DHCP под NW. Полтора вопроса.

Обсуждение технических вопросов по продуктам Novell

DHCP под NW. Полтора вопроса.

Сообщение Музалёв Николай » 14 мар 2005, 17:38

Уважаемые коллеги!
1
Намедни у меня случился серьезный облом и пришлось восстанавливать сервер с образа. На этом сервере был разведен DHCP-сервис.
Восстановление прошло успешно, но после загрузки вся сеть встала на дыбы из-за образовавшегося дублирования IP-аддр. (восстанавливался образ 2х месячной давности, а тайминг адресов был выставлен на 3 дня)
ВОПРОС: каким образом надо было реинициализировать (сбросить ??) имевшуюся базу DHCP-сервера и организовать перераздачу IP-аддр. ??

2
Ноне изучаю программу аудита DSMETER. Программа хороша, ничего не скажещЪ... даже при ее цене ($2700 на 5ть серверов). Однако возник вопрос, на который фирма ответила как-то невнятно.
Дело в следующем: если использовать программу аудита для разбора полетов и раздачи слонов(а для чего же ее еще использовать??), то требется 100% уверенность, что нагадил именно этот пользователь. А в отчете указаны только Логин-имена и ИП-аддр. Но аддр. же динамические и через некоторое время все поменяются!
Как отслеживать , какой ИП-аддр. был у В.Пупкина в позапрошлом марте , с 10 по 20 число?
Дело в том, что если указанный В.Пупкин (согласно логам программы) снес нечто важное для фирмы, то он, естественно, будет отбрыкиваться и орать ЭТОНЕЯ!!! . Логин не доказательство - ну, украли пароль, и все... Дело в том, что утеря пароля - это халатность, а преднамеренный снос данных (по законам нашего Городка) - "компьютерный саботаж". Разные статьи...
А вот МАС-аддр. в этом случае был бы в самый раз для однозначного доказательства, откуда было проведено действие. Но его нет: разработчики написали , что МАС при ИП-аресации в пакете не передается и т.о. программой не отслеживается.
ВОПРОС: Где брать актуальню базу DHCP ? как часто?
А может, разработчики просто ленятся?
Спасибо.
armoracia rusticana (lat.), "блины" и "фиги" всех видов, а также смайлики - крайне не желательны !
Музалёв Николай
 
Сообщения: 3034
Зарегистрирован: 04 июн 2002, 19:58
Откуда: Беларусь. МИНСК.

Re: DHCP под NW. Полтора вопроса.

Сообщение Vladimir Kozak » 14 мар 2005, 19:38

Музалёв Николай писал(а):Восстановление прошло успешно, но после загрузки вся сеть встала на дыбы из-за образовавшегося дублирования IP-аддр. (восстанавливался образ 2х месячной давности, а тайминг адресов был выставлен на 3 дня)


А разве банальная опция ping enabled для сервера DHCP не помогает?

Музалёв Николай писал(а):Где брать актуальню базу DHCP ? как часто?


Самое простое - экспорт из консоли.
Аватара пользователя
Vladimir Kozak
 
Сообщения: 762
Зарегистрирован: 30 янв 2003, 15:13

Re: DHCP под NW. Полтора вопроса.

Сообщение PavelKHTW » 14 мар 2005, 19:44

Музалёв Николай писал(а):ВОПРОС: каким образом надо было реинициализировать (сбросить ??) имевшуюся базу DHCP-сервера и организовать перераздачу IP-аддр. ??

2
в отчете указаны только Логин-имена и ИП-аддр. Но аддр. же динамические и через некоторое время все поменяются!
Как отслеживать , какой ИП-аддр. был у В.Пупкина в позапрошлом марте , с 10 по 20 число?

А вот МАС-аддр. в этом случае был бы в самый раз для однозначного доказательства, откуда было проведено действие. Но его нет: разработчики написали , что МАС при ИП-аресации в пакете не передается и т.о. программой не отслеживается.

1. Не знаю как в DHCP от NW, но в виндовом есть "кеш" выданых адресов - его затираем и если машина пытается получить новый адрес - она его получает корректно - траблов нет.
2. Адреса хоть и динамические, но у вас стоит их срок использования 3 дня - т.е. конкретный IP будет выдан другой машине только после 3-х дней не использования - т.е. за выходные адреса не терятются, если нужно больше - поставьте срок действия больше 3-х дней
3. MAC адрес не показатель - его легко подделать, например драйвера от Intel имеют такую настройку, впрочем IP тоже не надежное.
4. То что вы говорите по поводу ваших пользователей -
Логин не доказательство - ну, украли пароль, и все... Дело в том, что утеря пароля - это халатность, а преднамеренный снос данных (по законам нашего Городка) - "компьютерный саботаж". Разные статьи...
- а зачем тогда вообще логин нужен? Как вам наверное известно, за утерю кода к вашей карточке VISA, банк ответственности не не сет - и если в один прекрасный день ваши деньги пропадут - банк ответственности не несет - ваши проблемы :) - точно так же должно быть и с логинами, и об этом пользователи должны быть ознакомлены под роспись - тогда и речи о халатности быть не может.
PavelKHTW
 
Сообщения: 1037
Зарегистрирован: 08 окт 2003, 13:02
Откуда: Украина

Сообщение Музалёв Николай » 14 мар 2005, 20:56

Коллеги! Спасибо за участие в теме.

2 Vladimir Kozak
Не очень понятно, как в такой вот лавинной ситуации:
Код: Выделить всё
Thursday, March 10, 2005   1:36:33.365 pm EETD
PENTA:
PENTA:

3-10-2005   1:36:33 pm:    NAMED-5.10-8
     Starting service for Primary zone bgd

3-10-2005   1:36:33 pm:    NAMED-5.10-8
     Starting service for Primary zone 1.16.172.in-addr.arpa

3-10-2005   1:36:43 pm:    DHCPSRVR-3.12-0
     IP Database loaded.

DHCPSRVR-3.12-20: Main thread for UI and Lease Expiration processing started.
DHCPSRVR-3.12-17: DHCP Server is ready at 3/10/2005 1:36:43 pm.

3-10-2005   1:36:53 pm:    DHCPSRVR-3.12-0
     Received a Decline packet for address 172.16.1.89.

NetDB Library loaded successfully.

3-10-2005   1:37:01 pm:    DHCPSRVR-3.12-0
     Received a Decline packet for address 172.16.1.101.

3-10-2005   1:37:17 pm:    DHCPSRVR-3.12-0
     Received a Decline packet for address 172.16.1.135.

3-10-2005   1:37:27 pm:    DHCPSRVR-3.12-0
     Received a Decline packet for address 172.16.1.155.

3-10-2005   1:37:38 pm:    DHCPSRVR-3.12-0
     Received a Decline packet for address 172.16.1.166.

3-10-2005   1:37:48 pm:    DHCPSRVR-3.12-0
     Received a Decline packet for address 172.16.1.167.

3-10-2005   1:37:58 pm:    DHCPSRVR-3.12-0
     Received a Decline packet for address 172.16.1.168.

3-10-2005   1:38:08 pm:    DHCPSRVR-3.12-0
     Received a Decline packet for address 172.16.1.169.

....................................................
И далее по всем работавшим в тот момент адресам.

может помочь
банальная опция ping enabled для сервера DHCP

Пожалйста, подробнее.
Может надо было проще: взять и дернуть общий сетевой рубильник,а? Благо у нас своя компьютерная элекросеть...

2 PavelKHTW
Думаю, вы, коллега, не правы насчет речи о халатности . За халатность и за умысел (если доказано) назначают разное наказание. А у вас разве не так?

Но давайте вернемся к вопросу: действительно ли в ИП-датаграмме нет МАС-адреса?
armoracia rusticana (lat.), "блины" и "фиги" всех видов, а также смайлики - крайне не желательны !
Музалёв Николай
 
Сообщения: 3034
Зарегистрирован: 04 июн 2002, 19:58
Откуда: Беларусь. МИНСК.

Сообщение PavelKHTW » 14 мар 2005, 21:17

Музалёв Николай писал(а):Думаю, вы, коллега, не правы насчет речи о халатности . За халатность и за умысел (если доказано) назначают разное наказание. А у вас разве не так?

Но давайте вернемся к вопросу: действительно ли в ИП-датаграмме нет МАС-адреса?


Нет, у нас не так - человек подписывает бумагу, в которой есть список его обязанностей, и прав - в случае разборок документ есть под рукой :). Естественно наличие этого документа никак не снимает с администраторов ответственность - их задача не допустить подобных случаев.

По поводу IP пакета - там есть MAC адрес и отправителя и получателя, но вся засада в том, что если на пути пакета есть роутер - мак адреса по пути следования меняются :)
PavelKHTW
 
Сообщения: 1037
Зарегистрирован: 08 окт 2003, 13:02
Откуда: Украина

Сообщение Timur Kazimirov » 15 мар 2005, 04:20

М-м-м... А если использовать ZEN'овскую регистрацию рабочих станций, включая в имя станции IP-адрес и имя пользователя при регистрации?
Timur Kazimirov
 
Сообщения: 1153
Зарегистрирован: 10 фев 2004, 09:56
Откуда: Южно-Сахалинск

Сообщение olegK » 15 мар 2005, 07:50

У меня такое тоже было делал так
захожу в консоль DHCP и удоляю руками все адреса
и нет проблем все заново получают.
Может это грубо но помогает.
Аватара пользователя
olegK
 
Сообщения: 81
Зарегистрирован: 22 янв 2004, 08:43
Откуда: Казахстан Астана

Сообщение Vladimir Kozak » 15 мар 2005, 11:14

Музалёв Николай писал(а):И далее по всем работавшим в тот момент адресам.[/code]
может помочь
банальная опция ping enabled для сервера DHCP

Пожалйста, подробнее.


Насколько я понимаю - оно бы само устаканилось. А подробнее можно: dnsdhcp.exe - закладка DHCP Service - сервер DHCP_ACME - закладка Options - чекбокс Ping enabled.
Аватара пользователя
Vladimir Kozak
 
Сообщения: 762
Зарегистрирован: 30 янв 2003, 15:13

Сообщение Владимир Горяев » 15 мар 2005, 13:53

Я б увеличил время аренды (получится почти статика). Адресов то немеряно, че их економить :)
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Владимир Занадворов » 15 мар 2005, 15:18

Владимир Горяев писал(а):Я б увеличил время аренды (получится почти статика). Адресов то немеряно, че их економить :)


Или просто статика с однозначным наведением соответствия MAC-IP
И каждому пользователю в Network Address restrictions айпи только его машины.

Тогда в случае "пароль спёрли" пользователю придётся обьяснять, как бяку сделали с ЕГО рабочего места в то время, когда он был на работе.

И всё равно, возможен вариант, что это "халатность" а не "саботаж", но в подобных случаях проще a priori считать что это второе. И если станция не лочится на время отхода в сортир - тоже саботаж :)

ИМХО иначе никак.
--
Аватара пользователя
Владимир Занадворов
 
Сообщения: 167
Зарегистрирован: 09 фев 2005, 13:28
Откуда: Москва

Сообщение Музалёв Николай » 15 мар 2005, 15:32

2 Vladimir Kozak
...само устаканилось

Боюсь, что нет. Сначала я получил вот так:

Код: Выделить всё
ERROR: Invalid server ID in backlink obituary is purged: 00008061
Attribute 42306270, Obituary
Object ID: 00008B87, DN: CN=pc63.CN=bgd.OU=GERMOZONA.OU=OAP.O=BGD.T=BGD_CO

ERROR: Invalid server ID in backlink obituary is purged: 00008061
Attribute 423061AA, Obituary
Object ID: 00008B8A, DN: CN=pc169.CN=bgd.OU=GERMOZONA.OU=OAP.O=BGD.T=BGD_CO

ERROR: Invalid server ID in backlink obituary is purged: 00008061
Attribute 4230614A, Obituary
Object ID: 00008B9F, DN: CN=pc123.CN=bgd.OU=GERMOZONA.OU=OAP.O=BGD.T=BGD_CO

ERROR: Invalid server ID in backlink obituary is purged: 00008061
Attribute 423061E4, Obituary
Object ID: 00008BA3, DN: CN=pc210virt.CN=bgd.OU=GERMOZONA.OU=OAP.O=BGD.T=BGD_CO

и так - полорасто обитуров....

А потом стало рассыпаться синхро:
Код: Выделить всё
Retrieve replica status

Partition: .[Root].
  Replica: .PENTA.GERMOZONA.OAP.BGD         3-11-2005 14:20:45
  Replica: .HOMER.GERMOZONA.OAP.BGD         3-10-2005 12:55:21
    Server: CN=PENTA.OU=GERMOZONA.OU=OAP.O...   3-11-2005 14:20:05  -609 Remote
      Object: CN=PAA.OU=MO.O=BGD
All servers synchronized up to time:          3-10-2005 12:55:21  Warning

Finish:  Friday, March 11, 2005   2:21:04 pm Local Time

Попытка удалить зависший оъект (в данном случае - пользователь PAA), приводила к тому, что на его место "вставал" следующий объект, пока не дошло дело до сервера...

2 Владимир Горяев
...немеряно

-"А грузоподъемность у меня маленьая, Этьен..." - сказал Горбовский. (С).
У меня тоже: при адресе сети 172.х.х.х маска 24х битная, маршрутизатора пока нет. Получается 254 адреса. (??)
armoracia rusticana (lat.), "блины" и "фиги" всех видов, а также смайлики - крайне не желательны !
Музалёв Николай
 
Сообщения: 3034
Зарегистрирован: 04 июн 2002, 19:58
Откуда: Беларусь. МИНСК.

Сообщение PavelKHTW » 15 мар 2005, 15:55

Музалёв Николай писал(а):
...немеряно

-"А грузоподъемность у меня маленьая, Этьен..." - сказал Горбовский. (С).
У меня тоже: при адресе сети 172.х.х.х маска 24х битная, маршрутизатора пока нет. Получается 254 адреса. (??)

- а кто мешает использовать друную маску? или вообще другие адреса.
PavelKHTW
 
Сообщения: 1037
Зарегистрирован: 08 окт 2003, 13:02
Откуда: Украина

Сообщение Андрей Фисенко » 15 мар 2005, 16:33

Музалёв Николай писал(а):У меня тоже: при адресе сети 172.х.х.х маска 24х битная, маршрутизатора пока нет. Получается 254 адреса. (??)


Дак вы сами сделали себе subneting, потому, как маска в сети 172.16.0.0 рекомендована именно 255.255.0.0, т.е. 65К хостов.
А у вас получается 254 субсетей с 253 хостами.

Хозяин, конечно, барин. Но маску 24 приняно использовать в сетях 192.168.x.x
Андрей Фисенко, SUSE
[url=http://www.suse.com][/url]
Андрей Фисенко
 
Сообщения: 1311
Зарегистрирован: 05 июн 2002, 08:13
Откуда: Красноярск

Сообщение Владимир Горяев » 15 мар 2005, 18:34

А прибить и сделать новою сетку - делов на 2 мин. Не забыть DHCPSRVR выгрузить - загрузить.
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Антон Бурмистров » 17 мар 2005, 18:28

Откуда такая уверенность в непорочность MAC-адресов. Их можно точно так же подделать. У нас выставлено ограничение на 1 логин и даже в случае утери пароля злоумышленник не сможет войти в сеть. А время прихода и ухода с работы фиксирует система доступа.
А вообще-то это орг.вопрос. Если кто-то пользуется твоей учётной записью, то тебе и отвечать.
Антон Бурмистров
 
Сообщения: 140
Зарегистрирован: 21 окт 2002, 15:07
Откуда: С-Петербург

След.

Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 60

cron