Ngăn người dùng quản trị gán IP tĩnh trùng lặp cho máy trạm của họ

Làm cách nào tôi có thể ngăn người dùng là quản trị viên trên máy cục bộ của họ gán IP thủ công cho bộ điều hợp mạng đang sử dụng trên máy chủ? Một số người dùng đã thực hiện điều này và nó đã gây ra các sự cố IP trùng lặp khiến các nút trong cụm bị mất trong tổ chức của tôi.

switch local-area-network

— tuyệt vọng
nguồn

Bạn đang sử dụng gì cho DHCP? Các cửa sổ? Linux? Thứ gì khác? Bạn sẽ muốn tạo một nhóm cho DHCP và loại trừ các IP bạn đang sử dụng cho các máy chủ của mình.

— colealtdelete

Câu hỏi của bạn hơi không rõ ràng, có lẽ vì tiếng Anh không phải là ngôn ngữ đầu tiên của bạn? Tôi đã chỉnh sửa nó để dễ hiểu hơn một chút.

— MDMarra

@mdcp Không có cách nào. Không nếu người dùng là quản trị viên địa phương. Và không phải nếu các máy thậm chí không ở trong miền - nếu tôi đến văn phòng của bạn bằng máy tính xách tay của riêng tôi và cắm IP đã sử dụng và bạn không làm gì ở Lớp 2 để tránh thiệt hại (như 802.1x, NAC, v.v.), sau đó tôi vừa loại bỏ một thứ khác ra khỏi mạng.

— mfinni

Tôi thực sự muốn biết - tại sao mọi người thậm chí làm điều này?

— Richard Terrett

Nếu người dùng của bạn đang đặt địa chỉ IP cố định trên máy của họ, bạn cần suy nghĩ rất kỹ về lý do tại sao họ làm việc đó. Trong gần như tất cả các trường hợp sẽ có một số vấn đề tiềm ẩn mà bạn nên khắc phục. Khi mạng của bạn (bao gồm cả những thứ như DNS) hoạt động chính xác, họ sẽ không có lý do gì để làm điều đó. Nói cách khác, những gì bạn cần sửa chữa để loại bỏ lý do của họ và do đó làm cho điều này không thành vấn đề?

— John Gardeniers

Câu trả lời:

Có một mạng con riêng (và tốt nhất là Vlan riêng) cho các máy chủ của bạn. Điều này khá nhiều loại bỏ vấn đề chồng chéo "tình cờ".
Sử dụng một số loại xác thực NAC hoặc cấp độ cổng và có địa chỉ được gán DHCP là điều kiện tiên quyết của kiểm tra sức khỏe.
Đừng để người dùng của bạn là quản trị viên trên các máy cục bộ của họ :)

— MDMarra
nguồn

+1 Tất cả những điều trên =]

— Chris S

Không có cách nào để ngăn người nào đó có quản trị viên cục bộ trên máy gán địa chỉ IP đã sử dụng, thời gian. Bởi vì họ sở hữu máy, họ có thể khiến nó nói bất cứ điều gì họ muốn. Tất cả những gì bạn có thể làm là hạn chế thiệt hại - mà, nếu bạn đang sử dụng NAC hoặc tương tự, nó có khả năng giới hạn thiệt hại xuống còn 0.

— mfinni

Bạn có thể chạy tập lệnh bằng chính sách nhóm để đặt bộ điều hợp mạng sử dụng DHCP.

Ví dụ: http://social.technet.microsoft.com/Forums/zh/winserverGP/thread/b1616b2f-6353-45fb-a258-8ea9e14b5e8f

Có vẻ như cũng có thể có chính sách nhóm để tắt cài đặt mạng: Làm cách nào để tắt cài đặt Tcp / Ip trong windows 7 qua GPO?

— Andy
nguồn

Hãy thử bật DHCP snooping. Mọi thiết bị được kết nối với switch sẽ phải đưa ra yêu cầu DHCP và nhận được phản hồi hợp lệ từ máy chủ DHCP đáng tin cậy của bạn trước khi có thể sử dụng mạng.

— 0xFF
nguồn