Оптимизация проекта

1) Защита конфигурации в проектах с DHCP. Обеспечение целостности конфигурации IP- - наиболее важная задача при создании проекта с DHCP. Ведь любые посторонние DHCP-серверы в сети организации, автоматически конфигурирующие клиентов DHCP, способны вызвать ошибки и несогласованность в конфигурации IP компьютеров-клиентов и, как результат, нарушить сетевые подключения. Способ защиты в этом случае - предотвращение появления неавторизованных DHCP-серверов.

Если сервер DHCP в сети один:

а) Служба сервера DHCP направляет в локальную подсеть запрос DHCPINFORM, пытаясь получить у DHCP-серверов сведения, о корневом домене Active Directory. Так как этот сервер единственный, ответа на запрос он не получит.

б) Не получив ответа, служба сервера DHCP запрашивает у Active Directory подтверждение своей авторизации.

в) Получив разрешение, DHCP-сервер переходит к выполнению функций конфигурирования протокола IP клиентов DHCP.

г) Если DHCP-сервер разрешения не получает, то служба сервера DHCP записывает соответствующее событие в журнал событий и останавливается.

Если DHCP-серверов в сети несколько

а) Служба сервера DHCP направляет в локальную подсеть запрос DHCPINFORM, пытаясь получить у существующих DHCP-серверов сведения о корневом домене Active Directory. б) Действующие DHCP-серверы отвечают на запрос сообщением-подтверждением DHCPACK и возвращают информацию о корневом домене (разные DHCP-серверы могут возвратить сведения о разных корневых доменах).

в) Создается список корневых доменов и список активных DHCP-серверов.

г) Если служба сервера DHCP установлена на контролере домена или рядовом сервере, DHCP-сервер запрашивает в Active Directory подтверждение своей авторизации в корневом домене своего компьютера.

д) Если служба сервера DHCP выполняется на автономном компьютере, то DHCP сервер запрашивают у Active Directory подтверждение своей авторизации поочередно во всех корневых доменах по списку, пока не получит подтверждения.

е) Получив разрешение, DHCP-сервер переходит к выполнению функций конфигурирования протокола IP клиентов DHCP.

ж) Если DHCP-сервер разрешения не получает, служба сервера DHCP записывает соответствующее событие в журнал событий Windows 2000 и останавливается.

Авторизация DHCP-серверов под управлением Windows 2000 в службе каталогов Active Directory позволяет предотвратить появление в сети посторонних серверов DHCP. Для распознавания и блокировки неавторизованных DHCP-серверов следует предпринять ряд мер:

• Предусмотрите в проекте установку одной или нескольких служб сервера DHCP на контроллер домена или рядовой сервер (несколько DHCP–серверов, установленных на контроллеры домена или рядовые серверы, обеспечат отказоустойчивость на случай выхода из строя компьютера, являющегося DHCP-сервером контроллером домена).
• Составьте список DHCP-серверов, которым разрешено авторизоваться в Active Directory (не указанные в списке DHCP-серверы не запустятся).
• Установите агенты ретрансляции DHCP или включите пересылку DHCP/BOOTP на маршрутизаторах (сообщения DHCРINFORM, DHCPACK - это широковещательные сообщения, поэтому необходимо обеспечить, чтобы они беспрепятственно принимались и отправлялись во все сегменты сети).

Для обеспечения целостности базы данных DHCP необходимо запретить прямой доступ неавторизованных пользователей к DHCP-серверу. Существует несколько способов предотвращения компрометации базы данных DHCP неавторизированными пользователями:

· Ограничение круга пользователей, которым разрешено управлять DHCP-серверами в организации.

· Изоляция DHCP-серверов от общей сети. DHCP-серверы следует размещать в сетевых сегментах, недоступных из открытых сетей, например из Интернета.

2) Повышение доступности DHCP. Способы повышения доступности в проектах DHCP:

а) кластеры серверов Windows Clustering. Служба сервера DHCP поддерживает работу в кластерах серверов Windows Clustering. Кластер состоит по крайней мере из двух компьютеров, использующих общий диск кластера. Диск кластера подключен к общей SCSI-шине компьютеров кластера или узлов кластера. Например, в каждый момент времени служба DHCP работает только на одном из узлов. База данных хранится на общем диске кластера. Кластерный узел, на котором в данный момент выполняется служба сервера DHCP, называется активным узлом. При отказе активного узла автоматически подключается неактивный узел.

б) распределение областей между несколькими DHCP-серверами. Иногда диапазон IP-адресов одной области DHCP распределяется между двумя (или более) DHCP-серверами. В этом случае каждая часть этого диапазона управляется на одном из серверов. При выходе из строя одного из DHCP-серверов второй сервер берет функции по конфигурации IP на себя, предоставляя адреса из оставшегося (своего) диапазона. Например, дан диапазон 172.16.01-172.16.0.254. На один сервер задается диапазон 172.16.01.-172.16.0.128. На другой сервер - 172.16.0.129-172.16.0.254. Основное преимущество этого метода в том, что для его реализации не требуются дополнительные аппаратные и программные ресурсы. В случае выхода одного DHCP-сервера, его адреса станут недоступны, но остальные адреса можно назначить.

в) DHCP-сервер на выделенном компьютере. В этом случае нестабильная работа других приложений или служб не приведет к необходимости перезагрузки компьютера.

3) Повышение производительности DHCP. Способы повышения производительности DHCP:

а) балансировка нагрузки между несколькими DHCP-серверами. Если существующие DHCP-серверы перезагружены и их модернизация невозможна, то стоит разместить дополнительные DHCP-серверы, DHCP-запросы распределяются между дополнительными серверами, а значит, время выполнения конфигурирования IP уменьшится.

б) изменение длительности аренды. Период времени, по истечении которого клиенты обновляют аренду IP-адресов, зависит от длительности аренды. При его увеличении клиенты обращаются к DHCP-серверу реже, что снижает DHCP-трафик.

в) размещение DHCP-сервера на специально выделенном компьютере. Производительность повышается, т.к. системные ресурсы не потребляются одновременно выполняющимися с ним приложениями и службами.

Дата добавления: 2014-12-09; просмотров: 229; Нарушение авторских прав

Мы поможем в написании ваших работ!