Lösung: Eine neue Funktion in Windows Server 2008 R2 ist die MAC-Filterung des DHCP-Servers. Diese Funktion steuern Sie in der DHCP-Konsole über den Menüpunkt IPv4/Filter. Der Filter ermöglicht spezielle Zulassungsfilter und Verweigerungsfilter. Mit der Liste können Sie sicherstellen, dass speziell festgelegte Geräte eine DHCP-Adresse erhalten, oder dass bestimmte Geräte blockiert werden und keine Adresse durch den DHCP-Server erhalten. Sie können weiße Listen erstellen, bei denen kein Gerät eine IP-Adresse erhält außer den Geräten auf der Liste und Sie können schwarze Liste pflegen.
Im Gegensatz zu weißen Listen, blockieren schwarze Listen nur die Geräte auf der Liste, alle anderen Geräte erhalten vom DHCP-Server eine Adresse zugeteilt. Standardmäßig ist der DHCP-Server für eine schwarze Liste konfiguriert, enthält aber keine MAC-Adressen, die er blockiert. Die MAC-Adressen können Sie über die grafische Oberfläche manuell eingeben, oder mit Platzhaltern einen ganzen Bereich blockieren. Alternativ können Sie Listen aber auch über das Kontextmenü einzelner Leases des Servers pflegen. Eine weitere Möglichkeit ist das Importieren einer Textdatei. Klicken Sie mit der rechten Maustaste auf einen Rechner unter Adressleases eines Bereiches, können Sie den Rechner mit Zu Filter hinzufügen zu einem der Filter hinzufügen. Anschließend sehen Sie die Rechner innerhalb des Filters. Die Filter sind standardmäßig deaktiviert, wollen Sie diese aktivieren, können Sie das über das Kontextmenü erledigen.
Sobald Sie eine MAC-Adresse im Verweigerungsfilter aufgenommen haben und der Filter aktiv geschaltet ist, erhält dieses Gerät keine IP-Adresse mehr von diesem DHCP-Server. Aktivieren Sie den Filter Zulassen, blockiert der DHCP-Server alle Anfragen, außer den MAC-Adressen, die im Zulassungsfilter aufgenommen sind. Aktivieren Sie beide Filter, vergibt der DHCP-Server auch dann nur Adressen an Rechner, die in der Zulassungsliste enthalten sind, mit Ausnahme von Geräten deren MAC-Adresse in der Verweigerungsliste stehen. Klicken Sie mit der rechten Maustaste auf den Bereich IPv4 in der DHCP-Konsole, können Sie auf der Registerkarte Filter weitere Einstellungen vornehmen.
Hilfreiches Microsoft-Tool
Sie können auch mit dem Zeichen * bei der Eingabe des Filters arbeiten. Haben Sie eine Liste von MAC-Adressen, die Sie in die Filter aufnehmen wollen, können Sie das kostenlose Zusatzprogramm von Microsoft mit der Bezeichnung MAC Filter Import Tool verwenden. Die Syntax in der Textdatei sieht folgendermaßen aus:
MAC_ACTION = {ALLOW}000b21ffe430 # Client01000b21ffd260 # Client02000b21ffe330 # Client03000b23ffd260 # Client04
Nachdem Sie auf Import geklickt haben, sind die MAC-Adressen Bestandteil der entsprechenden Filterliste. Neben der Konfiguration mit der grafischen Oberfläche, können Sie die Filterlisten in der Befehlszeile pflegen. Dazu nutzen Sie das Tool netsh.exe. Die Aktivierung der Listen erfolgt nach folgender Syntax:
netsh dhcp server v4 set filter [enforceallowlist=1|0] [enforcedenylist=1|0]
Wollen Sie zum Beispiel die zulassungsliste aktivieren, verwenden Sie den Befehl
netsh dhcp server v4 set filter enforceallowlist=1
Um MAC-Adressen zu den Listen hinzuzufügen, verwenden Sie den Befehl
netsh dhcp server v4 add filter allow|deny mac-address ["comment"]
Ein Beispiel dafür wäre:
netsh dhcp server v4 add filter allow 01-1b-23-de-db-61 "client01"
Produkte: Dieser Tipp betrifft Microsoft Windows Server 2008 R2. (mje)