Impedir que usuários administrativos atribuam IPs estáticos duplicados a suas estações de trabalho

Como impedir que um usuário administrador na máquina local atribua manualmente um IP ao adaptador de rede que está sendo usado em um servidor? Alguns usuários fizeram isso e isso causou problemas de IP duplicados que removeram os nós dos clusters da minha organização.

switch local-area-network despe
fonte

O que você está usando para DHCP? Janelas? Linux? Algo mais? Você deseja criar um pool para DHCP e excluir os IPs que você está usando para seus servidores.

Colealtdelete

Sua pergunta foi um pouco incerta, talvez porque o inglês não seja sua primeira língua? Eu o editei para facilitar a compreensão.

MDMarra

@mdcp De jeito nenhum. Não se os usuários forem administradores locais. E não se as máquinas não estiverem no domínio - se eu for ao seu escritório com meu próprio laptop e conectar-se com um IP já em uso e você não estiver fazendo algo na Camada 2 para evitar danos (como 802.1x, NAC, etc), então acabei de derrubar outra coisa da rede.

Mllni

Eu realmente gostaria de saber - por que as pessoas fazem isso?

Richard Terrett 27/12/12

Se seus usuários estão configurando endereços IP fixos em suas máquinas, você precisa pensar muito sobre o motivo de fazê-lo. Em quase todos os casos, haverá algum problema subjacente que você deve corrigir. Quando sua rede (incluindo coisas como DNS) estiver funcionando corretamente, eles não deverão ter motivos para fazê-lo. Em outras palavras, o que você precisa corrigir para remover os motivos e, portanto, tornar isso um problema não?

John Gardeniers

Respostas:

Tenha uma sub-rede separada (e de preferência uma VLAN separada) para seus servidores. Isso praticamente elimina a questão da sobreposição "acidental".
Use algum tipo de autenticação NAC ou no nível da porta e faça com que um endereço atribuído ao DHCP seja um pré-requisito da verificação de integridade.
Não permita que seus usuários sejam administradores em suas máquinas locais :)

MDMarra
fonte

+1 Todas as opções acima =]

Chris S

Não há como impedir que alguém com administrador local em uma máquina atribua um endereço IP já em uso, ponto final. Como eles são donos da máquina, podem fazê-la dizer o que quiserem. Tudo o que você pode fazer é limitar o dano - que, se você estiver usando NAC ou similar, é capaz de limitar o dano a 0. #

mfinni

Você pode executar um script usando a diretiva de grupo para definir o adaptador de rede para usar o DHCP.

Por exemplo: http://social.technet.microsoft.com/Forums/zh/winserverGP/thread/b1616b2f-6353-45fb-a258-8ea9e14b5e8f

Parece que também pode haver uma política de grupo para desativar as configurações de rede: Como desativar as configurações de TCP / IP no Windows 7 via GPO?

Andy
fonte

Tente ativar a espionagem do DHCP. Todo dispositivo conectado ao switch precisará emitir uma solicitação DHCP e receber uma resposta válida do servidor DHCP confiável antes de poder usar a rede.

0xFF
fonte