实用配置 让DHCP服务器兼顾高效与安全
DHCP是非常高效的IP管理方案,所以在具有一定规模的局域网中都会部署DHCP服务器,而基于Windows Server 2008平台的DHCP服务器应该是大家是首选。不过,默认配置下其潜能并没有完全发挥出来。本文将和大家分享,使Windows Server 2008下的DHCP服务器兼顾高效和安全的几个配置项。
1、配置审核对DHCP实施监视
对DHCP服务启用审核其好处是显而易见的,管理员可以通过日志文件监视DHCP的工作和请求情况。在Windows Server 2008中虽然可以分别为IPV4和IPV6启用配置记录,不过默认情况下,这两个协议会使用同一个日志文件。我们知道DHCP的日志文件默认保存在
%SystemRoot%\System32\Dhcp目录下,在此可以针对一周或者每一天找到其对于的日志文件。例如星期一的日志文件为DhcpSrvLogMom.log。当启动DHCP服务器服务,后新的一天开始后,日志文件就会被写入一条标题信息。标题信息对DHCP事件和信息提供了概括性的描述。在标题信息后面是和DHCP服务器有关的实际事件日志,事件ID和描述都会同时被记录下来。
正常情况下,审核记录默认会被启用。如果希望查看或者更改设置记录,那么就需要在DHCP控制台中进行。展开目标服务器节点,用鼠标右键单击想要处理的绑定的IPV4或IPV6子节点,选择“属性”命令随后就会打开其属性对话框。在“常规”选项卡中选中或者反选“启用DHCP审核记录”复选框即可启用或禁止该功能。随后,切换到“高级”选项卡下,在“审核日志文件路径”文本框中显示了日志文件的默认保存位置,我们可以根据实际需要输入新的保存位置,或者单击“浏览”按钮指定,设置完毕后单击“确定”即可。需要说明的是,如果更改了审核日志文件的位置,Windows Server 2008需要重新启动DHCP服务器服务。这样,我们就完成了对DHCP审核的启用和日志文件的指定,如果DHCP出现问题或者我们要排错时就可以通过事件日志进行分析了。(图1)
图1
2、将DHCP服务器服务和网络接口绑定
DHCP服务器服务会自动绑定给服务器上的一块网卡,这就意味着DHCP服务器服务需要使用这个网络接口的IP地址和TCP/IP配置和其他客户端通信。在某些情况下,DHCP服务器服务可能没有绑定给任何网络接口,或者绑定了某个并不想使用的网络接口。为了解决此类问题,我们需要将DHCP服务器服务绑定给特定的网络接口。
在DHCP控制台中展开目标服务器节点,用鼠标右键单击需要配置的IPV4或IPV6子节点,然后从弹出的快捷菜单中选择“属性”命令。在IPV4或IPV6的属性对话框的“高级”选项卡下单击“绑定”按钮,打开绑定对话框,这个对话框中显示了该DHCP服务器上所有可用的网络连接。如果希望DHCP服务器服务使用特定连接为客户端提供服务,那么就选择要使用的连接。如果不希望服务器使用某个连接,将其反选即可。(图2)
图2
3、将DHCP和DNS整合
通过使用DNS动态更新协议,所有运行Windows 2000及以后版本的操作系统的DHCP客户端可以将自己的DNS转发和反向查询记录进行自动更新,或可以让DHCP服务器代为进行该操作。如果客户端运行的是Windows 2000之前的操作系统,则无法自动更新自己的记录,但DHCP可以代为更新。在这两种情况下,如果要求DHCP赋权更新DNS记录,我们可将DHCP和DNS进行整合即可。
在默认配置的DHCP环境中,只有受到请求,DHCP赋权才会应答自动为客户端更新DNS记录,但无法为运行早于Windows 2000的操作项他的客户端更新记录。我们可以为所有DHCP服务器进行全局修改,或者修改特定DHCP赋权的设置,以便设置给行为。要更改全局的DNS整合设置,可在DHCP控制台台中,展开目标服务器节点,用鼠标右键单击IPV4子节点,然后从弹出的快捷菜单中选择“属性”命令。切换到属性对话框的NDS选项卡下,选中“为不请求更新的DHCP客户端动态更新DNS A和PTR记录”复选框,其他选项可使用默认设置。如果需要根据特定的作用域修改设置,则需要展开目标服务器上的IPV4节点,用鼠标右键单击对应的作用域子节点,然后从弹出的快捷菜单中选择“属性”命令。切换到DNS选项卡下,其设置方法和上面的一样。(图3)
图3
4、将DHCP和NAP整合
网络访问保护(NAP)可用于保护网络不受不被无法满足安装机制需求的客户端的威胁,将NAP和DHCP整合这无疑会提升DHCP的安全。实现它们之间的整合最简单的方法是将DHCP服务器设置为网络策略服务器。为此,需要安装网络策略控制台,在服务器上为NAP和DHCP的整合配置策略,然后针对DHCP启用NAP,这样就可以对所有使用DHCP的计算机用NAP。下面是实现步骤:
使用添加功能向导在希望用于网络策略服务器的计算机上安装网络策略控制台。安装完成后,在网络策略控制台中,从控制台树中选择“NPS(本地)”节点,然后单击助窗格中的“配置NAP”链接,随后可以启动配置NAP向导。在“网络连接方法”下拉列表中选择“动态主机配置协议(DHCP)”作为要在网络NAP客户端上部署的连接方法,该策略的默认名是“NAP DHCP”。单击“下一步”在“指定NAP强制服务器运行DHCP服务器”界面中,根据向导选择添加网络中所有的远程DHCP服务器。设置完毕后进入“指定DHCP作用域”界面,在此可以设置策略应用的DHCP作用域。如果不指定作用域,该策略将会应用于所选DHCP服务器上所有启用了NAP的作用域中。(图4)
图4
在“指定NAP更新服务器组和URL”界面中,选择一台更新服务器,或单击“新建组”按钮自定义用于处理更新的更新服务器组。更新服务器会用于保护NAP客户端需要的软件更新,在提供的文本框中,输入能够给用户提供有关如何让自己的计算机满足NAP健康策略要求的网页URL。确保所有DHCP客户端都可以访问该URL后,单击“确定”按钮。在“定义NAP健康策略”界面中,使用提供的选项决定NAP健康策略的工作方式。在大多数情况下,我们使用默认设置即可。对于默认设置,不符合NAP设置的客户端会被拒绝访问网络,而符合NAP设置是客户端会被检查遵从性并自动更新,这样这些客户端就可以在使用的时候获得需要的软件更新。这样就完成了DHCP和NAP的整合设置。(图5)
图5
5、在DHCP服务器上启用冲突检测
大家知道在同一个子网中不能有两台计算机使用同样的IP地址,因为这样会造成IP冲突,其结果是一台或者两台计算机从网络断开。为了防止发生这样的问题,我们需要在DHCP服务器上启用冲突检测,这样可以让客户端通过ping的方式检查自己获得的IP地址。如果客户端检测出分配给自己的IP地址已经被其它计算机使用,那么该客户端就会发给DHCP服务器一条失效消息,服务器会将自己DHCP数据库中的这个地址标记为“已损坏”,然后给客户端重新分配租约。
但是这个过程比较长,为了加快这个过程的速度,我们可以配置DHCP服务器在分配IP地址给客户端之前即执行冲突检测工作。在启用冲突检测功能后,大致的流程比较类似,不过这个过程是由DHCP服务器来完成的。要在DHCP中配置冲突检测,在DHCP控制台中展开目标服务器节点,用鼠标右键单击IPV4子节点,然后从弹出的快捷菜单中选择“属性”命令。在“高级”选项卡下,给“冲突检测次数”选项设置一个非0值即可。当然,我们也可以在命令提示符下完成,其命令格式是“netsh dhcp server ServerID set detectconflictretry Attempts”,其中ServerID是目标DHCP服务器的名称或IP地址,而Attempts是服务器要进行的冲突检测次数。例如我们可执行“netsh dhcp server 192.168.1.100 set detectconflictretry 5”命令,就会设置IP地址为192.168.1.100的DHCP服务器的冲突检测次数为5。在设置完成后,我们可以执行命令“netsh dhcp server 192.168.1.100 show detectconflictretry”以检测设置是否成功。(图6)
图6
6、保存和还原DHCP配置信息
在完成对DHCP服务器的配置后,我们可以将配置信息保存起来,这样当DHCP配置错误或者需要重新配置时我们就可以快速地将其还原到正常状态,或者在其它服务器上使用同样的配置。我们可以在命令提示符下输入命令“netsh dhcp server dump ServerID >SaveFile”,其中ServerID的DHCP服务器的名称或者IP地址,SaveFile是要保存DHCP配置的文件名称。如果时本地登录可以忽略服务器名称和IP地址,直接输入命令“netsh dhcp server dump >DhcpConfig.dmp”。要还原配置可输入命令“netsh exec SaveFile”,其中SaveFile是保存DHCP配置的文件,例如“netsh exec dhcpConfig.dmp”即可。(图7)
图7
总结:优化DHCP服务器配置,不仅要知道怎么做还要知道为什么这么做,希望本文的原理分析和实例操作能够对大家有帮助。