Windows Server 2008 ve R2’de yenilikler – 2 – DHCP Sunucu/İstemci

  • Article

Merhaba,

Bir önceki yazima DHCP servisindeki yenilikler ile devam etmek istiyorum.

1. DHCPv4:

· Bir önceki sürümlere göre yapilan en önemli degisiklik NAP etkilesimi için ayarlarin eklenmis olmasidir.

2. DHCPv6:

· DHCP servisi Windows Server 2008 ile birlikte IPv6 adreslerini desteklemektedir. Stateful ve Stateless olarak ayrilan bu adresleme modelinde istemcinin adresi kendisinin mi yaratacagi yoksa DHCP sunucusundan mi alacagina karar verilmektedir.

· Stateful mode’unda istemciler sadece DHCPv6 sunucusu kullaranarak IP adresleri ile birlikte gerekli konfigurasyon bilgilerini de alabilmektedirler.

· Stateless mode’da ise istemcilerin IP adreslerini kendilerinin olusturmasina ve sadece gerekli konfigurasyon bilgilerini DHCP sunucusundan isteyebilmesini saglamaktadir. Bunun içinde IPv6 stateful destegini veren bir Router üzerinden belirli bir prefix kullanilarak IP adresi olusturulur.

3. MAC Address based filtering (Sadece R2)

· MAC adresi seviyesinde IP kiralama isteklerinin cevaplanmasi ile ilgili kontrol artik Link Layer seviyesinde yapilabilmektedir.

· Bü özellik sadece Windows Server 2008 R2 DHCP sunucusu üzerinde tanimlanabilir. Ancak DHCP istemci kapsaminda bir zorunluluk yoktur. Tüm Windows ve Windows olmayan isletim sistemleri için kullanilabilir.

· Sadece IPv4 adresleri için uygulanabilir.

· DHCP protokolünde yer alana DISCOVER, RENEW ve INFORM gibi operasyonlar bu kurala tabi olacaktir. Ancak diger DHCP sunuculari tarafindan gönderilen ve Rogue DHCP sunucularini belirlemek için kullanilan DHCPINFORM paketleri bu kapsam disindadir. Böylelikle MAC adresi seviyesinde filtreleme yaptigimiz listede olsun olmasin baska bir DHCP sunucusu tarafindan gönderilen bu istekler kabul edilecektir.

· Bu özelligi etkinlestirmek için IPv4 scope özelliklerinde Filters sekmesi kullanilabilir. Enable Allow List (Kabul listesini etkinlestir) ve Enable Deny List (Red Listesini etkinlestir) olmak üzere iki farkli liste tanimi yapilabilir.

· “Ethernet” disindaki tüm ag donanim türleri muaf tutulmaktadir. Özellikler/Filters sekmesinde yer alan Advanced bölümünde ise muaf tutulan diger ag tiplerinin eklenmesi saglanabilir.

· Özellikler/Filters sekmesinden etkinlestirme yapildiktan sonra DHCP konsolu üzerinde Filters scope adinda yeni bir bölüm olusturulacaktir. Özelliklerden yapilan tanima göre “Allow” ve “Deny” listelerinin buradan tanimlanabilir. Ayrica belirli bir listeyi etkinlestirmek veya devre disi birakmak için yine bu bölüm kullanilabilir.

· MAC adreslerinin olusturulacagi listede ‘*’ gibi karakterler kullanilabilir. Ancak kullanimina dikkat etmek gerekiyor çünkü IP adresi almasi gereken bir istemci yanlis ‘*’ kullanimi ile RED listesinde yer alabilir.

4. Service Hardening (Sadece R2)

· Windows Server 2008 R2 DHCP hizmeti diger gruplara nazaran daha az yetkisi olan “Network Service” hesabi ile çalistirilmaktadir.

5. Split Scope (Sadece R2)

· DHCP sunucularinin kullanilmaya baslandigi ilk günden bu yana göreceli olarak daha fazla istemcinin oldugu ortamlarda veya “failover” senaryolarinin kullanilmasi için ayni adres araligi için birden fazla DHCP sunucusunun belirli bir kural/oran ile yapilandirilmasi birçok ag yöneticisi tarafindan uygulanan bir yöntemdir. Genelde 80/20 kurali olarak adlandirilan bu yöntemin genel amaci bir IP araliginin belirli bir oranin birincil DHCP sunucusu tarafindan, digerinin ise ikincil DHCP sunucusu tarafindan verilmesini saglamak ve bunu yaparken de kurallar çerçevesinde IP araliklarini sinirlandirmaktir.

· Windows Server 2008 R2’ya kadar böylesi bir yapilandirmayi yapmak için her iki sunucu üzerinde scopelarin tanimlanip, IP araliginin belirtilip, “exclusion”larin tanimlanmasini gerekirdi. Simdi ise sadece tek bir pencereden her iki sunucununda kullanacagi araliklar rahatlikla yapilabilmektedir. Fikir vermesi açisindan ekran görüntüsünü kopyaladim:

image

6. Prevention of Exhaustion of IP Addresses (Sadece R2)

· IP adres araligininin tükenmesini engellemek için eklenmis bir özelliktir. IPv6 adresleri için böyle bir sorun olmadigindan sadece IPv4 adresleri için kullanilabilir.

· Özellikle split scope konfigürasyonu yapilmis olan ortamlarda ikincil DHCP sunucularinin, backup olarak davranmasindan çok birincil bir DHCP sunucusu olarak davranip onlara ayrilan %20’lik IP adresi araligini çabuk tüketmesini engellemesi amaçlanmistir. Eger birincil DHCP sunucusu islemine devam edebiliyorsa kabul edilebilir bir gecikme ile DHCP istemcisinin gönderdigi DISCOVER paketlerine daha geç OFFER ile geri dönecektir. Bu da DHCP istemcisinin öncelikle birincil DHCP sunucusundan gelecek OFFER’lara REQUEST etmesini saglayacaktir.

7. Name Squatting (Sadece R2)

· “Name Squatting” Windows olmayan isletim sistemlerinin DNS üzerinde bir Windows isletim sistemi tarafindan yaratilmis olan kaydin üzerine yazabilmesine denir. Sadece Windows istemcilerin oldugu bir Active Directory Domain’inde “Computer” isimlerinin benzersiz olmasi kontrol edebilmektedir. Bu sebeple bir kontrol mekanizmasina ihtiyaç yoktur.

· Ancak Windows isletim sistemleri disindaki sistemlerin kayitlarin üzerine yazmasini engellmek için ise Dynamic Host Configuration Identifier (DHCID) adi verilen ve 4701 ile 4703 RFC’lerinde belirtilen kurallar çerçevesinde yeni bir kayit türü olusturulmustur. DHCPID ile bir ismin daha önce baska bir sistem tarafindan alindigini dogrulamaya yarar. Böylelikle DHCPID’sini eslesmeyen sistemlerin ayni ismi kullanarak daha önce yaratilmis olan kayitlara sahip olmasi engellenmis olur.

· Name Squatting için gelistirilen bu engellemenin çalisabilmesi için DNS zone’lari üzerine “secure-only” güncellestirme seçilmis olmalidir. Ayrica DHCP sunucusunun hem A/AAAA hem de PTR kayitlarini güncellestirmesi için scope özelliklerinde seçim yapilmis olmasi gerekmektedir.

· Bu özelligi etkinlestirmek için IPv4 veya IPv6 scope özelliklerinde DNS sekmesinde belirtilen Name Protection alanindan Configure butonuna basarak yeni açilan pencerede Enable Name Protection seçimi yapilmalidir. Seçim sonrasi DNS sekmesinde yer alan seçenekler devre disi kalacaktir.

8. Activity Logging (Sadece R2)

· 2000’den bu yana kullanilan Audit loglarina ek olarak “Activity” logging gelistirilmistir. Farkli site’larda, binalarda hatta farkli katlarda hizmet veren DHCP sunucularinin kontrol edilmesi ve özellikle de DHCP Administrator yetkilerine sahip kisiler tarafindan yapilacak degisiklikleri takip etmek için kullanilmaktadir.

· Yapilan degisikliklerin hangi DHCP sunucusunda ve hangi Administrator hesabi ile yapildigi Event Viewer üzerinde Applications and Services Logs > Microsoft > Windows > DHCP Server > Microsoft-Windows-DHCP Server Events/Operational altinda yer alan bilgilerden takip edilebilir

9. DHCPv6 Option15 ve Option32 (Sadece R2 ve Windows7)

· DHCPv6 için iki yeni opsiyon eklenmistir:

o Option 15 (User Class): DHCP istemci tarafindan kullanilan bu opsiyon hangi kullanici veya uygulama tipini destekledigini göstermektedir. Hem DHCP sunucu hem de DHCP istemci tarafindan kullanilabilir.

o Option 32 (Information Refresh Time): DHCPv6 konfigürasyonuna ait bilgilerin yenilenmesi için istemcinin ne kadar süre bekleyecegini belirtmektedir. Hem DHCP sunucu hem de DHCP istemci tarafindan kullanilabilir.

Ayrica DHCP servisinin kurulumunda ve scope eklenmesi sirasinda kullanilan “sihirbaz” üzerinde de yöneticilerin islemlerini kolaylastiracak bazi özellikler eklenmistir.

Buna ek olarak DHCP sunucusunun kullandigi veritabanina erisim için memory’nin kullanisi ve bunun kontrolü arttirilmistir. Windows Server 2008 R2 önceki sürümlerde de oldugu gibi DHCP veritabanini (Jet Database) memory’de saklayarak dosya I/O’sunu azaltmayi amaçlamaktadir. R2’da memory kullanimi daha yogundur ve ayrica istenirse sunucusunun ne kadar memory kullanacagi registry üzerinden kontrol edilebilir. Varsayilan olarak DHCP sunucusu ne kadar kaynak kullanilacagini kendisi belirlemektedir. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DHCPServer\Parameters\JetDatabaseMaxCacheSize anahtari ile üst ve alt seviyeler belirlenebilse de size tavsiyem varsayilan degerlerin degistirilmemesidir. DHCP sunucusunun ne kadar kaynak kullanabilecegine dair kaygilari olan yöneticiler için DHCP test takiminin yapmis oldugu testten verileri paylasmak isterim.

6 GB RAM’I olan 2 Dual Core AMD 64 bit 2.2 üzerinde çalisan bir DHCP sunucusu üzerine 2,000,000 aktif kiralanmis istemciler eklenmistir. Bu sistem saniyede 1500 yeni kiralama yapabilirken yine saniyede 7400 yenileme yapabilmektedir. Böylesi bir ortamda veritabaninin boyutu sadece 875 MB olurken, memory’de tutulan kismi ise 660 MB olmustur. Özetle, sadece DHCP sunucusu olarak kullanilacak sistemlerde performans açisindan bir sorun ile karsilasma olasiliginiz RAM veya Disk’lerinizde olusabilecek hatalardan fazla degildir.

 

Okan Çetinim