsnetzen
- Wenn der Kontakt zum DHCP-Server verloren geht (Server down oder eine Netzkomponente auf dem Weg defekt), dann kann der Client i.d.R. seine IP-Adresse nicht erhalten und somit nicht ans Netz gehen, auch wenn sonst alles funktioniert. In Instituten passsiert das erfahrungsgemäß genau dann, wenn der Netzbeauftragte im Urlaub ist, und keiner sonst Bescheid weiss.
- Wenn jemand im Hausnetz einen eigenen Switch/Router oder WLAN-Router aufstellt, kann es sein, dass bei diesem Gerät ein DHCP-Server aktiv ist, der dann gewollt oder ungewollt andere Adressen (i.d.R 192.168.x.y oder 10.x.y.z) verteilt. Dies kann zu Störungen im Hausnetz führen, weil dann viele Rechner keine funktionierende Netzanbindung mehr haben.
- Dieser Mechanismus kann auch verwendet werden, um den Netzverkehr im Hausnetz mitzulesen. Aller Hausnetz-Traffic kommt bei dem Rechner vorbei, der vom DHCP-Server als Default-Gateway gemeldet wird, und kann dort mitgelesen werden. Dies ist ein prinzipielles Risiko bei der Verwendung von DHCP, solange nicht die Switches derartige Server verhindern.
- Um einen unerwünschten DHCP-Server im Hausnetz zu finden, gehen Sie z.B. wie folgt vor:
- Variante 1: im Haus fragen, wer etwas neues am Netz angeschlossen hat
- Variante 2: systematisch alle Netzwerkstecker im Verteilerraum ziehen, und jeweils DHCP testen
- Variante 3: In den Details der Netzwerkkonfiguration (oder in der Eingabeaufforderung "ipconfig") können Sie die IP-Adresse des DHCP-Servers ablesen, von dem ein Rechner seine IP-Adresse erhalten hat.
Wenn dies ein Rechner im LAN ist (in ihrem Falle vermutlich mit IP-Adresse "10.x.y.z"), können Sie mit "arp -a" (in der Eingabeaufforderung) die MAC-Adresse zu dieser IP-Adresse herausfinden.
Dies funktioniert nur innerhalb von wenigen Minuten nach dem letzten Kontakt, daher evtl. die IP-Adresse des DHCP-Servers vorher anpingen.
Bitte melden Sie uns dann die MAC-Adresse des falschen DHCP-Servers, wir können ihn dann am Cisco-Switchport lokalisieren und den Switchport deaktivieren.
- Ein Schutz des Hausnetzes vor versehentlich konfigurierten DHCP-Servern ist möglich, wenn die im VLAN verwendeten Switches einheitlich moderne Cisco-Geräte sind. Die Konfiguration ist nicht überall möglich und zudem mit etwas Aufwand verbunden, im Betrieb dann auch für den Netzbeauftragten, denn die Switch/Server-Ports sind dann nicht mehr gleich konfiguriert.
Links
