Страница 1 из 2

DHCP под NW. Полтора вопроса.

СообщениеДобавлено: 14 мар 2005, 17:38
Музалёв Николай
Уважаемые коллеги!
1
Намедни у меня случился серьезный облом и пришлось восстанавливать сервер с образа. На этом сервере был разведен DHCP-сервис.
Восстановление прошло успешно, но после загрузки вся сеть встала на дыбы из-за образовавшегося дублирования IP-аддр. (восстанавливался образ 2х месячной давности, а тайминг адресов был выставлен на 3 дня)
ВОПРОС: каким образом надо было реинициализировать (сбросить ??) имевшуюся базу DHCP-сервера и организовать перераздачу IP-аддр. ??

2
Ноне изучаю программу аудита DSMETER. Программа хороша, ничего не скажещЪ... даже при ее цене ($2700 на 5ть серверов). Однако возник вопрос, на который фирма ответила как-то невнятно.
Дело в следующем: если использовать программу аудита для разбора полетов и раздачи слонов(а для чего же ее еще использовать??), то требется 100% уверенность, что нагадил именно этот пользователь. А в отчете указаны только Логин-имена и ИП-аддр. Но аддр. же динамические и через некоторое время все поменяются!
Как отслеживать , какой ИП-аддр. был у В.Пупкина в позапрошлом марте , с 10 по 20 число?
Дело в том, что если указанный В.Пупкин (согласно логам программы) снес нечто важное для фирмы, то он, естественно, будет отбрыкиваться и орать ЭТОНЕЯ!!! . Логин не доказательство - ну, украли пароль, и все... Дело в том, что утеря пароля - это халатность, а преднамеренный снос данных (по законам нашего Городка) - "компьютерный саботаж". Разные статьи...
А вот МАС-аддр. в этом случае был бы в самый раз для однозначного доказательства, откуда было проведено действие. Но его нет: разработчики написали , что МАС при ИП-аресации в пакете не передается и т.о. программой не отслеживается.
ВОПРОС: Где брать актуальню базу DHCP ? как часто?
А может, разработчики просто ленятся?
Спасибо.

Re: DHCP под NW. Полтора вопроса.

СообщениеДобавлено: 14 мар 2005, 19:38
Vladimir Kozak
Музалёв Николай писал(а):Восстановление прошло успешно, но после загрузки вся сеть встала на дыбы из-за образовавшегося дублирования IP-аддр. (восстанавливался образ 2х месячной давности, а тайминг адресов был выставлен на 3 дня)


А разве банальная опция ping enabled для сервера DHCP не помогает?

Музалёв Николай писал(а):Где брать актуальню базу DHCP ? как часто?


Самое простое - экспорт из консоли.

Re: DHCP под NW. Полтора вопроса.

СообщениеДобавлено: 14 мар 2005, 19:44
PavelKHTW
Музалёв Николай писал(а):ВОПРОС: каким образом надо было реинициализировать (сбросить ??) имевшуюся базу DHCP-сервера и организовать перераздачу IP-аддр. ??

2
в отчете указаны только Логин-имена и ИП-аддр. Но аддр. же динамические и через некоторое время все поменяются!
Как отслеживать , какой ИП-аддр. был у В.Пупкина в позапрошлом марте , с 10 по 20 число?

А вот МАС-аддр. в этом случае был бы в самый раз для однозначного доказательства, откуда было проведено действие. Но его нет: разработчики написали , что МАС при ИП-аресации в пакете не передается и т.о. программой не отслеживается.

1. Не знаю как в DHCP от NW, но в виндовом есть "кеш" выданых адресов - его затираем и если машина пытается получить новый адрес - она его получает корректно - траблов нет.
2. Адреса хоть и динамические, но у вас стоит их срок использования 3 дня - т.е. конкретный IP будет выдан другой машине только после 3-х дней не использования - т.е. за выходные адреса не терятются, если нужно больше - поставьте срок действия больше 3-х дней
3. MAC адрес не показатель - его легко подделать, например драйвера от Intel имеют такую настройку, впрочем IP тоже не надежное.
4. То что вы говорите по поводу ваших пользователей -
Логин не доказательство - ну, украли пароль, и все... Дело в том, что утеря пароля - это халатность, а преднамеренный снос данных (по законам нашего Городка) - "компьютерный саботаж". Разные статьи...
- а зачем тогда вообще логин нужен? Как вам наверное известно, за утерю кода к вашей карточке VISA, банк ответственности не не сет - и если в один прекрасный день ваши деньги пропадут - банк ответственности не несет - ваши проблемы :) - точно так же должно быть и с логинами, и об этом пользователи должны быть ознакомлены под роспись - тогда и речи о халатности быть не может.

СообщениеДобавлено: 14 мар 2005, 20:56
Музалёв Николай
Коллеги! Спасибо за участие в теме.

2 Vladimir Kozak
Не очень понятно, как в такой вот лавинной ситуации:
Код: Выделить всё
Thursday, March 10, 2005   1:36:33.365 pm EETD
PENTA:
PENTA:

3-10-2005   1:36:33 pm:    NAMED-5.10-8
     Starting service for Primary zone bgd

3-10-2005   1:36:33 pm:    NAMED-5.10-8
     Starting service for Primary zone 1.16.172.in-addr.arpa

3-10-2005   1:36:43 pm:    DHCPSRVR-3.12-0
     IP Database loaded.

DHCPSRVR-3.12-20: Main thread for UI and Lease Expiration processing started.
DHCPSRVR-3.12-17: DHCP Server is ready at 3/10/2005 1:36:43 pm.

3-10-2005   1:36:53 pm:    DHCPSRVR-3.12-0
     Received a Decline packet for address 172.16.1.89.

NetDB Library loaded successfully.

3-10-2005   1:37:01 pm:    DHCPSRVR-3.12-0
     Received a Decline packet for address 172.16.1.101.

3-10-2005   1:37:17 pm:    DHCPSRVR-3.12-0
     Received a Decline packet for address 172.16.1.135.

3-10-2005   1:37:27 pm:    DHCPSRVR-3.12-0
     Received a Decline packet for address 172.16.1.155.

3-10-2005   1:37:38 pm:    DHCPSRVR-3.12-0
     Received a Decline packet for address 172.16.1.166.

3-10-2005   1:37:48 pm:    DHCPSRVR-3.12-0
     Received a Decline packet for address 172.16.1.167.

3-10-2005   1:37:58 pm:    DHCPSRVR-3.12-0
     Received a Decline packet for address 172.16.1.168.

3-10-2005   1:38:08 pm:    DHCPSRVR-3.12-0
     Received a Decline packet for address 172.16.1.169.

....................................................
И далее по всем работавшим в тот момент адресам.

может помочь
банальная опция ping enabled для сервера DHCP

Пожалйста, подробнее.
Может надо было проще: взять и дернуть общий сетевой рубильник,а? Благо у нас своя компьютерная элекросеть...

2 PavelKHTW
Думаю, вы, коллега, не правы насчет речи о халатности . За халатность и за умысел (если доказано) назначают разное наказание. А у вас разве не так?

Но давайте вернемся к вопросу: действительно ли в ИП-датаграмме нет МАС-адреса?

СообщениеДобавлено: 14 мар 2005, 21:17
PavelKHTW
Музалёв Николай писал(а):Думаю, вы, коллега, не правы насчет речи о халатности . За халатность и за умысел (если доказано) назначают разное наказание. А у вас разве не так?

Но давайте вернемся к вопросу: действительно ли в ИП-датаграмме нет МАС-адреса?


Нет, у нас не так - человек подписывает бумагу, в которой есть список его обязанностей, и прав - в случае разборок документ есть под рукой :). Естественно наличие этого документа никак не снимает с администраторов ответственность - их задача не допустить подобных случаев.

По поводу IP пакета - там есть MAC адрес и отправителя и получателя, но вся засада в том, что если на пути пакета есть роутер - мак адреса по пути следования меняются :)

СообщениеДобавлено: 15 мар 2005, 04:20
Timur Kazimirov
М-м-м... А если использовать ZEN'овскую регистрацию рабочих станций, включая в имя станции IP-адрес и имя пользователя при регистрации?

СообщениеДобавлено: 15 мар 2005, 07:50
olegK
У меня такое тоже было делал так
захожу в консоль DHCP и удоляю руками все адреса
и нет проблем все заново получают.
Может это грубо но помогает.

СообщениеДобавлено: 15 мар 2005, 11:14
Vladimir Kozak
Музалёв Николай писал(а):И далее по всем работавшим в тот момент адресам.[/code]
может помочь
банальная опция ping enabled для сервера DHCP

Пожалйста, подробнее.


Насколько я понимаю - оно бы само устаканилось. А подробнее можно: dnsdhcp.exe - закладка DHCP Service - сервер DHCP_ACME - закладка Options - чекбокс Ping enabled.

СообщениеДобавлено: 15 мар 2005, 13:53
Владимир Горяев
Я б увеличил время аренды (получится почти статика). Адресов то немеряно, че их економить :)

СообщениеДобавлено: 15 мар 2005, 15:18
Владимир Занадворов
Владимир Горяев писал(а):Я б увеличил время аренды (получится почти статика). Адресов то немеряно, че их економить :)


Или просто статика с однозначным наведением соответствия MAC-IP
И каждому пользователю в Network Address restrictions айпи только его машины.

Тогда в случае "пароль спёрли" пользователю придётся обьяснять, как бяку сделали с ЕГО рабочего места в то время, когда он был на работе.

И всё равно, возможен вариант, что это "халатность" а не "саботаж", но в подобных случаях проще a priori считать что это второе. И если станция не лочится на время отхода в сортир - тоже саботаж :)

ИМХО иначе никак.

СообщениеДобавлено: 15 мар 2005, 15:32
Музалёв Николай
2 Vladimir Kozak
...само устаканилось

Боюсь, что нет. Сначала я получил вот так:

Код: Выделить всё
ERROR: Invalid server ID in backlink obituary is purged: 00008061
Attribute 42306270, Obituary
Object ID: 00008B87, DN: CN=pc63.CN=bgd.OU=GERMOZONA.OU=OAP.O=BGD.T=BGD_CO

ERROR: Invalid server ID in backlink obituary is purged: 00008061
Attribute 423061AA, Obituary
Object ID: 00008B8A, DN: CN=pc169.CN=bgd.OU=GERMOZONA.OU=OAP.O=BGD.T=BGD_CO

ERROR: Invalid server ID in backlink obituary is purged: 00008061
Attribute 4230614A, Obituary
Object ID: 00008B9F, DN: CN=pc123.CN=bgd.OU=GERMOZONA.OU=OAP.O=BGD.T=BGD_CO

ERROR: Invalid server ID in backlink obituary is purged: 00008061
Attribute 423061E4, Obituary
Object ID: 00008BA3, DN: CN=pc210virt.CN=bgd.OU=GERMOZONA.OU=OAP.O=BGD.T=BGD_CO

и так - полорасто обитуров....

А потом стало рассыпаться синхро:
Код: Выделить всё
Retrieve replica status

Partition: .[Root].
  Replica: .PENTA.GERMOZONA.OAP.BGD         3-11-2005 14:20:45
  Replica: .HOMER.GERMOZONA.OAP.BGD         3-10-2005 12:55:21
    Server: CN=PENTA.OU=GERMOZONA.OU=OAP.O...   3-11-2005 14:20:05  -609 Remote
      Object: CN=PAA.OU=MO.O=BGD
All servers synchronized up to time:          3-10-2005 12:55:21  Warning

Finish:  Friday, March 11, 2005   2:21:04 pm Local Time

Попытка удалить зависший оъект (в данном случае - пользователь PAA), приводила к тому, что на его место "вставал" следующий объект, пока не дошло дело до сервера...

2 Владимир Горяев
...немеряно

-"А грузоподъемность у меня маленьая, Этьен..." - сказал Горбовский. (С).
У меня тоже: при адресе сети 172.х.х.х маска 24х битная, маршрутизатора пока нет. Получается 254 адреса. (??)

СообщениеДобавлено: 15 мар 2005, 15:55
PavelKHTW
Музалёв Николай писал(а):
...немеряно

-"А грузоподъемность у меня маленьая, Этьен..." - сказал Горбовский. (С).
У меня тоже: при адресе сети 172.х.х.х маска 24х битная, маршрутизатора пока нет. Получается 254 адреса. (??)

- а кто мешает использовать друную маску? или вообще другие адреса.

СообщениеДобавлено: 15 мар 2005, 16:33
Андрей Фисенко
Музалёв Николай писал(а):У меня тоже: при адресе сети 172.х.х.х маска 24х битная, маршрутизатора пока нет. Получается 254 адреса. (??)


Дак вы сами сделали себе subneting, потому, как маска в сети 172.16.0.0 рекомендована именно 255.255.0.0, т.е. 65К хостов.
А у вас получается 254 субсетей с 253 хостами.

Хозяин, конечно, барин. Но маску 24 приняно использовать в сетях 192.168.x.x

СообщениеДобавлено: 15 мар 2005, 18:34
Владимир Горяев
А прибить и сделать новою сетку - делов на 2 мин. Не забыть DHCPSRVR выгрузить - загрузить.

СообщениеДобавлено: 17 мар 2005, 18:28
Антон Бурмистров
Откуда такая уверенность в непорочность MAC-адресов. Их можно точно так же подделать. У нас выставлено ограничение на 1 логин и даже в случае утери пароля злоумышленник не сможет войти в сеть. А время прихода и ухода с работы фиксирует система доступа.
А вообще-то это орг.вопрос. Если кто-то пользуется твоей учётной записью, то тебе и отвечать.