Запретить администраторам назначать дубликаты статических IP-адресов своим рабочим станциям

13

Как я могу запретить пользователю, который является администратором на своем локальном компьютере, вручную назначать IP-адрес своему сетевому адаптеру, который используется на сервере? Некоторые пользователи сделали это, и это вызвало проблемы с дублированием IP, которые привели к тому, что узлы в кластерах оказались в моей организации.

despe
источник
1
Что вы используете для DHCP? Окна? Linux? Что-то другое? Вы захотите создать пул для DHCP и исключить IP-адреса, которые вы используете для своих серверов.
colealtdelete
Ваш вопрос был немного неясным, возможно, потому что английский не ваш родной язык? Я отредактировал это, чтобы немного легче понять.
MDMarra
4
@mdcp Ни за что. Нет, если пользователи являются локальными администраторами. И не, если машины даже не находятся в домене - если я приду к вам в офис со своим ноутбуком и подключусь с уже используемым IP, а вы не будете что-то делать на уровне 2, чтобы предотвратить повреждение (например, 802.1x, NAC и т. Д.), Тогда я просто выбил что-то еще из сети.
mfinni
2
Я действительно хотел бы знать - почему люди даже делают это?
Ричард Терретт
1
Если ваши пользователи устанавливают фиксированные IP-адреса на своих компьютерах, вам нужно очень хорошо подумать, почему они это делают. Почти во всех случаях будут некоторые проблемы, которые вы должны исправить. Когда ваша сеть (включая такие, как DNS) работает правильно, у них не должно быть причин для этого. Другими словами, что вам нужно исправить, чтобы устранить их причины и тем самым сделать это не проблема?
Джон Гарденье

Ответы:

25
  1. Создайте отдельную подсеть (и желательно отдельную VLAN) для своих серверов. Это в значительной степени устраняет проблему «случайного» перекрытия.

  2. Используйте какой-либо тип проверки подлинности NAC или на уровне порта и укажите DHCP-адрес как обязательное условие проверки работоспособности.

  3. Не позволяйте своим пользователям быть администраторами на своих локальных машинах :)

MDMarra
источник
1
+1 Все вышеперечисленное =]
Крис С
9
Невозможно запретить кому-либо с локальным администратором на компьютере назначать уже используемый IP-адрес, точка. Поскольку они владеют машиной, они могут заставить ее говорить все, что хотят. Все, что вы можете сделать, это ограничить урон - который, если вы используете NAC или аналогичный, способен ограничить урон до 0.
mfinni
2

Вы можете запустить скрипт, используя групповую политику, чтобы настроить сетевой адаптер на использование DHCP.

Например: http://social.technet.microsoft.com/Forums/zh/winserverGP/thread/b1616b2f-6353-45fb-a258-8ea9e14b5e8f

Похоже, что также может быть групповая политика для отключения настроек сети: Как отключить настройки Tcp / Ip в windows 7 через GPO?

Энди
источник
2

Попробуйте включить отслеживание DHCP. Каждое устройство, подключенное к коммутатору, должно будет выдать запрос DHCP и получить действительный ответ от вашего доверенного сервера DHCP, прежде чем сможет использовать сеть.

0xFF
источник