Перенос DHCP на отдельный Сервер (Win2003)
День добрый, уважаемые специалисты!
Нужно перенести функции DHCP-сервера на отдельную машину под win2003. С переносом самой службы вопросов нет, все вполне доступно на мелкософте написано. Вопросы возникли немного другого рода. 1.После разворачивания нового сервера нужно в первую очередь авторизовать его в домене. 2. http://technet.microsoft.com/ru-ru/l...8WS.10%29.aspx В этой статье описано о возможных проблемах безопасноти, ввиду которых рекомендуется запускать DHCP сервер от отдельной учетной записи, которая должна быть членом группы DHCPAdmin, я правильно понял? 3.Как я понял, существуют две схемы реализации обновления записей на DNS сервере: а.DHCP-сервер от своего имени создает и обновляет записи на DNS сервере б.Клиент от своего имени создает запись A, а DHCP добавляет запись prt. Первый вариант используется для соместимости с клиентами младше или на уровне win2000, которые не знали что такое динамический dns. При этом к DNS-серверу сервер DHCP обращается под своей учетной записи компьютера. В каких группах должна состоять эта учетная запись для того чтобы она могла динамически создавать и редактировать записи DNS? Во втором варианте я не понял, как клиенты будут создавать записи. Они будут создавать под учетными записями своих компьютеров, в свойствах безопасности прямой и обратной зоны DNS я нашел группу DomainComputers с разрешением "все проверенные операции записи", это подразумевает, что любой компьютер может под своей учеткой делать запись или нужны еще какието дополнительные манипуляции? Так же прочитал группу DnsUpdateProxy, которая создана для того, чтобы учетная запись DHCP-сервера, входящая в эту группу, могла обновлять записи DNS, но ведь в свойствах DHCP сервера есть вкладка "Служба DNS" и там можно указать динамическое обновление записей DNS, в чем разница? Заранее благодарен за ответы! |
Примерная схема которую я хочу реализовать выглядит вот так:
1.Уменьшение срока лиза до нескольких часов 2.Экспорт конфигурации старого dhcp-сервера, допустим dhcp_old 3.Импорт конфигурации на новом сервере, допустим dhcp_new 4.На dhcp_old добавить пул невыдоваемых IP-адресов на все адресное пространство (чтобы не тушить сервер) 5.Запуск и авторизация в домене dhcp_new 6.Деавторизация в домене dhcp_old 7.Выключение dhcp_old 8.Увеличение срока лиза на dhcp_new до нормального срока. Возникло несколько вопросов: 1.Зачем нужна авторизация DHCP сервера в домене? Она на чтото влияет? На сайте Microsoft yашел статью http://technet.microsoft.com/ru-ru/l...8WS.10%29.aspx которая дает общее представление. Тем не менее мне не понятно: как домен будет препятствовать получению клиентами IP_адресов от НЕавторизованных серверов? Это же все на уровне tcp\ip происходит, клиент посылает широковещательный запрос по сети, ему DHCP-сервер отвечает. Или в MS сетях все обстоит иначе? 2.Возможна ли такая последовательность действий? 3.Экспортируется ли вместе с резервациями данные о выданных лизах? 4.Может ли возникнуть проблема с тем, что клиенту выдан IP с dhcp_old, сервер отключен, клиент посылает запрос на обновление IP dhcp_new, но он ему отказывает по скольку не знает о клиенте ничего? С уважением, Григорий |
авторизация.
http://technet.microsoft.com/ru-ru/l...97(WS.10).aspx клиент отправив запрос DHCP сервера получит ответ, что тот не авторизован. И по идее, доменная машина перестанет общаться с недоменным DHCP. |
хм...ну допустим такая ситуация:
есть домен с DHCP и подсетью 192.168.0.1 есть роутер у которого IP в этой подсети 192.168.0.100 за этим роутером находится доменный компьютер с IP 192.168.10.10, выданный от dhcp роутера На роутере DHCP-сервер не авторизован в домене, но тем не менее с него клиентский компьютер все равно будет получать IP. Ситуация получается аналогичная? или я чтото путаю... И я все таки не понял по поводу записей в DNS между "Обновление DHCP/DNS для DHCP-клиентов, работающих под управлением более ранних версий Windows (до Windows 2000)" и "Владение записью DNS и группа DnsUpdateProxy" http://technet.microsoft.com/ru-ru/l...8WS.10%29.aspx В обоих случаях владельцем записей A и PTR становится учетная запись сервера. Какая тогда разница? |
По поводу Аавторизации сервера, нашел статью:
http://www.windowsecurity.com/articl...ity-part1.html в ней описано просто какая-то чудесная функция: отключать сервис DHCP на не авторизованных серверах. Ни проверить ни опровергнуть не могу, но к безопасности это имеет отношение только на 5% из 100. |
Время: 17:01. |
Время: 17:01.
© OSzone.net 2001-