第二章: 管理和监视动态主机配置协议(DHCP)
概述 管理DHCP数据库 监视DHCP 实施DHCP安全的指导原则
2.1 管理DHCP数据库 什么是DHCP数据库? DHCP数据库怎样被备份和恢复 如何备份和恢复DHCP数据库 DHCP数据库怎样被协调
2.1.1 什么是DHCP数据库? DHCP数据库是一种动态数据库,在 DHCP 客户机获得或者释放TCP/IP地址租约时被更新 Windows Server 2003把DHCP数据库保存在%systemroot%\System32\Dhcp文件夹中 DHCP数据库文件包括: DHCP.mdb Tmp.edb J50.log and J50*.log Res*.log J50.chk
2.1.2 DHCP数据库怎样被备份和恢复 恢复 备份 恢复 备份 管理员把备份的DHCP数据库移动到离线的存储地点 离线存储 恢复 备份 恢复 备份 管理员把备份的DHCP数据库移动到离线的存储地点 DHCP服务每隔60分钟在本地的备份文件夹中自动备份DHCP数据库 如果原始的数据库不能加载,DHCP服务会自动从本地硬盘的备份文件夹中执行恢复 如果服务器的硬件出现故障,管理员可以从离线的存储地点执行恢复
2.1.3 如何备份和恢复DHCP数据库 教师将演示如何: 配置DHCP数据库的备份路径 把DHCP数据库手工备份到本地驱动器的备份路径中
2.1.4 DHCP数据库怎样被协调 举例 DHCP 数据库 IP地址租约的详细信息 对信息进行比较,查找不一致的内容 注册表 摘要信息 详细信息 被协调的DHCP数据库 客户机具有IP地址: 192.168.1.34 IP地址: 192.168.1.34 是可用的 建立一个激活的租约项目
2.1.5 如何协调DHCP数据库 教师将演示如何: 协调DHCP数据库中的所有作用域 协调DHCP数据库中的一个作用域
2.2 监视DHCP 什么是DHCP统计信息? 如何查看DHCP统计信息 什么是DHCP审核日志文件? DHCP审核记录如何工作
2.2.1 什么是DHCP统计信息? DHCP服务器 DHCP统计信息,描述了从DHCP服务启动以来所收集到的有关服务器和作用域的信息
2.2.2 如何查看DHCP统计信息 教师将演示如何: 启用DHCP统计信息的自动更新 查看DHCP服务器的统计信息
2.2.3 什么是DHCP审核日志文件? DHCP审核日志文件,记录了在以下情况时与DHCP服务相关的事件,如:当DHCP服务启动和终止时 ;当授权被校验完毕后 ;当IP地址被租借、续订、释放或被拒绝分配时
2.2.4 DHCP审核记录如何工作 审核记录,用于每天收集DHCP服务器的事件然后记录到日志文件中 3. DHCP 关闭每天 12:00 am 3. DHCP 关闭每天 的审核日志 1. DHCP 打开每天的 审核日志 DHCPSrvLog-Tue.Log 2. DHCP执行磁盘检查 DHCPSrvLog-Mon.Log 磁盘检查能够确保服务器磁盘空间的可用性以及当前审核日志文件不会变得太长或日志文件增长得不会太快
2.2.5 如何使用DHCP审核日志监视DHCP服务器性能 教师将演示如何: 启动和配置DHCP审核记录 查看DHCP审核日志
2.2.6 监视DHCP服务器性能的常用性能计数器 性能计数器 建立了性能基线后监视什么 Packets received/second 监视该指标的突然增加或减少,这表明了网络出现的问题 Requests/second Active queue length 监视该指标的突然增加和缓慢增加,这反映了负载增加或服务器能力下降 Duplicates dropped/second 监视该指标的任何活动,这表明替客户机提交了多个请求
2.3 实施DHCP安全的指导原则 限制未授权用户获得租约的指导原则 限制未授权的非Microsoft的DHCP服务器为客户机分配IP地址的指导原则 限制有权管理DHCP服务的用户的指导原则 保护DHCP数据库的指导原则
2.3.1 限制未授权用户获得租约的指导原则 为了限制未授权的用户获得租约,应该: 确保未经授权的人不能以物理方式或无线方式访问网络 2.3.1 限制未授权用户获得租约的指导原则 为了限制未授权的用户获得租约,应该: 确保未经授权的人不能以物理方式或无线方式访问网络 为网络中的每个DHCP服务器启动审核日志记录 定期查看审核日志文件 使用启动了802.1X的局域网交换机或无线网关访问网络
2.3.2 限制未授权的非Microsoft的DHCP服务器为客户机分配IP地址的指导原则 确保未授权的人不能以物理方式或无线方式访问网络 Microsoft的DHCP服务器 只有运行Windows 2000或Windows Server 2003的DHCP服务器才能在活动目录中被授权 未授权的非Microsoft的DHCP服务器 非Microsoft的DHCP服务器不具有Windows2000和Windows Server2003的DHCP服务器所具有的授权功能
2.3.3 限制有权管理DHCP服务的用户的指导原则 限制需要管理DHCP服务的DHCP Administrators组的成员数量为最少 如果有用户需要以只读的方式访问DHCP控制台,则应该把他们添加到DHCP Users组,而不是DHCP Administrators组 DHCP Users组 只能以只读的方式访问DHCP控制台 DHCP Administrators组 可以查看和修改DHCP服务器的任何数据
2.3.4 保护DHCP数据库的指导原则 为了进一步保护DHCP数据库,应该: 只为用户提供执行任务所需的最严格权限 为负责分析DHCP服务器日志文件的用户提供“Read”的权限 在权限中去除Authenticated Users组和Power Users组,以减少访问DHCP文件夹的用户数量