۱۶ نکته برتر سرویس DHCP (بخش ۱)

DHCP tips
تصویر مهرداد میرابی
مهرداد میرابی

در این سری مقالات 16 پیشنهاد و نکته برتر (best practice) درباره سرویس DHCP  با شما به اشتراک گذاشته خواهد شد. اگر شما هم نکته و تکنیکی را تجربه کرده اید در کامنت ها به اشتراک بگذارید.

1. سرویس DHCP خود را در Domain Controller قرار ندهید

توصیه کلی این است که هیچ نقش اضافی (roles) به غیر از سرویس DNS روی کنترلر دامنه خود راه اندازی و اجرا نکنید.کنترل کننده دامنه شما باید یک Domain Controller/DNS باشد و بس.معمولاً سازمان‌های کوچک نقش‌های اضافی و نرم‌افزار شخص ثالث را روی کنترل‌کننده‌های دامنه خود نصب می‌کنند. توصیه می شود در صورت امکان از این کار اجتناب کنید.

DHCP-dc-best1

مشکل چیست؟

نصب سرویس های اضافی بر روی DC سطح حمله را افزایش می دهد، مدیریت آن را دشوار می کند و می تواند منجر به مشکلات عملکرد شود.

A. مدیریت DC با نقش های متعدد

مدیریت Domain Controller با چندین نقش نصب شده دشوار است. این روند اغلب می تواند منجر به بی ثباتی و اختلال در خدمات شود.

به عنوان مثال، فرض کنید با DHCP مشکل دارید یا یک وصله امنیتی نصب کرده اید که نیاز به راه اندازی مجدد سرور دارد. راه‌اندازی مجدد سروری با نقش Active Directory Domain Services روی آن می‌تواند باعث اختلال بزرگ در سازمان شما شود. این می تواند بر authentication, replication, group policy, and DNS تأثیر بگذارد. اگر DNS قطع باشد، کاربران شما نمی توانند به چیزی دسترسی داشته باشند.

اگر چندین کنترلر دامنه Domain Controller دارید و به درستی پیکربندی شده است، می توان از این مشکلات جلوگیری کرد، اما چرا خطر آن را تهدید می کند؟

اگر DHCP روی سرور خودش نصب شده بود، می‌توانستید سرور DHCP را مجددا راه‌اندازی کنید، بدون اینکه نگران تأثیرگذاری روی سرویس‌های روی Domain Controller باشید.

B. امنیت

  • هر چه نرم افزار/خدمات بیشتری نصب کنید، بقا و اثر حمله روی سرور شما بیشتر است. اگر DHCP روی DC نصب شده باشد و آسیب پذیری جدیدی در سرویس DHCP کشف شده باشد، سرور DC شما اکنون در معرض خطر است.
  • وای فای مهمان دارید؟ در مورد اتصال این دستگاه های مدیریت نشده به سرور DHCP/DC شما چه احساسی دارید؟ من طرفدار استفاده از سرور DHCP داخلی برای ارائه آدرس های IP برای عموم نیستم. سپس اضافه کنیم که این دستگاه های عمومی نیز به کنترل کننده دامنه Domain Controller متصل می شوند…. بله آلارم های امنیتی من خاموش می شود.
  • هنگامی که DHCP روی یک کنترل کننده دامنه Domain Controllerنصب می شود، سرویس DHCP مجوزهای امنیتی حساب رایانه DC را به ارث می برد. این اصل کمترین امتیاز را نقض می کند. اکنون سرور DHCP شما با امتیازاتی اجرا می شود که برای انجام کاری که برای آن طراحی شده است نیازی ندارد. بله، این را می توان اصلاح کرد، اما چرا این خطر را اضافه کنید.

نصب DHCP روی سرور اختصاصی خودش سطح حمله DC شما را کاهش می دهد.

 

C. عملکرد

به طور کلی، من دیده ام که سرورهای DHCP بسیار کارآمد هستند و به منابع سیستم زیادی مانند CPU یا حافظه نیاز ندارند.

ولی…

فرض کنید به تازگی در مورد یک گزینه جدید DHCP مانند تشخیص تضاد Conflict یاد گرفته‌اید و آن را برای همه دامنه‌ها روشن کرده‌اید.

اوه اوه… اکنون استفاده از CPU سر به فلک کشیده و خدمات دامنه کند هستند، کاربران نمی توانند وارد شوند و درخواست های DNS به طرز دردناکی کند هستند.

شاید شما یک IPAM نصب کنید تا آدرس های IP موجود را ردیابی کنید و CPU و حافظه را اشغال کند… دوباره منابع را از خدمات دامنه می گیرد.

می‌توانم ادامه دهم و ادامه دهم… نکته اینکه هر چه نرم‌افزار/سرویس‌های بیشتری بر روی کنترل‌کننده دامنه خود نصب کنید، بیشتر می‌تواند بر عملکرد تأثیر بگذارد و منجر به اختلال در خدمات شود.

نتیجه گیری

کنترل‌کننده دامنه شما یکی از حیاتی‌ترین سرویس‌ها در محیط دامنه ویندوز است، کودک شماست و سزاوار آن در سرور است. یک Domain Controller یک Domain Controller است . نه چیز دیگر.

2. از DHCP Failover استفاده کنید

DHCP failover یک ویژگی برای اطمینان از در دسترس بودن بالای سرور DHCP است. با خرابی DHCP، دو سرور DHCP اطلاعات DHCP را به اشتراک می گذارند تا اگر یکی از کار بیفتد، سرور دیگر همچنان می تواند اجاره DHCP را به مشتریان ارائه دهد.

گزینه DHCP failover در سیستم عامل سرور ویندوز تعبیه شده است. تصویر زیر راه اندازی دو سرور DHCP را نشان می دهد که با حالت load balance failure پیکربندی شده اند. اگر یکی از سرورها خراب شود، سرور دیگر همچنان فعال است و تمام درخواست های DCHP را بر عهده می گیرد.

dhcp-best-failover

دو گزینه طراحی Failover وجود دارد:

Hot standby design

هنگام استفاده از حالت آماده به کار داغ، یک سرور سرور فعال و دیگری در حالت آماده به کار است. سرور فعال سرور اصلی است و تمام درخواست های DHCP را مدیریت می کند. اگر سرور فعال از کار بیفتد، سرور آماده به کار درخواست های DHCP را بر عهده می گیرد.

این گزینه معمولاً در شرایطی استفاده می شود که واحد آماده به کار در مکان فیزیکی متفاوتی نسبت به مکان فعال قرار دارد.

Load balance design

در حالت تعادل بار، هر دو سرور در حالت فعال-فعال برای رسیدگی به درخواست‌های DHCP کار می‌کنند. درخواست ها با بار متعادل هستند و بین دو سرور DHCP به اشتراک گذاشته می شوند. اگر یکی از سرورها ارتباط خود را با شریک شکست خورده خود قطع کند، شروع به اعطای اجاره به تمام مشتریان DHCP می کند.

نتیجه گیری

شما باید تعیین کنید که کدام یک از طراحی های failover برای محیط شما بهترین است. این یک گزینه داخلی رایگان است، بنابراین از آن استفاده کنید و سرورهای DHCP خود را قابل تحمل خطا کنید.

منابع:

معماری DHCP Failover

3. سرور مرکزی در مقابل سرور توزیع شده DHCP

آیا شبکه بزرگی با دفاتر شعبه در چندین مکان دارید؟

سوال این است که آیا سرور DHCP را در این شعبه ها نصب می کنید یا آنها را به یک سرور DHCP متمرکز تونل می کنید؟

سرور DHCP متمرکز

یک سرور DHCP متمرکز در یک مکان متمرکز قرار می گیرد که دفاتر راه دور برای DHCP به آن متصل می شوند. این معمولاً در یکی از دیتاسنترهای اصلی قرار دارد. در این طراحی هیچ سرور DHCP محلی وجود ندارد، همه درخواست ها به سرور متمرکز برمی گردند.

centralized-dhcp-server

سرور DHCP توزیع شده

در یک مدل DHCP توزیع شده، سرورهای DHCP در دفتر شعبه محلی وجود دارد. در این مدل کلاینت ها آدرس های IP را از سرور DHCP محلی دریافت می کنند.

distributed-DHCP-Server

پس کدام گزینه بهترین است؟

این را می توان با یک سوال ساده پاسخ داد؟

آیا شعبه می تواند به طور کامل بدون اتصال به مرکز داده کار کند؟ اگر بله، منطقی است که یک سرور DHCP و DNS محلی وجود داشته باشد.

اگر شعبه تونل به مرکز داده برای اینترنت، اکتیو دایرکتوری، DNS و غیره برگرداند، دیگر فایده ای برای قرار دادن DHCP به صورت محلی وجود ندارد.

من برای شرکتی کار می کنم که دفاتری در سراسر ایالت دارد و از مدل متمرکز DHCP استفاده می کنم. ما اتصالات سریع قابل اعتمادی داریم، بنابراین منطقی است که از یک سرور DHCP متمرکز استفاده کنیم.

یکی از مواردی که باید در نظر گرفت این است که چند کارمند در شعبه وجود دارد. اگر یک شعبه بسیار بزرگ با هزاران کارمند دارید، پس داشتن منابع محلی مانند Active Directory، DNS و DHCP می تواند مفید باشد. این ترافیک زیادی خواهد بود که از طریق پیوند WAN عبور می کند و اگر پیوند از بین برود، همه آن کارمندان را آفلاین می کند.

نتیجه گیری

انتخاب بین DHCP متمرکز یا توزیع شده اغلب می تواند با این سوال پاسخ داده شود: «آیا شعبه می تواند بدون اتصال به مرکز داده کار کند؟ اندازه دفتر راه دور و سرعت اتصال به دیتاسنتر نیز می تواند یک عامل باشد.

منابع:

Multi-Site deployment topologies for DHCP Failover

Distributed vs centralized DHCP

مقالات اخیر