静的(固定)IPアドレスの使用制限方法

始めて質問します。よろしくお願いいたします。

企業内でLANを構築しています。
各PC(ほぼすべてWindows2kPro)へのIPアドレスの割り当ては、DHCPではなく固定のためIPアドレスのバッティングを避ける方法はありませんか。

192.168.xxx.2～255までの割り当て表を作成して管理していますが、ユーザーの中にはすでに他のPCに割り当てたIPアドレスを勝手に設定して使用することがあります。

先に設定していたPC(A)が起動していれば、後からは設定できないと思いますが、Aが電源オフの時には、Aが使っていたIPアドレスを使われて、いざAが電源オンして使用開始したときには、ネットワークに参加できない状態になってしまいます。

ネットワーク設定は
　・IPアドレス：192.168.xxx.2 ～　255
　・サブネットマスク：255.255.255.0
　・デフォルトゲートウェイ：192.168.xxx.1
を、各PC、プリンタ、ルータに設定しています。

以上、わかりにくいと思いますが、どうかよろしくお願いいたします。

No.5 ベストアンサー 回答者： kuma-ku 回答日時： 2005/01/25 16:20

こんにちは

□最も安価な方法
　社内への啓蒙活動をおこなう。
　社内へ無断でIPを変更したり、無断でPC を持ち込んだりしないように、社内規定を作るくらいの勢いで、上層部に働きかけてください。
　罰則規定を設けると効果的です。

□やや手間のかかる方法
　ツールを使用し、社内のNW 利用を制限したり監視する。
　ネットワークの設定変更やコントロールパネルの操作を制限するためのソフトインストールします。
　制限ソフトとしては、「窓の手」などを使い、その「窓の手」にもパスワードをかけることで、簡易的な制限をかける事はできます。
　ただし、ある程度の知識があれば外せてしまったり、PC の台数が多いと大変だったりします。。。

□お金をかけて効率よく管理
　WindowsServer2003または2000Serverでしっかり管理する。
　ドメインコントローラを使用し、LAN 内のWindows 端末のプロファイルを全てコントロールします。
　様々な制限が可能ですが、それなりの知識も必要です。

------------
◆余分なPC を社内LAN に接続させないためには

最良な方法は、社内スイッチを全てMAC アドレスフィルタリング対応のスイッチにリプレースする事です。
【ポートセキュリティ】機能を使う事で、予めスイッチのPort に登録したMAC アドレス以外のものは、接続できなくなります。
※回避方法もありますが、難易度が高いです。

対応機器例）
http://www.allied-telesis.co.jp/products/list/sw …
http://h50146.www5.hp.com/products/networks/proc …
http://www.foundrynetworks.co.jp/products/l23wir …

そのほかにも、IEEE802.3X の認証機能を用いた方法(=検疫システム)もありますが、RadiusServerなどが必要になったり、本格的なNW 設計が必要だったりします。。。

また、参考までに、LAN 内のPC を調べるツールを紹介しておきます。

参考URL：http://www.vector.co.jp/soft/winnt/net/se312004. …

この回答へのお礼

とても丁寧なご回答どうもありがとうございました。
とても、とても参考になりました。
「kuma-ku」様のご回答で知りたいことがほとんどカバーできたと思いますのでこの質問をクローズさせていただこうと思います。
　まずは、上層に働きかける、アプリケーションの導入を検討する、などじっくり検討したいと思います。
　

お礼日時：2005/01/25 16:49

No.4 回答者： GX71 回答日時： 2005/01/25 16:00

こんにちは。

少し書き方が悪かったので訂正します。
＞指定したMACが指定したIPと一致しているか・・・
と、このように書きましたが、MACアドレス・IPアドレスの
監視により重複チェックできるようである　という事です。

実際に使った事があるわけではない為、機能などについては
質問者様の方で問合せなどをして確認してみて下さい。

失礼しました。


それでは。

この回答へのお礼

補足もいただきどうもありがとうございました。
自分のネットワークの知識不足を痛感しました。
またのご質問の時にはどうかよろしくお願いいたします。

お礼日時：2005/01/25 16:52

No.3 回答者： GX71 回答日時： 2005/01/25 15:47

こんにちは。

はじめに、私 素人なので参考になるかどうか分りません。（汗

物理的な方法で制限というと厳しいかもしれませんね。
（MACアドレスも変えられますし・・・。）

一応、こu
いう製品で指定したMACが指定したIPと一致しているか
どうかを検出（重複チェック等）出来るものがあるようです。

あとは、自分でARP等を使って重複や変更を探すとかでしょうか。


それでは。

参考URL：http://www.netdoc.jp/systemwatchexe/page5.html,h …

この回答への補足

どうもありがとうございます。
下記URLたいへん参考になりました。
どうやらアプリケーションによる管理が早そうだということがわかってきました。

補足日時：2005/01/25 16:02

この回答へのお礼

どうもありがとうございました。
とても参考になりました。
こちらが避けたかったのは正に『IP重複』URLのようなことでした。
　『この回答は参考になった』マークがグレーアウトしてクリックできません。
　とても参考になってクリックしたいのですが・・・。
　何か方法をご存知でしたら教えていただけますか。

お礼日時：2005/01/25 16:07

No.2 回答者： juump 回答日時： 2005/01/25 13:29

どこかのサイトに、ユーザーがPCの設定を変えられないようにする方法が載っていたと思います。

その上でアドミニストレーターにパスワードを掛け、レジストリも設定できないようにする方法があったと記憶しています。
私は個人ですので、複数のPCでもパスワードは掛けていませんが、上記の方法で、特定の用途しか使用できないようにできたと思います。
あいまいで申し訳ありませんが、サイトを探してみてください。どなたかがUPされていると思います。

この回答へのお礼

早速のご回答どうもありがとうございます。
確かに個々のPCにIPアドレスを変更できないように設定をするというのはたいへん有効かと思います。
参考にいたします。
ただ、IPアドレスの設定がわかっているものが、自分のノートPCなどを持ち込んで、IPアドレスからサブネットマスク、デフォルトゲートウェイ、DNSサーバ、PC名などの情報をすべて同じにしてしまいネットワークに参加してしまうのを何とか防ぎたいと考えています。
もし、良い方法がありましたらまた教えていただけますでしょうか。
よろしくお願いいたします。

お礼日時：2005/01/25 13:47

No.1 回答者： rmz1002 回答日時： 2005/01/25 13:16

うーんこれは「しないよう教育していく」しかないでしょう。

元々のアドレスを変更するからには、そのユーザは「なにからしらIPが分かるとこまるような事」をしているのだと思われます。
また、普通の業務ではそんな必要はありませんから、「私的にやっている」のだと推測されます。
要は、「業務をサボっている」ということです。

ログから該当端末を絞り込み、会社の上層部に申告すればそれ相応の対応をしてくれるでしょう。

この回答へのお礼

早速のご回答どうもありがとうございました。
自分のPCを企業内に持ち込んで、勝手にネットワークに参加されるのをなんとか防ぎたいのですが、確かに人的な教育が先決だと思います。
それとは別に物理的なブロックをかけられれば好いのですが。

お礼日時：2005/01/25 13:50