Autorisieren von DHCP-Servern

Die Windows Server 2003-Produktfamilie bietet integrierte Sicherheitsunterstützung für Netzwerke, die Active Directory verwenden. Durch diese Unterstützung wird eine Klasse von Objekten, die Teil des Basisverzeichnisschemas sind, hinzugefügt und verwendet, wobei die folgenden Verbesserungen zur Verfügung stehen:

  • Eine Liste von IP-Adressen, die solchen Computern zur Verfügung stehen, die als DHCP-Server in Ihrem Netzwerk verwendet werden können.

  • Erkennen nicht autorisierter DHCP-Server und Verhindern, dass sie in Ihrem Netzwerk gestartet oder ausgeführt werden.

Die folgenden Abschnitte behandeln diese Themen:

  • Hintergrundinformationen zur Erkennung nicht autorisierter DHCP-Server.

  • Autorisieren von Computern in Active Directory, um DHCP-Dienste bereitzustellen.

  • Erkennen eines nicht autorisierten Servers und Verhindern, dass der DHCP-Dienst bereitgestellt wird.

  • Anmerkungen und Einschränkungen beim Implementieren von DHCP-Diensten, abhängig von der Verfügbarkeit des Verzeichnisdienstes Active Directory.

Hintergrundinformationen zu nicht autorisierten DHCP-Servern

Bei richtiger Konfiguration und entsprechender Autorisierung in einem Netzwerk bieten DHCP-Server einen nützlichen und zweckgerichteten Verwaltungsdienst. Wird jedoch ein fehlerhaft konfigurierter oder nicht autorisierter DHCP-Server zu einem Netzwerk hinzufügt, kann er Probleme verursachen. Wird beispielsweise ein nicht autorisierter DHCP-Server gestartet, weist er eventuell falsche IP-Adressleases an Clients zu oder bestätigt DHCP-Server nicht, die versuchen, aktuelle Adressleases zu erneuern.

Diese Konfigurationen können zu weiteren Problemen für DHCP-aktivierte Clients führen. Clients, die beispielsweise eine Konfigurationslease von einem nicht autorisierten Server erhalten, sind eventuell nicht in der Lage, gültige Domänencontroller zu finden, da eine erfolgreiche Anmeldung der Clients am Netzwerk verhindert wird

Zur Behebung solcher Probleme werden DHCP-Server unter Windows Server 2003 vor ihrer Verwendung mit Clients hinsichtlich ihrer Autorisierung in Active Directory überprüft. Dadurch werden zufällige Schäden durch die Ausführung von DHCP-Servern mit fehlerhafter Konfiguration oder richtiger Konfiguration im falschen Netzwerk weitgehend vermieden.

Autorisieren von DHCP-Servern

Der Autorisierungsprozess für DHCP-Servercomputer hängt von der Funktion des Servers ab, die bei der Installation in einem Netzwerk festgelegt wird. In der Windows Server 2003-Produktfamilie werden drei Funktionen oder Servertypen für Servercomputer unterschieden:

  • Domänencontroller.  Der Computer enthält und verwaltet eine Kopie der Active Directory-Datenbank und stellt Benutzern und Computern, die Mitglieder der Domäne sind, die sichere Verwaltung von Konten bereit.

  • Mitgliedsserver.  Der Computer fungiert nicht als Domänencontroller, gehört jedoch zu einer Domäne, in der er über ein Mitgliedkonto in der Active Directory-Datenbank verfügt.

  • Eigenständiger Server.  Der Computer fungiert nicht als Domänencontroller oder Mitgliedsserver in einer Domäne. Vielmehr wird der Servercomputer dem Netzwerk über einen bestimmten Arbeitsgruppennamen bekannt gemacht, der auch von anderen Computern verwendet werden kann, aber nur zum Durchsuchen und nicht zum Bereitstellen des gesicherten Anmeldezugriffs auf freigegebene Domänenressourcen verwendet wird.

Bei der Bereitstellung von Active Directory müssen alle Computer, die als DHCP-Server verwendet werden, entweder Domänencontroller oder Mitgliedsserver einer Domäne sein, damit sie autorisiert werden können und Clients DHCP-Dienste bereitstellen können.

Es ist zwar möglich, einen eigenständigen Server als DHCP-Server zu verwenden, sofern er sich nicht mit autorisierten DHCP-Servern in einem Subnetz befindet, doch wird dies nicht empfohlen. Erkennt ein eigenständiger DHCP-Server einen autorisierten Server im selben Subnetz, bricht der die Zuweisung von IP-Adressleases an DHCP-Clients automatisch ab.

Erkennen nicht autorisierter Server

DHCP-Server unter Windows Server 2003 haben die Möglichkeit, autorisierte und nicht autorisierte Server mithilfe der folgenden spezifischen Erweiterungen des DHCP-Standards zu erkennen:

  • Informationsaustausch zwischen DHCP-Servern mithilfe von DHCP-Informationsmeldungen (DHCPINFORM).

  • Das Hinzufügen verschiedener, neuer herstellerspezifischer Optionstypen für die Übertragung von Informationen zur Stammdomäne.

Ein DHCP-Server unter Windows Server 2003 ermittelt über den folgenden Prozess, ob Active Directory verfügbar ist. Wenn dies der Fall ist, stellt der Server durch folgendes Verfahren sicher, dass er autorisiert ist, abhängig davon, ob es sich um ein Mitgliedsserver oder einen eigenständigen Server handelt:

·        Bei Mitgliedsservern (ein für eine Unternehmensdomäne ausgewählter Server) fragt der DHCP-Server Active Directory nach der Liste der autorisierten IP-Adressen für DHCP-Server ab.

Findet der Server seine IP-Adresse in der autorisierten Liste, initialisiert er den DHCP-Dienst und stellt ihn Clients zur Verfügung. Kann er die Adresse nicht in der autorisierten Liste finden, wird er nicht initialisiert und stellt keine DHCP-Dienste bereit.

Bei der Installation in einer Umgebung mit mehreren Gesamtstrukturen holen DHCP-Server die Autorisierung ausschließlich in der eigenen Gesamtstruktur ein. Nach der Autorisierung weisen DHCP-Server in einer Umgebung mit mehreren Gesamtstrukturen IP-Adressleases allen erreichbaren Clients zu. Wenn daher Clients aus einer anderen Gesamtstruktur über Router unter Verwendung der DHCP/BOOTP-Weiterleitung erreicht werden, weist der DHCP-Server ihnen IP-Adressleases zu.

Steht Active Directory nicht zur Verfügung, setzt der DHCP-Server seine Funktion im letzten bekannten Zustand fort.

·       Bei eigenständigen Servern (Server, die nicht zu einer Domäne oder einem vorhandenen Unternehmen gehören) wird beim Starten des DHCP-Dienstes eine Anforderung in Form einer DHCP-Informationsmeldung (DHCPINFORM) an das erreichbare Netzwerk unter Verwendung der lokalen beschränkten Broadcastadresse (255.255.255.255) gesendet, um die Stammdomäne zu finden, in der andere DHCP-Server installiert und konfiguriert sind.

Diese Meldung beinhaltet verschiedene herstellerspezifische Optionstypen, die von anderen DHCP-Servern unter Windows Server 2003 erkannt und unterstützt werden. Sobald andere DHCP-Server die Meldung erhalten, ermöglichen diese Optionstypen die Abfrage und den Empfang von Informationen zur Stammdomäne. Bei einer Abfrage antworten die anderen DHCP-Server mit DHCP-Bestätigungsmeldungen (DHCPACK) zur Bestätigung und Beantwortung mit Stammdomäneninformationen aus Active Directory.

Empfängt der eigenständige Server keine Antwort, wird er initialisiert und stellt Clients DHCP-Dienste bereit. Wenn der eigenständige Server eine Antwort von einem in Active Directory autorisierten DHCP-Server empfängt, wird der eigenständige Server nicht initialisiert und stellt Clients keine DHCP-Dienste bereit.

Autorisierte Server wiederholen den Erkennungsprozess standardmäßig in Abständen von 60 Minuten. Nicht autorisierte Server wiederholen den Erkennungsprozess standardmäßig in Abständen von 10 Minuten.
Bemühungen zur Erkennung nicht autorisierter Server werden als Einträge vom Typ "Rogue-Erkennung wird neu gestartet" im Überwachungsprotokoll verzeichnet.

Anmerkungen

  • Der Autorisierungsprozess für DHCP-Server ist nur für DHCP-Server unter Windows 2000 oder Windows Server 2003 sinnvoll.

  • Wird ein DHCP-Server unter Windows Server 2003 in einer Windows NT 4.0-Domäne installiert, wird der Server initialisiert und stellt Clients DHCP-Dienste ohne Verzeichnisdienste bereit. Befindet sich jedoch eine Domäne unter Betriebssystemen der Windows Server 2003-Produktfamilie im selben Subnetz oder einem verbundenen Netzwerk mit Routern, die für die DHCP- oder BOOTP-Weiterleitung konfiguriert wurden, erkennt der DHCP-Server in der Windows NT 4.0-Domäne, dass er nicht autorisiert ist, und stellt keine weiteren IP-Adressleases an Clients mehr bereit. Wird der DHCP-Server in Active Directory autorisiert, kann er den Clients in der Windows NT 4.0-Domäne DHCP-Dienste bereitstellen.

  • Der Prozess der Verzeichnisautorisierung funktioniert nur dann einwandfrei, wenn der erste dem Netzwerk bekanntgegebene DHCP-Server an Active Directory beteiligt ist. Dazu muss der Server entweder als Domänencontroller oder als Mitgliedsserver installiert werden. Bei der Planung oder Bereitstellung von Active Directory mit dem DHCP-Dienst von Windows Server 2003 ist es wichtig, den ersten DHCP-Server nicht als eigenständigen Server zu installieren.

  • Meistens ist nur ein Unternehmensstammverzeichnis und somit auch nur eine Möglichkeit zur Verzeichnisautorisierung des DHCP-Servers vorhanden. Es gibt jedoch keine Beschränkung für die Autorisierung von DHCP-Servern auf nur ein Unternehmensstammverzeichnis.

  • Der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) des DHCP-Servers darf maximal 64 Zeichen umfassen. Wenn der FQDN des DHCP-Servers mehr als 64 Zeichen enthält, schlägt das Autorisieren des Servers fehl, und es wird die folgende Fehlermeldung angezeigt: "Es ist eine Beschränkungsverletzung aufgetreten." Wenn der FQDN des DHCP-Servers 64 Zeichen überschreitet, sollten Sie dem Server die Berechtigung erteilen, die IP-Adresse anstelle des FQDN zu verwenden.

  • DHCP-Server unter Windows 2000 können nur mithilfe der Windows Server 2003-Verwaltungsprogramme (DHCP-Konsole und Netsh-Befehle für DHCP) autorisiert werden, wenn Windows 2000 Server, Service Pack 2, installiert ist.