11.Установка и настройка dhcp-сервера.

При администрировании службы DHCP, прежде всего, следует решить, сколько серверов должно быть установлено в сети и в каком месте каждый из них должен быть размещён. Один сервер DHCP может обслуживать очень большое кол-во клиентов. Поэтому, фактором, который определяет кол-во серверов, является желаемый уровень надежности системы DHCP в целом.

В немаршрутизированной локальной сети сервер устанавливается в каждой из подсетей. В сети с маршрутизатором, наряду с основным сервером, м.уст. дополнительный. Если установлено 2 сервера, то для повышения надежности их работы, DHCP-серверы следует устанавливать в разных сетевых сегментах, и в некоторых случаях, их наделяют различными поддиапазонами IP-адресов, из общего диапазона.

Рассмотрим процедуру обслуживания DHCP-сервера клиентов из нескольких подсетей. Для передачи запросов клиента из одной подсети в другую требуется, чтобы маршрутизатор был установлен в режим релейного агента, т.е. обладал возможностью передачи широковещат. сообщений.

Сервер DHCP

<-192.168.1.5

Клиент DHCP, принадлежащий сети 192.168.2.0 отправляет широковещат. запрос DHCPDISCOVER серверу DHCP. Поскольку отправленный пакет является широковещат., он обрабатывается всеми хостами данной подсети, в т.ч. одним из интерфейсов маршрутизатора, например, с адресом 192.168.2.1. Ретранслятор, работающий в режиме релейного агента, принимает решение о пересылке пакета в подсеть 192.168.1.0. При этом в пакете, по умолчанию, адрес клиента, указанный в заголовке пакета, заменяется на адрес шлюза 192.168.2.1. Далее пакет пересылается серверу DHCP от адреса 192.168.1.17 шлюза маршрутизатора, включенного в подсеть 192.168.1.0. Получив пакет, сервер DHCP анализирует IP-адрес, указанный в заголовке пакета. Основываясь на данной информации, сервер определяет, может ли он обслужить клиента из данной подсети, т.е. является ли он владельцем области действия для данной подсети. Если необходимое на сервере имеется, он генерирует ответный пакет DHCPOFFER, который посылается на адрес 192.168.1.17 и пересылается на адрес 192.168.2.1. Далее маршрутизатор пересылает ответ сервера клиенту. Аналогично транслируются пакеты DHCPREQUEST и DHCPSACK.

12.Авторизация серверов dhcp.

В крупной корпоративной сети с целью обеспечения отказоустойчивости м.б. установлено несколько серверов DHCP. При этом администратор не всегда имеет возможность проследить за тем, как IP-адреса выдаются клиентам. Если диапазоны выделяемых серверами IP-адресов одинаковы, возможно выделение одинаковых IP-адресов разным клиентам, что приводит к их неправильной конфигурации.

Возможны случаи, когда дополнительный DHCP-сервер устанавливает лицо, не имеющее на это право. Несанкционированная установка DHCP-сервера м.б. продиктована 2мя причинами:

1. стремлением вызвать саботаж

2. желанием повысить эффективность работы подсети

Теоретически, злоумышленник может установить в сети и любые другие службы, но, ни одна из них не способна принести столько вреда, сколько лишний сервер DHCP.

Для того, чтобы предотвратить несанкционированную установку DHCP-сервера, каждый из установленных серверов д.б. авторизован. Осуществление контроля за авторизацией реализуют сами DHCP-серверы.

Служба DHCP-сервера при запуске обращается к списку IP-адресов авторизованных серверов DHCP. Данный список создается администратором с помощью службы каталога (для Windows 2000 и выше данный список размещён в службе глобального каталога Active Directory).

Чтобы авторизовать сервер DHCP в Active Directory необходимо выполнить следующие действия:

1. подключиться к системе с использованием учетной записи, входящей в состав группы администратора предприятия Enterprise Administration

2. открыть консоль DHCP и выбрать на ней пункт DHCP.

3. в меню Action (Действие) выбрать Managed authorized servers (Список авторизованных серверов)

4. ЩЛКМ по надписи Authorize server (Авторизовать сервер)

5. ввести IP-адрес DHCP-сервера, который требуется авторизовать. ЩЛКМ OK.

Чтобы убедиться в том, что сервер действительно авторизован в Active Directory, необходимо открыть консоль Active Directory->Сайты и службы, и посмотреть контейнер Configuration (Конфигурация), который размещён в папке \Configuration\Services\Net Services. Если служба DHCP не обнаружит своего IP-адреса в списке авторизованных серверов, то её работа приостанавливается.

Данный механизм защиты не поддерживают ранние ОС, напр.,Windows NT. Начиная с Windows 2000, реализована новая концепция управления, в которой администратор часть своих полномочий, касающихся обслуживания работы сервера DHCP, может передать определенным пользователям:

1. группа администраторов DHCP. Человек этой группы имеет полный доступ к настройкам серверов DHCP. В корпоративных сетях, насчитывающих десятки тысяч компьютеров, это позволяет снизить нагрузку на администратора путем передачи прав управления серверами DHCP определенной группы пользователей

2. группа пользователей DHCP. Члены этой группы имеют право только на чтение информации, содержащейся в БД серверов DHCP. При этом они не имеют возможности изменять конфигурацию сервера и добавлять в сеть дополнительный сервер DHCP.