Top 9 giải pháp hữu ích cho Windows-based DHCP Server – Phần 1


Dưới đây là 9 công việc nên làm, kèm theo là các khuyến cáo giúp tăng cường tính bảo mật, độ tin cậy và tính dễ quản lý cho DHCP Server role. Trong số đó có nhiều tác vụ liên quan tới việc cấu hình để DHCP làm việc chung với các công nghệ, tính năng khác trên Windows Server như Active Directory (AD), Network Access Protection (NAP). Ngoài ra, bài viết này còn cung cấp nhiều chỉ dẫn giúp bạn thiết kế hạ tầng DHCP sao cho nó vận hành hiệu quả nhất.

1- San sẻ công việc giữa các DHCP server bằng cách chia nhỏ scope

Việc chia nhỏ một scope cho 2 hoặc 3 DHCP Server là một ý tưởng tốt. Bằng cách này, bạn có thể giảm thiểu nguy cơ tràn ngập lưu lượng DHCP đổ dồn cùng lúc về một server. Hơn nữa, nếu một trong các DHCP Server bị lỗi dẫn đến không thể đáp ứng dịch vụ cho các client thì toàn bộ hệ thống mạng không bị ảnh hưởng bởi các Server còn lại sẽ đảm nhận thay DHCP server đã “chết” các nhiệm vụ như cấp phát mới địa chỉ IP, renew các lease đã được gán cho client…

Chia theo tỉ lệ 80/20 mang lại hiệu suất tối ưu nhất.

Ví dụ, một scope 192.168.1.0 thuộc class C sẽ có dải địa chỉ (IP range) dành cho client từ 192.168.1.1 – 192.168.1.254 và subnet mask là 255.255.255.0 (/24). Một thiết lập giúp phân bổ tải trọng (hay số lượng các lease) giữa 2 DHCP Server (srv1 và srv2) là như sau:

–   Trên srv2, tạo một scope có IP range từ 192.168.1.11 – 192.168.1.254. Sau đó, tạo một exclusion range (các IP nằm trong dải này sẽ không được cấp phát cho client) cho scope này là 192.168.1.11 – 192.168.1.204

–    Trên srv1, bạn cũng tạo một scope có IP range từ 192.168.1.11 – 192.168.1.254. Kế đến, tạo một exclusion range cho scope này là 192.168.1.205 – 192.168.1.254

Nếu có 3 DHCP Server thì bạn cũng chia tách scope tương tự theo cách trên.

2- Giảm bớt gánh nặng khi phải cập nhật thủ công các DNS record bằng cách cấu hình Dynamic UpdateSecure Dynamic Update

Các client nằm trong DHCP Scope có thể sử dụng giao thức DNS dynamic update để liên lạc với DNS Server nhằm cập nhật thông tin ánh xạ giữa tên máy tính – địa chỉ bất cứ khi nào địa chỉ mà client nhận được qua DHCP bị thay đổi. Một Windows-based DHCP Server có thể thay mặt cho các DHCP client thực việc việc cập nhật tự động (dynamic update) các record trong DNS namespace.

Bạn có thể thiết lập để DHCP Server đăng ký và cập nhật PTR recordA record thay cho các DHCP client nằm trong scope mà DHCP Server này quản lý. Khi đó, trong gói tin DHCP Request mà client gửi tới DHCP server sẽ có thêm một option là Client FQDN (có mã 81). Client sử dụng option 81 này để báo cho DHCP Server biết tên miền đầy đủ (FQDN) của nó, đồng thời chỉ ra mức độ dịch vụ mà nó yêu cầu (nằm trong trường flag dưới đây).

FQDN option 81 bao gồm 6 trường sau:

1. Code – cho biết mã của option (ở đây là 81)

2. Len – độ dài của option

3. Các flag (cờ hiệu)

  • 0: client sẽ tự đăng ký A (Host) record
  • 1: client yêu cầu DHCP Server đăng ký A record thay cho nó
  • 3: DHCP Server sẽ đăng ký A record bất kể client có yêu cầu hay không

4. RCODE1 – mã đáp trả mà server đang gửi cho client

5. RCODE2 – mô tả thêm cho RCODE1

6. Domain name – là FQDN của client

 

Nếu client đề nghị server đăng ký các record của nó với DNS, thì client chịu trách nhiệm cho việc tạo ra dynamic update request tuân theo RFC 2136. Khi đó, mặc định DHCP server sẽ đăng ký PTR (pointer) record thay cho client.

Giả sử rằng option này được đưa ra bởi một DHCP client chuẩn, như một máy tính có bật DHCP đang chạy Vista, Windows 2000 hoặc XP. Trong trường hợp này, option 81 sẽ được diễn giải và xử lý bởi Windows-based DCHP Server nhằm xác định xem server sẽ bắt đầu cập nhật DNS record thay cho client như thế nào.

Secure dynamic update

Đối với Windows Server, tính năng Secure DNS update chỉ dành cho các zone đã được tích hợp vào Active Directory (AD-integrated zone). Sau khi tích hợp một zone vào AD, bạn có thể chỉnh sửa ACL (access control list) dành cho zone đó hoặc một record nào đó trong zone để thêm hoặc xóa user/group có quyền thay đổi zone/record này.

Mặc định, quy trình dynamic update security được điều khiển theo cách sau:

1. Đầu tiên, DNS client thử sử dụng non-secure dynamic update trước. Nếu non-secure update bị từ chối, client thử sử dụng secure update.

Trừ khi client này bị chặn bởi update security, còn không client sẽ áp dụng phương thức cập nhật mặc định trên để thử ghi đè một record đã được đăng ký trước đó,

2. Mặc định, Windows-based DNS Server chỉ chấp nhận secure dynamic update cho AD-integrated zone. Cũng mặc định, khi bạn sử dụng kho lưu

trữ zone chuẩn (standard zone storage), dịch vụ DNS Server không cho phép dynamic update (cả secure và nonsecure) trên các zone của nó.

Đối với các zone là AD-integrated zone hoặc sử dụng cách thức lưu trữ dựa trên file chuẩn (standard file-based storage), bạn có thể thay đổi 2 mặc định trên để zone chấp nhận cả secure lẫn nonsecure dynamic update.

Nếu bạn đang sử dụng các Windows-based DHCP server trên mạng AD của mình và nếu cần bạn cấu hình cho các zone để chỉ chấp nhận các secure dynamic update, bạn nên sử dụng Active Directory Users and Computers snap-in để thêm các DHCP server vào nhóm DnsUpdateProxy. Khi đó, tất cả các DHCP server của bạn có quyền để thực hiện cập nhật thay cho bất kỳ DHCP client nào.

Cảnh báo:

  • Tính năng secure dynamic update có thể bị “thỏa hiệp” (compromised) và bị phá vỡ nếu đồng thời xảy ra cả 2 điều kiện sau:

– Dịch vụ DHCP Server nằm trên cùng máy tính làm Domain Controller.

– DHCP server được cấu hình để thực hiện việc đăng ký các DNS record thay cho các client.

  • Để tránh rủi ro trên, bạn nên triển khai các DHCP serverDomain Controller trên các máy tính riêng biệt, hoặc cấu hình DHCP server sử dụng một dedicated user account cho dynamic update.

3- Cho phép quản trị DHCP Server từ xa bằng cách cấu hình Windows Firewall

Một Firewall giúp cản lọc các lưu lượng mạng “không mời mà tới” (unsolicited incoming traffic). Nếu bạn đã bật Windows Firewall trên server và bạn muốn quản lý server bằng một công cụ quản trị từ xa (RAT), thường thì bạn phải cấu hình cho Windows Firewall để server có thể nhận được các lưu lượng được gửi từ công cụ quản trị từ xa đó. Có thể bạn cũng cần cấu hình thêm cho Windows Firewall (hoặc sản phẩm firewall khác) trên máy tính đang chạy công cụ quản trị từ xa nếu firewall được bật trên máy tính đó. Bạn có thể cấu hình các thiết lập trong Windows Firewall một cách thủ công hoặc sử dụng Security Configuration Wizard (SCW).

Để cho phép lưu lượng được gửi từ công cụ quản trị từ xa đi qua firewall trên server, bạn cần thêm một chương trình hoặc một cổng (port) vào danh sách ngoại lệ (exception list) trong Windows Firewall. Làm như vậy tức là: bạn đã chỉ lệnh cho Windows Firewall trên server cho phép các lưu lượng đó được gửi đến một chương trình hoặc đi qua một cổng nào đó nằm trên server. Trong một số trường hợp, bạn có thể cần thiết lập thêm trong registry hoặc kích hoạt một trong các exception đã được tạo sẵn như File and Printer Sharing exception hoặc Remote Administration exception.

Chú ý:

Remote Administration exception cho phép traffic đi qua nhiều port, điều này có thể khiến server của bạn dễ bị tấn công hơn. Ngoài ra, việc chỉnh sửa registry sai lệch có thể dẫn đến hệ thống của bạn bị hư hại.Vì vậy, trước khi tạo ra thay đổi trong registry, bạn nên sao lưu các dữ liệu quan trọng trên máy tính – một lời khuyên muôn thuở nhưng không bao giờ thừa!

Để quản lý một DHCP Server từ xa từ một DHCP Server khác hoặc bằng Administrative Tools Pack, trên target server (tức server chịu sự quản lý từ xa) bạn thêm chương trình Tcpsvcs.exe và các UDP port672535 vào exception list trong Windows Firewall.

–manthang.

Xem thêm:

–Phần 2

–Phần 3

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s