Как организовать DHCP в домене по зданию?

Question

[Станислав Валсинатс]

Добрый день. Сложилась ситуация, что в большой организации, несколько зданий, около 1000 машин, нет никакой организации от слова СОВСЕМ - локальные администраторы на всех машинах, обслуживание на своих двоих и так далее.

ОС у всех ПК - Win XP (остатки, их мало), WIn7 Prof, Win10 Prof

IP адреса на эту ораву прописываются в ручную.

Сейчас были куплены сервера, по 1 штуке на каждое здание. На них будет разворачиваться Windows Server c AD, DHCP и так далее.

Сетевая инфраструктура имеется в виде: где то умных CISCO, где то к ним идут D-LINK.

Задача - используя сервера на каждое здание, сделать централизованное управление с раздачей адресов по DHCP и удаленному управлению.

Сделать это в одном широковещательном домене на 50-100 машин я понимаю как. Но необходимо:

1) В пределах здания настроить автоматическое получение DHCP на все ПК с резервированием IP-адресов.

2) Иметь возможность разграничить диапазоны согласно кабинетам, группам кабинетов - не все же ПК в здании в одну сеть пихать. При этом сервер DHCP с двумя интерфейсами. Возможно использовать VLAN ?
Маршрутизация между кабинетами (подсетями) нужна не всегда.

3) Иметь возможность удаленного подключения на ПК в домене. Я вижу это так: по звонку логнинимся на сервер, смотрим кабинет-IP в оснастке DHCP и подключаемся по IP.

4) Иметь возможность удаленной установки ОС+ПО. Нужен PXE сервер, и еще кажется был какой то инструмент от Microsoft, который умеет красиво ставить ОС по сети, получая адрес из свободного диапазона.

5) Софт, который выводит на рабочем столе IP и прочее идентификационные данные для опознания ПК, чтоб пользователи могли продиктовать. Тут просто прошу совета - чем пользоваться.

6) Учет трафика пользователей. С учетом HTTPS - чем, и главное на чем - сетевое оборудование или сервер, виртуалка ubuntu или Windows server?

В качестве маршрутизатора этого всего планировалось использовать Windows Server, который дальше уже все пересылает на CISCO L3 коммутаторы здания.

Прошу помощи более опытных коллег, так как сам сети такого масштаба никогда не организовывал - как и что лучше сделать по этим пунктам, какими инструментами ПО ?

Денег на стороннее ПО нет, кроме Windows Server.

Таких зданий несколько, планируем везде все организовать одинаково.

Цель - полный контроль и управление пользовательских ПК удаленно из одной точки.
Самое сложное что я вижу - как раздать DHCP адреса и делить их.

P.S. Подскажите - как можно обезопасить себя от не прописанных в DHCP ПК (допустим Вася принес свой ПК, воткнул в сеть и качает что-то плохое)

Answer 1

[Алексей Черемисин]

0) читаете про dhcp-snooping и dhcp-relay.
1) настраиваете это все на коммутаторах
2) по возможности раскидываете на подсети и vlan
3) выкидываете в урну коммутаторы, которые это не поддерживают.
4) настраиваете первичный и резервный dhcp серверы с общей базой лис-адресов.
5) ну, далее по вашему списку.
На почитать xgu.ru/wiki/DHCP_snooping

Answer 2

[АртемЪ]

Прошу помощи более опытных коллег, так как сам сети такого масштаба никогда не организовывал - как и что лучше сделать по этим пунктам, какими инструментами ПО

Для начала составить нормальное техзадание, потом смету, после чего приступать к выполнению или нанимать исполнителей.
Если сами не в состоянии составить ТЗ, и смету - надо приглашать специалистов.

как можно обезопасить себя от не прописанных в DHCP ПК (допустим Вася принес свой ПК, воткнул в сеть и качает что-то плохое

Задача DHCP раздавать адреса, и если кто-то подключил компьютер к сети он должен выдать ему адрес. Это нормально.
А вот куда имеет доступ Вася, и что он может качать решается совсем другими инструментами, не имеющими никакого отношения к DHCP

В пределах здания настроить автоматическое получение DHCP на все ПК с резервированием IP-адресов.

Просто включить DHCP и прописать резервирование адресов за конкретным MAC адресом.
Как это сделать - зависит от того на чем это все будет реализовано. Такая функциональность есть даже у домашних роутеров за 800рублей.

Иметь возможность разграничить диапазоны согласно кабинетам, группам кабинетов - не все же ПК в здании в одну сеть пихать.

VLAN вам в помощь.

Иметь возможность удаленного подключения на ПК в домене

RDP

Иметь возможность удаленной установки ОС+ПО. Нужен PXE сервер

PXE это такая программа зашитая компьютер позволяющая загружаться по сети.Сервером она ни в коем случае не является.
Для удаленной установки ОС нужен TFTP сервер.

был какой то инструмент от Microsoft, который умеет красиво ставить ОС по сети

AIK

Софт, который выводит на рабочем столе IP и прочее идентификационные данные для опознания ПК

ПКМ на Мой компьютер - там видно имя компьютера. Зачем вам IP?

Учет трафика пользователей.

Да на чем угодно, софта навалом, нужно выбирать под задачи, необходимо ТЗ. А так без ТЗ - в логах роутера посмотрите.

В качестве маршрутизатора этого всего планировалось использовать Windows Server

Сильно задумано. Не, в Windows конечно же есть службы маршрутизации и они вполне работают, но вот организовать маршрутизатор крупной сети на Windows это конечно нечто - желаем удачи.

Самое сложное что я вижу - как раздать DHCP адреса и делить их.

Вот это как раз сделает любой школьник за полчаса с помощью дешевого SOHO маршрутизатора купленного в ближайшем супермаркете.

Comments

[Роман Молчанов]

DHCP может раздавать адреса по белому списку мак-адресов и тогда васин компьютер не получит адрес. Однако, остаётся вероятность, что Вася ручками пропишет рандомный адрес в свойствах своего подключения, и DHCP, конечно, не защищает сетевую инфраструктуру никак.

[Станислав Валсинатс]

Для начала составить нормальное техзадание, потом смету, после чего приступать к выполнению или нанимать исполнителей.
Если сами не в состоянии составить ТЗ, и смету - надо приглашать специалистов.

Меня на это учили, но это было давно, а опыта таких больших проектов нет. Гуглить и думать умею. Прошу подсказать именно технологии.

Задача DHCP раздавать адреса, и если кто-то подключил компьютер к сети он должен выдать ему адрес. Это нормально.
А вот куда имеет доступ Вася, и что он может качать решается совсем другими инструментами, не имеющими никакого отношения к DHCP

Спасибо. Не подскажете ДЛЯ ПРИМЕРА чем ? мне говорили что СКВИД умеет интеграцию с АД.

Софт, который выводит на рабочем столе IP и прочее идентификационные данные для опознания ПК

ПКМ на Мой компьютер - там видно имя компьютера. Зачем вам IP?

При наличии домена - ДА, теперь объясните это вредной бабушке которой 70 лет. Представляете - у нас такие работают.

Учет трафика пользователей.

Да на чем угодно, софта навалом, нужно выбирать под задачи, необходимо ТЗ. А так без ТЗ - в логах роутера посмотрите.

Перефразирую - можете посоветовать прокси, который может например с АД интегрироваться ?

В качестве маршрутизатора этого всего планировалось использовать Windows Server

Сильно задумано. Не, в Windows конечно же есть службы маршрутизации и они вполне работают, но вот организовать маршрутизатор крупной сети на Windows это конечно нечто - желаем удачи.

Вы не поняли - маршрутизация в пределах здания - кароче шлюз. Может шлюзом указать сразу CISCO ? если подскажете как лучше - буду благодарен.

За WinServer стоит циска - обслуживаю не я.

Самое сложное что я вижу - как раздать DHCP адреса и делить их.

Вот это как раз сделает любой школьник за полчаса с помощью дешевого SOHO маршрутизатора купленного в ближайшем супермаркете.

Тут не так вопрос я поставил: я вижу что можно разделить ВЛАНами, а можно маской поделить на подсети, тогда в другой сегмент сети они будут идти через GW, на котором уже при необходимости прописать маршруты в другую подсеть. Или не прописать. Какой финт ушами из этих предпочтительнее ?

[Станислав Валсинатс]

Иметь возможность удаленной установки ОС+ПО. Нужен PXE сервер

PXE это такая программа зашитая компьютер позволяющая загружаться по сети.Сервером она ни в коем случае не является.
Для удаленной установки ОС нужен TFTP сервер.

Не поймите меня буквально. Вопрос был - стек техлонолоии для удаленной установки ОС с помощью WinServer = PXE + TFTP? Или есть какой то отдельный продукт ?

[Дмитрий]

Станислав Прядеин, WDS

[Станислав Валсинатс]

Дмитрий, Спасибо. То, что надо!

[Diman89]

дополню имхо: достаточно составить схему по которой вы будете раздавать hostname всем машинам в сети, тогда, например, будет достаточно спросить фамилию сотрудника\кабинет\что-то еще, а не заставлять его искать свой ip, или искать его самому где-то

Answer 3

[Keffer]

Целое ТЗ накатал, размером с добрую простынь)))) Осталось только найти кого то, заплатить, он к вам придет и все организует. Тут на целый большой подряд делов, бесплатно такие вещи не делаются.

Comments

[Станислав Валсинатс]

Я прошу просто подсказать технологии, у того, кто такое уже делал.
Конкретики не нужно. Хватит названия и что с чем.
Но спасибо за мнение.

[Dmitry]

Станислав Прядеин, DHCP Relay

Answer 4

[Родион Кудрявцев]

Vlan, intervlan routing, dhcp-relay, dhcp..-snooping... +мониторинг инфраструктуры, серверов - zabbix или аналоги

Answer 5

[Ильдар]

Да батенька, подкинули вы задачку.
- Для начала, выкинуть, от слова совсем, все DLINK'и ибо подобная пакость некошерна.
- Сеть резать крупными кусками (по 24й маске, в крайнем случае по 25), покампусно, даже если на этаже/здании 10 человек;
- Прикупить для ядра микрот, в идеале ccr1036, на второй уровень сойдет и crs326 (покупать 1хх-2хх не стоит ибо устарело);
- DHCP полностью возложить на микрот в ядре, аплинк - dhcp сервер. С DNS на Windows Server, нормально "подружится", главное разрешить динамическое обновление;
- про VLAN забыть так как я понял сеть одноранговая;
- удаленное управление организовать лучше всего через Radmin (если денех нет, то в сети куча ломаного, но прикупить десяток лицензий для очистки совести стоит), подключаться по доменному имени, а не по IP;
- PXE - почитайте по WDS (Windows Deployment Services);
- Учет трафика пользователей, а есть ли смысл ? Гораздо легче при наличии нескольких провайдеров настроить очереди и пошаманить с маршрутизацией, Если хочется "закрыть" вконтактики и прочее, почитайте mikrotik layer 7 https, но это лучше делать на отдельной железке, процессор кушает очень хорошо;
- Обезопасить себя от непрописанных в DHCP подключений можно тупо сделав привязку по мак-адресу, но весь смысл от DHCP тогда теряется. А так это слишком большая тема и очень много вариантов решения.

p.s. Неразумная экономия никогда не приводила ни к чему хорошему.

Comments

[Станислав Валсинатс]

Дак вот сам не знаю с чего начать.

- Для начала, выкинуть, от слова совсем, все DLINK'и ибо подобная пакость некошерна.

Это будет идти постепенно. я уже сообщил руководству. Финансовый вопрос. МОжет посоветуете на что поменять ?

- Сеть резать крупными кусками (по 24й маске, в крайнем случае по 25), покампусно, даже если на этаже/здании 10 человек;

Это и так будет - планировал DHCP_relay\snooping optoin_82 использовать, но для этого надо чтоб каждый кабинет в коммутор по ВЛАНУ входил. Пока так не везде. Делить думал так 10.X.Y.Z,
где X - номер здания
где Y - код подразделения
где Z - просто номер.
То есть по /23

- Прикупить для ядра микрот, в идеале ccr1036, на второй уровень сойдет и crs326 (покупать 1хх-2хх не стоит ибо устарело);

Посоветуйте модель. У нас сейчас умирает маршрутизатор, вида CISCO 10 летней давности. Модель не знаю. Пользователей около 1500, канал на всех 200-500 Мбит - хватает с головой, то есть трафик не такой и большой. На коммутаторы здания и коммутатор ядра уже закуплены ExTREME. Хочется попробовать микротик - выгодно в финансовом плане, по сравнению с той же БУ циской.

- DHCP полностью возложить на микрот в ядре, аплинк - dhcp сервер. С DNS на Windows Server, нормально "подружится", главное разрешить динамическое обновление;

Поясните - DHCP uplink - отдельный DHCP ?? Или маршрутизатор в качестве DHCPю Нам же еще надо резервирование и 82 опцию.
Вообще теперь уже не знаю - надо ли DHCP на каждое здание отдельно, или единый сервер использовать.

- про VLAN забыть так как я понял сеть одноранговая;

Мы хотим VLAN разделить отделы. То есть даже на разных этажах чтоб были в одном VLAN и получали определенный диапазон адресов, сетевые ресурсы и все такое.

- удаленное управление организовать лучше всего через Radmin (если денех нет, то в сети куча ломаного, но прикупить десяток лицензий для очистки совести стоит), подключаться по доменному имени, а не по IP;

Денег нет, так что RDP, VNC

- PXE - почитайте по WDS (Windows Deployment Services);

Спасибо, то что нужно.

- Учет трафика пользователей, а есть ли смысл ? Гораздо легче при наличии нескольких провайдеров настроить очереди и пошаманить с маршрутизацией, Если хочется "закрыть" вконтактики и прочее, почитайте mikrotik layer 7 https, но это лучше делать на отдельной железке, процессор кушает очень хорошо;

это ОБЯЗАТЕЛЬНО. Ограничивать ничего не требуется, кроме торрентов. (Кстати как лучше их закрыть?)
Нам необходим именно УЧЕТ ПОСЕЩЕНИЙ - нам приходило несколько раз запросы из органов.

Answer 6

[Михаил]

Я бы рекомендовал нанять подрядчика.
Получится быстрее и, в итоге, дешевле.
Если обладать необходимыми знаниями, то один человек за месяц - два управится (зависит от конкретных задач).
Кроме того, в процессе можно "почерпнуть" недостающие знания, что тоже дорогого стоит.
Ну или следовать советам коллег. Хотя без знаний даже определённое решение выбрать будет сложно, а реализовать его ещё сложнее.
Из практики могу сказать, что 1000 хостов в одном широковещательном домене тоже не проблема (был опыт). Всё зависит от желания и мастерства.
А теперь вопросы:
1. Для какой нужды использовать резервирование?
2. Какая цель разграничения IP по кабинетам?
3. RDP по имени компа или IP, сообщённого пользователем, чем вас не устраивает?
4. Какими объёмами ОС/ПО оперируем? В AD есть возможность удалённой установки ПО, у MS есть служба развёртывания.
5. Bginfo от Марка Русиновича вполне подходит. (это уже и не вопрос вовсе)
6. Для учёта и контроля трафика есть proxy сервера. MS своё решение похерил. Опять же вопросы: какие каналы связи, уровни контроля?
Защитить локальную сеть от сторонних устройств можно используя Radius сервер. Есть штатная роль в MS Server.

В общем итоге: хочешь получить нормально настроенное и рабочее решение - приглашай специалистов. Хочешь сделать всё сам - получай знания.

Comments

[Станислав Валсинатс]

1. Для какой нужды использовать резервирование? - учет пользователей кто куда ходит.

2. объединение нескольких кабинетов VLAN в отдел.

3. Устраивает.

4. ???

5. Спасибо

6. ?? нужен ответ для гос структур - полгода назад кто то открывал такой то сайт - скажите кто. Вот зачем.

[Михаил]

1. Кто куда ходит уже давно учитывают по пользователю, ибо обойти резервацию можно запросто секунд за 30 используя маршрутизатор за 500 рублей. Можно и другими методами, но, в общем, это уже давно не проблема.
2. VLAN работает на уровне сетевых интерфесов и никакого отношения к IP не имеет. К резервации тем более.
4. Загугли. Штатно можно устанавливать через политики AD *.msi. Кроме того исполнять скрипты PS и т.д.
5. Пожалуйста.
6. Значит ставить proxy и хранить логи. Тут уже надо подбирать решение. Всегда есть варианты. Безопасность, это такая тема, о которой можно рассуждать вечно, а количество решений - бесконечно.

[Станислав Валсинатс]

Supporting,

1. Кто куда ходит уже давно учитывают по пользователю, ибо обойти резервацию можно запросто секунд за 30 используя маршрутизатор за 500 рублей. Можно и другими методами, но, в общем, это уже давно не проблема.

Выше уже подсказали решение с Опцией 82 - будем делать так, чтоб при выходе в интернет запрашивал логин-пароль доменной учетки. Раздавать определенный диапазон из DHCP будет на основе VLAN Я это имел ввиду.

А так без разницы - по пользователю или адресу будет идти учет.

Осталось разобраться с устfновкой .exe через GPO

[Михаил]

1. Если есть доменная авторизация, то нет смысла запрашивать её повторно. Это хороший путь нажить себе недоброжелателей и понизить ИБ в целом.

а. Некоторые приложения имеют инсталлятор MSI;
б. Многие приложения поддерживают установку из командной строки (можно написать скрипт);
в. Из того, что не имеет вышеперечисленных возможностей, можно сделать MSI. Начать изучение можно отсюда https://habr.com/ru/post/141719/.

[Станислав Валсинатс]

Supporting,

В чем смысл: я пришел на работу со СВОИМ ноутбуком. Воткнул в него кабель, прописал в ручную адрес , например наугад свободный. Открыл браузер и смотрю детское порно и сайты по самодельным бомбам.
Посмотрел. Ушел домой. А работодателю потом проблемы.

Как хочу - пришел Вася, воткнул кабель в ноутбук, получил адрес DHCP, открывает браузер - запрашивается пароль. Без учетки доменного пользователя интернета нет.

Если он где то и выведает, то уже будет ясно с кого спрашивать.

P.S спасибо за ссылку, буду изучать

[Михаил]

В чем смысл: я пришел на работу со СВОИМ ноутбуком. Воткнул в него кабель, прописал в ручную адрес , например наугад свободный. Открыл браузер и смотрю детское порно и сайты по самодельным бомбам.
Посмотрел. Ушел домой. А работодателю потом проблемы.

Это вопросы ИБ. Я уже предупреждал, что эта тема бесконечна! Ставь Radius, настраивай и ни один неавторизованый девайс не побеспокоит безмятежность твоей сети!

Как хочу - пришел Вася, воткнул кабель в ноутбук, получил адрес DHCP, открывает браузер - запрашивается пароль. Без учетки доменного пользователя интернета нет.

Если он где то и выведает, то уже будет ясно с кого спрашивать.

Опять же - вопросы ИБ! Есть политики подключаемых устройств, какие-то политики ИБ? Например, можно все "неизвестные" устройства запихивать в изолированную сеть, что есть правильно, ибо в открытой локальной сети возможны атаки даже с raspberry и смартфонов...

В общем тема ИБ - это отдельная область для дискуссии. И специалисты в ней достаточно дороги, как и решения.
Разберёшься, стребуешь с руководства прибавку к ЗП. :)