В Windows Server 2008 R2 появилась новая возможность, позволяющая разрешать или запрещать определенным MAC адресам использование корпоративного DHCP сервера. Данная возможность предназначена для того, чтобы запретить неизвестным устройствам получение ip адреса и других настроек с сервера DHCP, реализуется эта возможность путем создания списка запрещенных адресов (Block List) и/или разрешенных адресов (Allow list). В Windows 2003 Server такая функция отсутствовала, но ее можно было реализовать при помощи сторонних расширений (подробности в статье Фильтрация по МАС в DHCP на Windows Server 2003 ).
Включаем DHCP фильтрацию
Открываем консоль DHCP и в свойствах (Properties) узла IPv4, переходим на вкладку Фильтры (Filters). Отмечаем опцию «Enable Deny List» и OK.
Примечание: будьте внимательны, не активируйте опцию «Enable Allow list»! В этом случае ваш DCHP сервер перейдет в режим “Whilelist”, что означает необходимость создания списка адресов (Allow List) со списком всех MAC адресов, которые смогут получать настройки от этого сервера DHCP. По-умолчанию, DHCP фильтрация работает в режиме “Blacklist”, это означает, что все MAC адреса могут обслуживаться этим DHCP сервером, за исключением тех, которые непосредственно указаны в списке запрета Deny List.
Управление списком Deny List, добавление MAC адресов
MAC адреса сетевых устройств вручную добавляются и удаляются из консоли DHCP, в элементе Filters->Deny.
В том случае если в фильтры, необходимо добавить MAC устройства, которое уже получило ip адрес (lease), щелкаем по нему правой клавшей и выбираем пункт «Add to Filter».
Мониторинг активности DHCP
Открываем пустую консоль MMC и добавляем оснастку “DHCP Server Extras”. При помощи этой оснастки можно просмотреть историю DHCP запросов, которые попали под один из фильтров (Block или Allow). В консоли “DHCP Server Extras” можно просмотреть и другие события DHCP сервера.
Примечание: консоль DHCP Server Extras – не входит в стандартную поставку, скачать ее можно с сайта Microsoft DHCP Team Blog.
Рекомендую познакомится еще с одной интересной и полезной функцией DHCP, предназначенной для построения отказоустойчивой службы DHCP, которая описана в статье Разделение областей DHCP в Windows Server 2008 R2
Думаю, это уже можно перенести в рубрику https://winitpro.ru/index.php/category/dhcp/
Всем привет!
У меня правда Windows Server 2012 R2…
В общем добавил MAC-адрес в фильтр Deny, а компьютер всё равно получает адрес и спокойно работает.
Пробовал на виртуальной машине в домене, в не домене и на ноутбуке подключенный к Wi-Fi, картина везде одинаковая, машины получают адрес с небольшой задержкой после того, как добавляешь их в фильтр Deny.
Консоль DHCP Server Extras не смог загрузить, так как ссылка не рабочая.
Подскажите, пожалуйста, в чем может быть проблема, почему машины получают без проблем IP-адреса, хотя по логике вещей не должны.
В каком формате MAC адрес задаете? там вроде бы одной строкой без пробелов и разделителей. Просто 12 символов.
А Я из списка «Арендованные адреса» добавлял, правой кнопкой мыши и т.д.
В фильтр они добавились с дефисами (00-00-00…)
Попробовать убрать дефисы?
Попробовал Я вписать MAC без дефисов, но после нажатия кнопки ОК, дефисы сами появляются.
Если на хосте выполнить команду ipconfig /release IP освобождается, и команда ipconfig /renew уже не поможет. Но если выключить и включить сетевой адаптер, то хост снова получает адрес.
По факту фильтр не работает.
Если есть другие идеи, как «исключить» хост из сети, поделитесь пожалуйста.