DHCP サーバーも常に管理が必要です.
今回は特定の端末へのアドレス配布を拒否するためのフィルターを二種類解説します.
サーバー全体で拒否する方法と,特定のスコープで拒否する方法です.
- DHCP に関するお話
- Windows Server – DHCP サービス (DHCP とは)
- Windows Server – DHCP サービス (DHCP の冗長方式)
- Windows Server – DHCP サービス (DHCP の冗長化方式 – ホットスタンバイモード)
- Windows Server – DHCP サービス (DHCP の冗長化方式 – 負荷分散モード)
- Windows Server – DHCP サービスの導入と構成
- Windows Server – DHCP フェイルオーバーの構成 (ホットスタンバイモード)
- Windows Server – DHCP フェイルオーバーの構成 (負荷分散モード)
- Windows Server – DHCP サーバーの管理 (1)
- Windows Server – DHCP サーバーの管理 (2)
DHCP サーバーのフィルター (拒否のフィルター)
ある端末への DHCP アドレス配布を拒否したい場合にフィルターを利用して制御することができます.
ここで説明する方法は複数のスコープに関係なく,全体的にアドレスの配布を拒否します.
逆に,登録した端末にだけ配布する.というフィルターもありますが,ちょっと現実的ではないと思いますのでここでの説明は省略します.方法はここで説明するものとほぼ同一です.
「フィルター」の「拒否」を選択,右クリックでメニューを表示し「新規のフィルター」をクリックします.
拒否したい MAC アドレスおよび説明にわかりやすい名前を入力して「追加」をクリックします.
今回は「拒否」が優先されることを確認するため,前回「予約」を設定した端末を「拒否」に登録しています.
登録されて一覧に表示されたことを確認して「閉じる」をクリックします.
「フィルター」はスコープの範囲外の設定ですので,もう一方のサーバーにも同様の設定が必要となります.
「フィルター」の「拒否」を選択,右クリックでメニューを表示し「新規のフィルター」をクリックします.
拒否したい MAC アドレスおよび説明にわかりやすい名前を入力して「追加」をクリックします.
登録されて一覧に表示されたことを確認して「閉じる」をクリックします.
「許可」および「拒否」アイコンを注意深く見て頂くとわかるのですが,赤色の下矢印がついています.これは「無効」をあらわしており,登録したフィルターが機能していません.
「拒否」を選択,右クリックでメニューを表示し「有効にする」をクリックします.
もう一方のサーバーも同様に「有効にする」を実行します.
端末で IP アドレスの取得を試みます.このように要求がタイムアウトしました.とアドレスの配布が行われないことが確認できます.
特定のスコープでのフィルター処理
先の例はスコープの範囲を超えてサーバー全体に対しての設定となりました.場合によっては,通常は IP アドレス配布を許可,特定のスコープの場合にのみ拒否したいというシチュエーションはあるかもしれません.
例えば,無線は許可するけど有線接続は拒否する.だったり,逆のパターンだったり.特定の部屋では繋がせないなど.
本来は DHCP サーバーだけではなく,L2 Switch と連携して行う方法が一般的ではありますが,DHCP サーバーだけでできる範囲を紹介します.
はじめに,上で実施した「拒否」フィルターを削除します.(2台のサーバーで実施します)
拒否フィルターに登録されている設定を選択,右クリックでメニューを表示し「削除」をクリックします.
削除の確認が促されますので「はい」をクリックします.
適用したいスコープを開いてポリシーを選択,右クリックでメニューを表示し「新しいポリシー」をクリックします.
ウィザードが起動しますので,ポリシー名,説明を入力して次へをクリックします.
ポリシー名はわかりやすい名前をつけましょう.
条件の構成画面が表示します.今は何もない状態ですので「追加」をクリックします.
条件を設定する画面に移動します.
- 条件 は以下が選択可能です
- ベンダークラス
Option 60 のベンダー識別子.Windows の場合は MSFT 5.0 などの値 - ユーザークラス
Option 77 のユーザー識別子.PXE などで用いられる - MACアドレス
DHCP リクエストを送信してきた MAC アドレス - クライアント識別子
Option 61 のクライアント識別子.Windows の場合は MAC アドレス - 完全修飾ドメイン名
Option 81 の FQDN. - リレーエージェントの情報
DHCP リレーエージェントの IP アドレス
- ベンダークラス
- 演算子
- 等しい
イコール.マッチさせる際に利用 - 次の値と等しくない
ノットイコール.マッチさせたくない場合に使用
- 等しい
- 値
条件で指定した内容に合わせた値
今回は特定の端末を除外したい.の為,単純に します.
条件設定がややこしいですが,この MAC アドレス以外へは IP アドレスを配布する.というルールを設定するため,次のようになります.
MAC アドレスを条件として,値に該当の端末の MAC アドレスを入力します.演算子はこの MAC アドレス以外なら IP アドレスを配布とするため「次の値と等しくない」を選択します.
設定した内容はこのとおりになります.確認のうえ「OK」をクリックします.
他に除外したい端末がいたら MAC アドレスを追加することも可能です.
前の画面に戻ります.追加の条件などがあれば追加可能です.今回は追加条件はないので「次へ」をクリックします.
このポリシーにマッチした際に配布するアドレス帯を設定する必要があります.
ここで「いいえ」を選択すると,スコープで設定したアドレスも利用されなくなり,結果として全端末へのアドレス配布が行われなくなります.
今回はマッチした端末以外へは通常通り配布を行いたいため「現在のスコープの IP アドレス範囲」をそのまま「開始 IP アドレス」「終了 IP アドレス」に入力して「次へ」をクリックします.
DHCP オプションとして別途定義することが可能です.ここは未指定の場合はスコープのオプションが採用されます.
アドレスを配布しない.が目的なのでここは何も弄らずに「次へ」をクリックします.
確認画面が表示されますので条件設定を確認し「完了」をクリックします.
スコープに対してのポリシー設定ですので,レプリケート可能です.
スコープを選択,右クリックでメニューを表示し「スコープのレプリケート」をクリックします.
スコープがレプリケートされたことを確認して「閉じる」をクリックします.
端末で状態を確認してみます.
ですが,IP アドレスが振られてしまいました.これは「予約」を設定しているからとなります.
該当スコープの「アドレスのリース」より,予約アドレスを選択,右クリックでメニューを表示して「削除」をクリックします.
確認が促されますので「はい」をクリックします.
予約を削除したため,改めてスコープ情報のレプリケートを行います.
スコープを選択,右クリックでメニューを表示し「スコープのレプリケート」をクリックします.
レプリケートが成功した事を確認して「閉じる」をクリックします.
改めて IP アドレスの取得を試みます.取得できないことが確認できます.
以上,2種類のフィルターの解説でした.
DNS の動的更新のお話に進みたいのですが,そうなると DNS のお話を先にしなければなりませんので,次回以降は DNS について触れていきたいと思います.
コメント