Новое в DHCP в Windows 2000
Определение неавторизованных серверов DHCP
Сервер DHCP корпорации Microsoft, используемый в Windows 2000, разработан для предотвращения конфликтов при назначении адресов, выдаваемых неавторизованными серверами. Это позволяет избежать проблем, возникающих в случае создания пользователями неавторизованных серверов DHCP, которые, в свою очередь, могут выдавать неверные IP-адреса для других клиентов в сети. Например, пользователь мог бы создать локальный сервер DHCP, выдающий не уникальные адреса, которые неумышленно могли бы взять в аренду клиенты, запрашивающие адреса в этой сети.
Это является одной из причин сокращения до минимума числа развернутых серверов DHCP, как это описано далее в разделе Советы и рекомендации. Конечно, такие события наиболее вероятны, когда кем-то установлен другой сервер, уже активный в сети.
В Windows 2000 сервер DHCP имеет возможность управления, предотвращающую неавторизованное развертывание, а также определение существующих неавторизированных серверов DHCP. В прошлом, любой мог установить DHCP-сервер в сети, а в настоящее время требуется этап авторизации. Персоналом, производящим авторизацию обычно является администратор домена, в который входит Windows 2000 Server, либо иной пользователь, кому делегированы задачи по управлению серверами DHCP.
Защита от неавторизованных серверов DHCP
Для хранения записей об авторизованных серверах DHCP используется служба каталогов Active Directory. При развертывании сервера DHCP служба каталогов может быть использована для проверки состояния этого сервера. Если сервер не авторизован, он не может возвращать ответы на запросы DHCP. На это должен среагировать сетевой администратор с достаточными правами доступа. Администратор домена может назначить права доступа к папке, содержащей конфигурационные данные DHCP, для разрешения только авторизованному персоналу добавлять серверы DHCP в утвержденный список.
Список авторизованных серверов может быть создан в службе каталогов Active Directory посредством оснастки DHCP. При первоначальном запуске сервер DHCP пытается определить, имеется ли этот раздел в каталоге домена. Если это так, сервер пытается обратиться к службе каталогов для определения принадлежности сервера списку авторизованных серверов. Если сервер авторизован, то он рассылает сообщение DHCPINFORM чтобы определить, присутствуют ли в сети другие работающие службы каталогов и выяснения, может ли он быть применен и для них.
Если серверу не удается подключиться к службе каталогов, то он предполагает, что он не авторизован и не отвечает на запросы клиентов. Аналогично, если сервер обнаруживает службу каталогов, но не находит себя в списке авторизованных серверов, он не будет отвечать на запросы клиентов. Если же сервер находит себя в списке авторизованных серверов, он начинает обслуживание запросов клиентов.
Защита от неправильного использования серверов DHCP в рабочей группе
Когда сервер DHCP не принадлежит домену (является членом рабочей группы), при его запуске происходит следующее: сервер отправляет широковещательное сообщение DHCPINFORM в сеть. Другие серверы, которые получают это сообщение, отвечают на него сообщением DHCPACK и предоставляют имя домена службы каталогов, к которому они принадлежат. Если сервер DHCP рабочей группы находит в сети другой сервер DHCP, принадлежащий домену, сервер DHCP из рабочей группы предполагает, что он не является авторизованным в данной сети и не обслуживает запросы. Если DHCP-сервер рабочей группы обнаружит присутствие другого сервера из рабочей группы, то последний будет проигнорирован. Это означает, что вероятно одновременно активны несколько серверов рабочей группы, а также то, что отсутствует служба каталогов.
Даже когда сервер из рабочей группы запускается и не находит препятствий для своей работы (поскольку отсутствуют другие сервера в домене или сервера из рабочей группы в сети), он продолжает отправлять сообщение DHCPINFORM каждые пять минут. Если позднее появится другой авторизированный сервер DHCP член домена, сервер рабочей группы определит себя неавторизованным и прекратит обслуживание клиентов.