Der DHCP Server von Microsoft Windows bringt von Haus aus ein oft unbeachtetes Feature mit: den DHCP Filter. Auch wenn das Aussperren von bestimmten MAC-Adressen keine Sicherheit bringt, so lässt sich diese Funktion auch sehr gut für andere Zwecke nutzen.

Den DHCP Filter verwenden unter Windows Server

Im Artikel DHCP Server installieren habe ich bereits beschrieben, wie Du einen DHCP Server unter Windows Server einrichten und konfigurieren kannst. Der DHCP Server bietet aber noch weitere nützliche Features. Eines davon ist der DHCP Filter. Mit der Verwendung des DHCP Filters kannst Du steuern, welche Computer eine IP-Adresse vom DHCP Server erhalten und welche nicht.

Genauer gesagt, legst Du damit fest, welche MAC-Adressen die DHCP-Dienste nutzen dürfen. Zwei Filter stehen dabei zur Verfügung:

  • Zulassen: Ist dieser Filter aktiv, werden Anfragen an den DHCP Server nur von den hier eingetragenen MAC-Adressen beantwortet.
  • Verweigern: Die hier hinterlegten MAC-Adressen erhalten keine Antwort vom DHCP Server, sofern dieser Filter aktiviert ist.

Standardmäßig sind diese Filter deaktiviert. Das bedeutet, dass der fertig konfigurierte DHCP Server von Haus aus alle Anfragen annimmt. Alle anfragenden Clients bekämen eine IP-Adresse zugewiesen.

Den DHCP Filter verwenden unter Windows Server
Der DHCP Filter ist per Standard nicht aktiv. Zu erkennen an dem kleinen roten Pfeil.

DHCP Filter aktivieren

Mittels Rechtsklick auf Zulassen oder Verweigern kann der jeweilige Filter aktiviert, bzw. wieder deaktiviert werden. Und das funktioniert unabhängig voneinander. Das heißt, ich kann den Filter Verweigern aktivieren, während ich den Filter Zulassen nicht verwende. Diese Option bringt den Vorteil, dass ich generell allen neuen Clients die Verbindung zum DHCP Server gestatte, außer denen die in der Verweigern-Liste eingetragen sind.

Letzteres ist dann sinnvoll, wenn ich mehrere DHCP-Server in unterschiedlichen Subnetzen im Einsatz habe. Um zu verhindern, dass sich ein Client durch falsches Patchen einer Netzwerkdose mit dem falschen Netzwerk verbindet, könnte ich dessen MAC-Adresse einfach ein den Verweigern-Filter eintragen. Dadurch würde der Client einfach keine Adresse aus dem Netzwerk bekommen, sollte er versehentlich mal mit diesem verbunden werden.

Wer die komplette Kontrolle über seinen DHCP Server haben möchte, der kann beide Filter aktivieren und die Vergabe der IP-Adressen durch das Freischalten, bzw. Sperren der MAC-Adressen exakt steuern. Allerdings solltest Du immer im Hinterkopf behalten, dass dies Dein Netzwerk nicht vor unberechtigtem Zugriff schützt. MAC-Adressen lassen sich leicht fälschen und gegen fest eingetragene IP-Adressen am Client hilft auch kein DHCP Filter.

DHCP Filter Verweigern von MAC Adressen
Durch das Aktivieren des Filters Verweigern lassen sich explizit MAC-Adressen von der Verteilung der IP-Adressen ausschließen.

Ebenfalls interessant:

Dieser Artikel ist wie alle anderen auf dieser Seite kostenlos für Dich und ich hoffe, ich konnte Dir weiterhelfen. Wer möchte, kann diesem Blog eine kleine Aufmerksamkeit in Form einer kleinen Spende (PayPal) oder über die Amazon Wunschliste zukommen lassen.