Авторизация DHCP сервера и устранение проблем
Обновлено 17.04.2019
Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org. Ранее мы с вами говорили про принципы работы DHCP протокола и разбирали его поэтапно. В сегодняшней заметке, мне бы хотелось осветить вопрос по защите и безопасности DHCP сервера, и речь пойдет, о авторизации и решения проблем с ней. Ситуаций в жизни бывает много, так что как говорится прокачаем свой навык траблшутинга. Уверен, что мой скромный опыт будет кому-то полезен.
Что такое авторизованный DHCP
Когда вы устанавливаете Active Directory в своей компании, то у вас появляется тройка ролей, которые очень часто идут вместе, я говорю про AD, DNS и DHCP. Эта тройка позволяет системному администратору получить все прелести и преимущества доменной структуры. Очень важным аспектом любой современной IT инфраструктуры, является аспекты безопасности и в случае DHCP, это очень актуально. Небольшое воспоминание из практики. Когда я еще только начинал свой путь инженера, то я плохо разбирался в сетевых протоколах и технологиях, знал так сказать азы. Я знал, что у нас в окружении установлен Windows DHCP сервер и, что он сам раздает ip-адреса. В один из рабочих дней мне позвонил менеджер и сказал, что у него пропал интернет и доступ к сетевым шарам.
Когда я к нему подошел, то стал проводить сетевую диагностику, где одним из этапов было вычисление полученного ip-адреса. Какого же было мое удивление, когда я за место диапазона 192.168.100.0 увидел диапазон адресов 192.168.1.0. Я точно знал, что на моем DHCP сервере такой области нет. В итоге оказалось, что один из программистов принес WIFI роутер в то время, это было диковинкой, а так как мозги данного устройства работали на Linux платформе, то его DHCP сервер отрабатывал быстрее, чем в Windows сервере, что в итоге вело к выдаче адресов из другой области. Вот для предотвращения таких вещей и есть авторизация DHCP сервера.
У каждого вендора своя технология авторизация данного сервиса, например в Cisco оборудовании есть технология DHCP snooping, которая делит порты на которых работает служба на да типа, на которых, это можно делать и на которых нельзя. Там где нельзя, все пакеты с DHCP сервиса будут дропаться. В Windows среде есть авторизация сервера в инфраструктуре Active Directory. Вся соль в том, чтобы если в сети появится Windows DHCP сервер и он не будет авторизован в Active Directory, то его скоупы просто не заработают и выдачи ip-адресов не будет.
Требования к серверу перед авторизацией
Авторизация DHCP сервера является обязательной процедурой и требует соблюдения некоторых вещей:
- Ваш сервер DHCP должен быть членом Active Directory
- У вас должны быть права на авторизацию его в AD, администратор предприятия или делегированная группа.
- Не должно быть проблем с созданием и редактированием атрибутов и классов в схеме Active Directory
Интересные моменты
- Сервер DHCP проверяет свою авторизацию в AD DS каждый час. Он использует протокол LDAP [MS-ADTS] для связи с Active Directory и проверки, авторизован ли он для обслуживания IP-адресов.
- При установке в среде с несколькими лесами DHCP-серверы запрашивают авторизацию изнутри. После авторизации серверы DHCP в среде с несколькими лесами сдают в аренду IP-адреса всем доступным клиентам.
- Если вы устанавливаете роль DHCP на контроллере домена, сервер автоматически авторизуется. Если вы устанавливаете его на рядовой сервер, вам нужно будет вручную выполнить процесс авторизации одним из следующих способов.
- Если в сети появится DHCP сервер, отличный от Windows платформы, то он сможет раздавать IP-адреса и авторизация ему не потребуется. Чтобы этого избежать нужны технологии на подобии DHCP snooping и системы анализа трафика.
Методы авторизации DHCP в Active Directory
Давайте теперь поговорим, о методах которые смогут добавить ваш DHCP сервер, как доверенный в раздел конфигурации базы данных Active Directory.
- Авторизация после установки из оснастки в мастере
- Из оснастки, после всех настроек
- Авторизация после установки роли, через PowerShell
- Авторизация сервиса после установки роли через командную строку и утилиту netsh
Первый метод авторизации DHCP
Я покажу его на примере Windows Server 2019, когда вы установили роль DHCP, вас попросят закончить настройку. В итоге у вас откроется окно мастера, где вас попросят авторизовать в Active Directory, обращаю внимание, что вы на этом этапе можете ее пропустить. Напоминаю, что права должны быть минимум администратора домена или аналогично делегированные.
Второй метод авторизации DHCP
Вторым методом я могу выделить возможность, произвести авторизацию сервиса в AD в самой оснастке, после настройки области IPV4 или IPV6. Для этого нажмите в оснастке по самому корню правым кликом и выберите в контекстном меню пункт «Авторизовать».
Так же в данной оснастке можно авторизовать и удаленный сервер, для этого щелкните правым кликом по корню и выберите пункт «Список авторизованных серверов».
В окне «Список авторизованных серверов» нажмите кнопку «Авторизовать». У вас откроется дополнительное окно, где можно указать DNS имя или IP-адрес. Я впишу мой второй дополнительный сервер с ip-адресом 192.168.31.3.
Произойдет поиск роли DHCP на данном сервере. Если она там есть то появится дополнительное окно, где нужно нажать «ОК».
Все сервер у вас должен появится в списке авторизованных.
Авторизовать DHCP-сервер с помощью Netsh
Откройте командную строку с правами администратора и введите следующую команду для авторизации DHCP-сервера.
netsh dhcp show server
Команда показывает мои текущие авторизованные серверы в домене, как видим у меня он один dc01/root/pyatilistnik.org. В окне «Управление авторизованными серверами» его видно. Далее авторизуем новый сервер svt2019s01.root.pyatilistnik.org с ip-адресом 192.168.31.3
netsh dhcp add server svt2019s01.root.pyatilistnik.org 192.168.31.3
После этого я сделал вывод списка авторизованных DHCP и вижу, что их теперь два.
Авторизовать DHCP-сервер с помощью PowerShell
Естественно я не могу обойти стороной любимый язык PowerShell, так как он с поставленной задачей справляется на 5+. Откройте свой PowerShell в режиме администратора и выведите для начала список текущих DHCP адресов в домене.
Get-DhcpServerInDC
Вижу, что в данный момент он один.
Теперь, чтобы добавить второй сервер, выполните команду:
Add-DhcpServerInDC -DnsName «svt2019s01.root.pyatilistnik.org» -IPAddress 192.168.31.3
Как деактивировать DHCP сервер
Логично предположить, что методов деактивации тоже четыре.
- Из оснастки DHCP сервера, для этого правым кликом по названию сервера и из контекстного меню выбираем пункт «Запретить».
- Второй метод деактивации — это из окна «Управление авторизованными серверами», выбираем нужный и нажимаем кнопку «Запретить»
- Третий метод запретить конкретный сервис, это утилита командной строки netsh.
netsh dhcp delete server svt2019s01.root.pyatilistnik.org 192.168.31.3
- Последний метод деактивации, это в PowerShell
Remove-DhcpServerInDC -DnsName «svt2019s01.root.pyatilistnik.org -IPAddress 192.168.31.3
Где прописывается DHCP в конфигурации Active Directory
Теперь хочу вам показать, где в классах и с какими атрибутами прописываются записи авторизованных DHCP серверов. Откройте редактор атрибутов AD и зайдите в раздел конфигурации. Перейдите по пути: CN=Services,CN=Configuration,DC=root,DC=pyatilistnik,DC=org. В данном контейнере вы увидите записи ваших авторизованных DHCP сервисов и очень важную запись CN=DhcpRoot, если ее нет, то это плохо.
Когда вы пытаетесь авторизовать сервер, то первым делом проверяется наличие записи CN=DhcpRoot ,и если она не найдена, то вы не сможете завершить вашу операцию
Когда вы успешно авторизовываете ваш сервис в Active Directory, то он должен создать запись класса dHCPClass в CN должно быть его имя и различающееся имя (distinguished name). Если зайти в свойства любой записи сервиса, то вы обнаружите атрибут dhcpServer, тут должен быть прописан ip-адрес и его DNS-имя.
Во времена Windows 2000, атрибут dhcpServer должен был заполняться у записи CN=DhcpRoot в соответстующем атрибуте, с Windows Server 2003, перестало записываться (https://blogs.technet.microsoft.com/askpfeplat/2015/06/22/windows-server-dhcp-server-migration-two-issues-from-the-field/). Так же записи из контейнера CN=Services AD — сайты и службы (Active Directory Site and Service)вы можете посмотреть и из оснастки. Единственное, вам нужно включить опцию «Показать узел служб»
В итоге у вас появится контейнер «Services», далее «NetServices», в котором вы увидите весь список.
Бывают ситуации, что непрофессиональный администратор выключил и удалил сервер DHCP, заменив его на другой, и не деактивировал старый, в результате он будет числиться как потерявшийся, и чтобы его убрать из списка, вам нужно удалить в данном контейнере его запись
Из-за не правильной деактивации DHCP или восстановлении сервера из резервной копии приличной давности, он у вас может не запускать и при попытке пройти авторизацию написать «Параметр задан неверно»
В таких случаях вам нужно проверять наличие CN=Services,CN=Configuration,DC=root,DC=pyatilistnik,DC=org записи вашего сервера. Если ее нет, то придется создать ее с нуля. Через правый клик создаем новый объект AD.
Выбираем класс объекта dhcpServer.
Прописываем Common-name вашего сервера.
dhcp-Unique-key ставим 0.
dhcp-type ставим 1.
В dhcp-identification прописываем distinguished name сервера.
После создания записи, попробуйте перезапустить DHCP на нужно сервере. Если не поможет, то удаляете данную запись, и заново пробуете его авторизовать, бывает помогает.
Как дать права на авторизацию DHCP сервера
На сколько мне известно, чтобы у вас была возможность авторизовывать серверы DHCP, то вы должны быть администратором предприятия (Enterprise Admin). Понятно, что в данной группе должно быть минимум людей. Вы можете делегировать данные права, любой группе или пользователю. Для этого, в оснастке Active Directory — сайты и службы с включенной опцией «Показать узел служб» вы нажимаете правым кликом по контейнеру NetServices и выбираете пункт делегирование управления.
На первом шаге, вам необходимо указать пользователя или группу, для которой будут выданы права на управление DHCP авторизацией.
Выбираем создание особой задачи для делегирования.
Оставляем пункт «Этой папкой, существующими в ней объектами и созданием новых объектов в этой папке»
На следующем шаге, даем полные права. После этого у нужной группы появится возможность авторизовывать сервера DHCP в вашем домене Active Directory.
На этом я хочу закончить эту статью, она получилась и так очень длинной. Если у вас остались вопросы, то пишите их в комментариях, я на них постараюсь ответить. С вами был Иван Семин, автор и создатель IT блога Pyatilistnik.org,
Установка и настройка DHCP-сервера — Windows Server
Twitter LinkedIn Facebook Адрес электронной почты
- Статья
- Чтение занимает 4 мин
В этой статье описывается установка и настройка DHCP-сервера в рабочей группе.
Применяется к: Windows Server 2012 R2
Оригинальный номер базы знаний: 323416
Сводка
В этой пошаговой статье описывается, как настроить новый DHCP-сервер под управлением Windows Server 2003 на автономном сервере, который может обеспечить централизованное управление IP-адресами и другими параметрами конфигурации TCP/IP для клиентских компьютеров в сети.
Установка службы DHCP
Перед настройкой службы DHCP необходимо установить ее на сервере. DHCP не устанавливается по умолчанию во время обычной установки Windows Standard Server 2003 или Windows Enterprise Server 2003. DHCP можно установить во время начальной установки Windows Server 2003 или после ее завершения.
Установка службы DHCP на существующем сервере
- Нажмите кнопку «Пуск», выберите пункт «Панель управления» и щелкните Установка и удаление программ.
- В диалоговом окне Установка и удаление программ выберите пункт «Установка компонентов Windows».
- В мастере компонентов Windows выберите пункт «Сетевые службы» в списке компонентов, затем нажмите кнопку «Сведения».
- В диалоговом окне «Сетевые службы» установите флажок Протокол DHCP и нажмите кнопку ОК.
- В мастере компонентов Windows нажмите кнопку «Далее», чтобы начать установку. Вставьте компакт-диск Windows Server 2003 в привод CD-ROM или DVD-ROM компьютера, если появится соответствующий запрос. Программа установки копирует DHCP-сервер и файлы инструментов на компьютер.
- После завершения установки нажмите «Готово».
Настройка службы DHCP
После установки службы DHCP и ее запуска необходимо создать область. Область — это диапазон допустимых IP-адресов, доступных для аренды клиентским компьютерам DHCP в сети. Корпорация Майкрософт рекомендует, чтобы каждый DHCP-сервер в вашей среде имел как минимум одну область, которая не пересекается с любой другой областью DHCP-сервера в вашей среде. В Windows Server 2003 DHCP-серверы в домене на основе Active Directory должны быть авторизованы, чтобы предотвратить подключение к мошенническим DHCP-серверам. Любой DHCP-сервер в Windows Server 2003, который определяет себя как неавторизованный, не будет управлять клиентами.
Создание новой области
- Нажмите кнопку «Пуск», выберите пункт «Администрирование», а затем — «Протокол DHCP».
- В дереве консоли щелкните правой кнопкой мыши DHCP-сервер, на котором нужно создать новую область DHCP, затем выберите команду «Создать область».
- В мастере создания области нажмите кнопку «Далее», а затем введите имя и описание области. Имя может быть любым, но при этом должно быть достаточно описательным, чтобы вы могли определить назначение области в вашей сети (например, можно использовать такое имя, как «Адреса клиентов административного здания»). Нажмите кнопку «Далее».
- Введите диапазон адресов, которые могут быть предоставлены в аренду в рамках этой области. Например, используйте диапазон IP-адресов от начального IP-адреса 192.168.100.1 до конечного адреса 192.168.100.100. Поскольку эти адреса предоставляются клиентам, все они должны быть допустимыми адресами для вашей сети и не использоваться в настоящее время.
- Введите любые IP-адреса, которые нужно исключить из введенного диапазона. Эти адреса включают любой адрес в диапазоне, описанном на шаге 4, который уже может быть статически назначен различным компьютерам в организации. Обычно контроллеры домена, веб-серверы, DHCP-серверы, DNS-серверы и другие серверы имеют статически назначенные IP-адреса. Нажмите кнопку «Далее».
- Введите количество дней, часов и минут до истечения срока аренды IP-адреса из этой области. Определяет, как долго клиент может хранить арендованный адрес без его продления. Нажмите кнопку «Далее», а затем нажмите кнопку Да, настроить эти параметры сейчас, чтобы расширить мастер для включения наиболее распространенных параметров DHCP. Нажмите кнопку «Далее».
- Введите IP-адрес основного шлюза, который должен использоваться клиентами, которые получают IP-адрес из этой области. Нажмите кнопку «Добавить», чтобы добавить в список адрес основного шлюза, а затем нажмите кнопку «Далее».
- Если вы используете DNS-серверы в сети, введите доменное имя организации в поле Родительский домен. Введите имя DNS-сервера и нажмите кнопку «Разрешить», чтобы убедиться, что DHCP-сервер может связаться с DNS-сервером и определить его адрес. Нажмите кнопку «Добавить», чтобы включить этот сервер в список DNS-серверов, назначенных DHCP-клиентам. Нажмите кнопку «Далее» и выполните те же действия. Если вы используете WINS-сервер, добавьте его имя и IP-адрес, затем нажмите кнопку «Далее».
- Нажмите кнопку Да, я хочу активировать эту область сейчас, чтобы активировать область и разрешить клиентам получать из нее аренды, затем нажмите кнопку «Далее».
- Нажмите кнопку «Готово».
- В дереве консоли щелкните имя сервера, затем нажмите «Авторизовать» в меню «Действие».
Устранение неполадок
В следующих разделах объясняется, как устранить некоторые проблемы, которые могут возникнуть при попытке установить и настроить DHCP-сервер под управлением Windows Server 2003 в рабочей группе.
Клиенты не могут получить IP-адрес
Если у DHCP-клиента нет настроенного IP-адреса, обычно это означает, что клиенту не удалось связаться с DHCP-сервером. Эта проблема может быть вызвана неполадками в сети или недоступностью DHCP-сервера. Если DHCP-сервер запущен и другие клиенты могут получать допустимые адреса, проверьте, что клиент имеет допустимое сетевое подключение и что все соответствующие аппаратные устройства клиента (включая кабели и сетевые адаптеры) работают правильно.
DHCP-сервер недоступен
Если DHCP-сервер не предоставляет клиентам арендованные адреса, это часто связано с тем, что служба DHCP не запущена. В этом случае сервер может быть не авторизован для работы в сети. Если вы ранее могли запустить службу DHCP, используйте средство просмотра событий для проверки системного журнала на наличие записей. Эти журналы могут объяснить, почему не удается запустить службу DHCP.
Чтобы перезапустить службу DHCP, выполните следующие действия:
- Нажмите кнопку Пуск и выберите пункт Выполнить.
- Введите cmd и нажмите клавишу ВВОД.
- Введите net start
dhcpserver
и нажмите клавишу ВВОД.
-или-
- Нажмите кнопку «Пуск», последовательно выберите пункты «Панель управления» и «Администрирование», затем нажмите «Управление компьютером».
- Разверните раздел Службы и приложения, а затем нажмите «Службы».
- Найдите и щелкните дважды DHCP-сервер.
- Убедитесь, что для запуска задано значение «Автоматический», а для состояния службы — значение «Запущено». В противном случае нажмите кнопку «Запустить».
- Нажмите кнопку «ОК» и закройте окно «Управление компьютером».
Ссылки
Для получения дополнительной информации о DHCP-сервере в Windows Server 2003 щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:
169289 Основные сведения о протоколе DHCP
167014 Возможный сбой при получении DHCP-клиентом IP-адреса, назначенного DHCP
404: Страница не найдена
Страница, которую вы пытались открыть по этому адресу, похоже, не существует. Обычно это результат плохой или устаревшей ссылки. Мы приносим свои извинения за доставленные неудобства.
Что я могу сделать сейчас?
Если вы впервые посещаете TechTarget, добро пожаловать! Извините за обстоятельства, при которых мы встречаемся. Вот куда вы можете пойти отсюда:
Поиск- Узнайте последние новости.
- Наша домашняя страница содержит самую свежую информацию о сети.
- Наша страница о нас содержит дополнительную информацию о сайте SearchNetworking, на котором вы находитесь.
- Если вам нужно, свяжитесь с нами, мы будем рады услышать от вас.
Просмотр по категории
ПоискЕдиные Коммуникации
- Cisco добавляет дополнительную интеграцию Webex-Teams для гибридной работы
пользователей Cisco Webex теперь имеют больше гибридных рабочих функций, включая новую доску и интеграцию с Teams, iPhone и iPad …
- Как сбалансировать конфиденциальность удаленной работы и мониторинг производительности
Сопоставление мониторинга производительности сотрудников с конфиденциальностью удаленных работников является серьезной проблемой, требующей защиты личных . ..
- Как бороться с проблемами безопасности голоса на платформах для совместной работы
Совместная работа на предприятии является неотъемлемой частью ведения бизнеса. Но компании должны научиться защищаться от проблем с безопасностью голоса…
SearchMobileComputing
- Вопросы и ответы Jamf: как упрощенная регистрация BYOD помогает ИТ-специалистам и пользователям
Руководители Jamf на JNUC 2022 делятся своим видением будущего с упрощенной регистрацией BYOD и ролью iPhone в …
- Jamf приобретет ZecOps для повышения безопасности iOS
Jamf заплатит нераскрытую сумму за ZecOps, который регистрирует активность на устройствах iOS для выявления потенциальных атак. Компании ожидают …
- Apple преследует растущий премиальный рынок с iPhone 14
Apple переключила свое внимание на смартфоны премиум-класса в новейшей линейке iPhone 14 с такими функциями, как режим блокировки, который IT .
..
SearchDataCenter
- Включите VXLAN в центры обработки данных для повышения скорости сети
Сети
VXLAN обеспечивают изоляцию сети и позволяют организациям более эффективно масштабировать сети центров обработки данных. Рассмотрите VXLAN для расширения…
- HPE обновляет серверы ProLiant в комплекте с лицензией GreenLake
HPE добавила еще один вариант программного обеспечения и услуг с новыми серверами ProLiant с GreenLake, улучшенным программным обеспечением для обеспечения безопасности и …
- Учитывайте этические вопросы технологий при росте центра обработки данных
Авторы Гарри Льюис и Кен Ледин обсуждают этические вопросы, которые организации должны учитывать при расширении центров обработки данных, …
SearchITChannel
- Облачная экономика остывает, но сделки с ИТ-услугами продолжаются
- Отчет Capital One по машинному обучению указывает на партнерство
Исследование лиц, принимающих решения в области управления данными, предполагает, что совместная работа будет играть важную роль в развитии корпоративных машин …
- Объем рынка ИТ-услуг вырастет на 7,9% в 2023 году
ИТ-директора в следующем году, вероятно, снова призовут поставщиков услуг к работе, поскольку они надеются преодолеть разрыв в навыках и …
Авторизация DHCP-сервера 2016 в Active Directory
После установки роли DHCP в Windows Server 2016 (или более ранних версиях) одно из первых действий, которое необходимо выполнить, — это авторизация сервера в инфраструктуре Active Directory.
Это действие необходимо, чтобы DHCP-сервер мог раздавать IP-адреса клиентам Active Directory. В противном случае, если DHCP-сервер неавторизован, распределение IP-адресов прекратится.
Для авторизации или деавторизации DHCP-сервера необходимо использовать учетную запись пользователя, которая является членом группы безопасности Enterprise Admins , или учетную запись с делегированными разрешениями для этого домена.
Если вы устанавливаете роль DHCP на контроллере домена, сервер авторизуется автоматически. Если вы устанавливаете его на рядовой сервер, вам нужно будет вручную выполнить процесс авторизации одним из следующих способов.
Авторизация DHCP-сервера с помощью графического интерфейса пользователя
В открытой консоли администрирования DHCP щелкните правой кнопкой мыши имя сервера и выберите Авторизация .
Подождите несколько секунд, и после обновления списка вы можете подтвердить, что DHCP-сервер теперь авторизован, когда вы увидите зеленый значок, который появится в каждой области.
Соответственно, чтобы отменить авторизацию DHCP-сервера, щелкните сервер правой кнопкой мыши и выберите Unauthorize .
Авторизация DHCP-сервера с помощью Netsh
Откройте командную строку с правами администратора и введите следующую команду для авторизации DHCP-сервера.
netsh dhcp add server <имя сервера> |
Например, для сервера с именем DHCP01 и IP-адресом 10.10.10.50 команда будет примерно такой.
netsh dhcp добавить сервер DHCP01.contoso.com 10.10.10.50 |
Соответственно, чтобы отменить авторизацию DHCP-сервера, используйте следующую команду.
netsh dhcp delete server |
netsh dhcp delete server DHCP01.contoso.com 10.10.10.50 |
To confirm that your action has been successful и чтобы увидеть авторизованные DHCP-серверы в инфраструктуре Active Directory, используйте следующую команду.
netsh dhcp show server |
Авторизация DHCP-сервера с помощью PowerShell
Во-первых, чтобы просмотреть список всех авторизованных DHCP-серверов в Active Directory, используйте следующую команду.