Microsoft PowerPoint

Administrowanie

serwerem usług sieciowych

Microsoft Windows Server 2003

(wykłady 15 godz.)

dr inż. Andrzej Czerepicki

WSM, 2009

Plan wykładu

• 1. Adresowanie komputerów w sieci
• 2. Podstawy protokołu DHCP
• 3. Instalowanie serwera DHCP
• 4. Autoryzacja serwera DHCP
• 5. Wykonanie kopii zapasowej oraz przywracanie

• 5. Wykonanie kopii zapasowej oraz przywracanie
• 6. Zapewnienie odporności na awarie
• 7. Narzędzia DHCP
• 8. Superzakresy DHCP
• 9. Zakresy multiemisji
• 10. DHCP a kontroler domeny

1. Adresowanie komputerów w

sieci

• Protokół TCP/IP wymaga przypisania każdemu

z komputerów w sieci własnego adresu

• Sposoby nadania adresu:

– Statyczny (przez Administratora)

• Może być stosowany w małych sieciach, wraz ze

wzrostem ilości komputerów coraz trudniej unikać
konfliktów, zmiana konfiguracji sieci jest bardzo
pracochłonna

– Dynamiczny

• Nadawany przy włączeniu komputera do sieci przez

serwer lub samodzielnie pozyskiwany przez komputer

1. Adresowanie komputerów w

sieci (c.d.)

• Protokoły uzyskiwania adresów:

– DHCP (Dynamic Host Configuration Protocol)

– BOOTP (Bootstrap Protocol)

• pozwala na uruchomienie komputera przez sieć

– RARP (Reverse Address Resolution Protocol)

• Komputer samodzielnie wyszukuje adres (!)

– ICMP (Internet Control Message Protocol)

• Przekazywanie informacji o adresie oraz innych

parametrach sieci za pomocą specjalnych komunikatów

– NIP (Network Information Protocol)

2. Podstawy protokołu DHCP

• DHCP (Dynamic Host Configuration Protocol) –

protokół sieciowy umożliwiający
automatyczne nadanie komputerowi
unikalnego adresu IP oraz doniesienie
informacji o konfiguracji sieci (adres bramy,

informacji o konfiguracji sieci (adres bramy,
serwer DNS, maska podsieci itp.)

• Protokół DHCP wymaga obecności w sieci

serwera DHCP z którym łączą się klienci DHCP

2. Podstawy protokołu DHCP (c.d.)

• Serwer DHCP:

– Komputer z zainstalowaną usługa sieciową DHCP

• Klient DHCP:

– Komputer z klienckim systemem operacyjnym

• Każdy system operacyjny posiada własnego klienta

TCP/IP

• Sposoby realizacji klientów w różnych systemach są

różne (!), lecz sposób działania jest taki sam, co
pozwala budować i łączyć najbardziej różnorodne sieci i
komputery

2. Podstawy protokołu DHCP (c.d.)

• Sposób działania protokołu DHCP:

– Klient poprzez protokół UDP (port 67) wysyła

komunikat DHCPDISCOVER do wszystkich węzłów w
sieci

– Serwer DHCP nasłuchujący na porcie 67 odpowiada

Klientowi komunikatem DHCPOFFER rozpoczynając
konwersację

– Klient informuje serwera o akceptacji

zaproponowanej oferty komunikatem DHPCREQUEST

– Serwer kończy negocjacje wysyłając do klienta sygnał

DHCPACK

2. Podstawy protokołu DHCP (c.d.)

DHCPDISCOVER

DHCPOFFER

DHCPREQUEST

DHCPACK

2. Podstawy protokołu DHCP (c.d.)

• Automatyczne nadawanie prywatnych

adresów

– W przypadku braku odpowiedzi serwera DHCP,

Klient może otrzymać tzw. adres prywatny z puli
adresów 169.254.0.0/16

adresów 169.254.0.0/16

– Mechanizm ten nazywa się Automatic Private IP

Addresing (APIPA)

– W przypadku czasowej niedostępności serwera

DHCP mechanizm APIPA może wywołać konflikty
w dużych sieciach, więc należy go wyłączyć lub
nadać Klientom alternatywny statyczny adres IP

3. Instalowanie serwera DHCP

• Uruchamiamy Kreatora konfiguracji serwera

– Start | Programy | Narzędzia administracyjne |

Kreator konfigurowania serwera

• Wybieramy opcję Serwer DHCP

• Po zainstalowaniu bibliotek sieciowych

dodajemy nowy zakres

– np. o nazwie ‘Zakres podstawowy’

3. Instalowanie serwera DHCP (c.d.)

• Wprowadzamy kolejno:

– Początkowy adres zakresu

• np. 192.168.100.1

– Końcowy adres zakresu

• np. 192.168.100.254

– Maskę podsieci

• np. 255.255.255.0

• Można ją wprowadzić bezpośrednio lub określając na

podstawie ilości bitów w adresie IP rezerwowanych dla
identyfikatora hosta

3. Instalowanie serwera DHCP (c.d.)

• Następnie definiujemy obszary adresów

wykluczone z mechanizmu przydzielania

– Są to z reguły pojedyncze adresy serwerów oraz

obszary adresów zarezerwowanych np. w celu

obszary adresów zarezerwowanych np. w celu
zwiększenia odporności na awarie lub w innym
celu

• Przykład:

– 192.168.100.152 (adres serwera DNS)

– 192.168.100.196 – 192.168.100.254

3. Instalowanie serwera DHCP (c.d.)

• Podajemy okres trwania dzierżawy

– Jest to interwał czasu, po którym Klienci DHCP

muszą odświeżyć dane konfiguracji sieci

• Określamy adres routera (bramy domyślnej)

– Jest nim adres naszego serwera

• Konfigurujemy dane serwera DNS

– Wprowadzamy nazwę domeny

– Wprowadzamy nazwę serwera

– Wprowadzamy bądź rozpoznajemy jego adres

3. Instalowanie serwera DHCP (c.d.)

• Ignorujemy konfigurację WINS

• Na pytanie dot. aktywacji odpowiadamy „nie”

– serwer DHCP nie został jeszcze zintegrowany z

domeną, więc jego uruchomienie w tym
momencie może negatywnie się odbić na

momencie może negatywnie się odbić na
bezpieczeństwie systemu

• Weryfikujemy kroki instalacji

• Kończymy pracę kreatora

4. Autoryzacja serwera DHCP

• Protokół DHPC nie stosuje uwierzytelniania

klienta (!)

– Nie ma sposobu na odróżnienie Klienta, mającego

złe intencje, które może:

• przeprowadzić atak na serwer celem np.

sprawdzenia dostępnej puli adresów oraz
uniemożliwienia normalnym użytkownikom
rejestracji w sieci

• wprowadzić do sieci fałszywy serwer DHCP

rozdający inne niż powinno adresy, celem
wyłudzenia informacji o sieci

4. Autoryzacja serwera DHCP (c.d.)

• Zabezpieczenie DHCP powinno polegać na:

– Zabezpieczeniu fizycznego dostępu do sieci

• Jest to istotne zwłaszcza w przypadku sieci Wi-Fi

– Autoryzacji „zaufanego” serwera DHCP w AD

• Żadne z w/w zabezpieczeń nie jest w 100%

skuteczne, więc w podejrzanych przypadkach
należy użyć narzędzi do analizy sieci

– Są również przełączniki inteligentne, nie pozwalające

na podłączenie się do sieci nieznanych komputerów

4. Autoryzacja serwera DHCP (c.d.)

• Start | Programy | Narzędzia administracyjne |

DHCP

• [wybrany serwer DHCP] | [menu kontekstowe]

| Autoryzuj

• serwer DHCP zostanie autoryzowany

– Proces może potrwać kilka minut

– Pomyślne przeprowadzenie autoryzacji można

rozpoznać po zmianie koloru ikony w nazwie
serwera

4. Autoryzacja serwera DHCP (c.d.)

• Po ukończeniu autoryzacji serwera DHCP

możemy aktywować zakres

– [Zakres] | [menu kontekstowe] | Aktywuj

• Zakres aktywny, stacje robocze mogą uzyskać

informację o konfiguracji sieci

– Połączenie sieciowe | Odśwież

• Lista komputerów podłączonych jest dostępna

na zakładce [Dzierżawy adresów]

5. Wykonanie kopii zapasowej oraz

przywracanie bazy danych DHCP

• Kopiowania konfiguracji serwera DHCP można

dokonać w celu:

– Zabezpieczenia się przed awarią serwera

– Przeniesienia konfiguracji na inny komputer

• Wykonanie kopii zapasowej:

– Start | Programy | Narzędzia administracyjne |

DHCP

– [serwer DHCP] | [menu kontekstowe] | Kopia

zapasowa

– Wybieramy folder i klikamy OK

5. Wykonanie kopii zapasowej oraz

przywracanie bazy danych DHCP (c.d.)

• Przywracanie kopii zapasowej

– Start | Programy | Narzędzia

administracyjne | DHCP

– [serwer DHCP] | [menu kontekstowe] |

Przywróć

– Wybieramy folder z kopią zapasową

– Zgadzamy się z zatrzymaniem i ponownym

uruchomieniem usługi

6. Zapewnienie odporności na

awarie

• DHCP jest wyjątkowo ważną usługą w każdej

sieci!

– Mimo prawie niezauważalnego działania awaria

serwera DHCP paraliżuje całą sieć

• Ze względu na specyfikę działania usługi

serwery DHCP nie mogą współdziałać między
sobą

• Odporność na awarie można zapewnić poprzez

wprowadzenie nadmiarowości – dodatkowego
serwera DHCP

6.1. Metoda zapewnienia

odporności na awarie „50/50”

• Dwa serwery DHCP obsługujące jednakową

ilość żądań Klientów

– Zakresy adresów IP są identyczne

– Przedziały adresów IP są różne (nie mogą się

pokrywać)

Server A

Zakres: 192.168.1.2 - 192.168.1.254

Wykluczenia: 192.168.1.126 - 192.168.1.254

Server B

Zakres: 192.168.1.2 - 192.168.1.254

Wykluczenia: 192.168.1.2 - 192.168.1.126

6.1. Metoda zapewnienia odporności

na awarie „50/50” (c.d.)

• Funkcjonowanie:

– Klient zgłasza żądanie
– Serwer, który odpowie jako pierwszy, nadaje mu

adres IP

– Jeśli serwer. który nadał Klientowi adres IP,

przestaje działać, drugi serwer nada mu adres z
tego samego zakresu lecz innej puli adresów

• Wady rozwiązania:

– Jeśli jeden z serwerów ma krótszy czas

odpowiedzi, łatwo o przepełnienie jego puli
adresów

6.2. Metoda zapewnienia odporności

na awarie „80/20”

• Idea:

– Modyfikujemy metodę „50/50” tak by serwer o

krótszym czasie odpowiedzi obsługiwał 80%
przydzielanych adresów

• Zalety:

– Większa odporność na przepełnienie puli

dostępnych adresów

• Wady:

– W przypadku awarii serwera „80%” należy szybko

przywrócić jego działanie gdyż 20% adresów mogą
być szybko wyczerpane

6.3. Metoda zapewnienia odporności

na awarie „100/100”

• Idea:

– Dwa serwery DHCP
– Każdy obsługuje różne zakresy adresów IP o zbliżonej

pojemności i jest w stanie obsłużyć całą sieć

• Zalety:

– Natychmiastowe przejście na drugi serwer w

przypadku awarii pierwszego

– Można nie spieszyć się z przywróceniem serwera po

awarii gdyż drugi potrafi obsłużyć całą sieć

• Wady:

– Konieczność zapewnienia obsługi 2x większej puli

adresów niż ilość komputerów w sieci

7. Superzakresy DHCP

• W sieciach składających się z wielu podsieci

można łączyć kilka zakresów w strukturę
nadrzędna nazywaną superzakresem

• Uzależniamy wówczas stan zakresów od stanu

superzakresu

– Dezaktywacja superzakresu dezaktywuje

wszystkie należące do niego zakresy, i na odwrót

8. Zakresy multiemisji

• Zakres multiemisji (Multicast) tworzy się w

celu przypisania wszystkim klientom tego
samego adresu IP (!)

• Jest to rozwiązanie typu WebCasting

stosowane m. innymi w konferencjach wideo
oraz innych rodzajach komunikacji opartych
na użyciu strumieni danych

9. Narzędzia DHCP

• Narzędzie netsh

– Zaawansowane narzędzie pozwalające wykonać

każde zadanie DHCP

– Umożliwia wykonanie skryptów konfiguracyjnych
– Potrafi administrować serwerem DHCP zdalnie

– Potrafi administrować serwerem DHCP zdalnie
– Przykład funkcjonalności:

> netsh dhcp show server

• Inne przydatne polecenia

> net stop dhcpserver
> net start dhcpserver

10. DHCP a kontroler domeny

• Serwer DHCP nie powinien działać na tym samym

komputerze co kontroler domeny!

– Server DNS przechowuje rekordy SRV z informacją o

komputerach w domenie

– Do aktualizacji wpisu SRV upoważniony jest tylko

komputer który jego stworzył

– Połączenie funkcji DHCP a DNS zintegrowanego z AD

wymusza rezygnację z w/w zabezpieczenia rekordu SRV
przy jego utworzeniu

• Problem tkwi w dynamicznej aktualizacji adresów klientów

– Kontroler domeny publikuje w DNS ważne adresy

serwerów

– Rekordy SRV utworzone a nie mające jeszcze zabezpieczeń

mogą łatwo zostać przechwycone przez Klienta o złych
zamiarach